ISACA Journal
Volume 1, 2,016 

Translated Articles 

Transformar la función de auditoría de TI - Seguir el camino digital 

Robert (Bob) E. Kress 

La revolución digital de hoy está afectando a cada rincón del mundo de los negocios, y a cada función de la empresa, incluyendo al sector de auditoría de TI. ¿Adónde debe ir la auditoría de TI cuando el mantra es “mejor, más rápido, más barato?” El inexorable impacto de transformación de TI está redefiniendo la función de auditoría en sí misma, lo que obliga a los auditores a cuestionar prácticas arraigadas hace tiempo, repensar los procesos fundamentales y recalibrar su función para la era digital.

Definir el Destino Digital

Al igual que para muchas otras empresas, en especial para las que gozan de prestigio a nivel global, las disrupciones digitales eran el mayor desafío que enfrentaba Accenture hace dos años. En ese momento, el trabajo estaba en gran medida organizado en silos, según la retrospectiva y la categoría del riesgo. Las disrupciones digitales hicieron a un lado a empresas consolidadas, al tiempo que redefinieron mercados e industrias, y estas presiones se sintieron de forma extrema. Por eso, la organización sopesó las implicancias que traía aparejado el cambio digital para la auditoría de TI. La función de auditoría interna (IA) sabía que necesitaba estar mejor integrada a lo largo de todo el espectro de riesgo, de modo que pudiera adoptar un enfoque integral. Con un cambio tan acelerado de los mercados, el entorno comercial, la competencia y las necesidades de los clientes, también había una sensación de que las auditorías retrospectivas cada vez serían menos adecuadas en el futuro. Por último, aunque la revolución digital impulsaba gran parte de este cambio, también quedaba claro que las tecnologías digitales aportaban las herramientas necesarias para reaccionar y adaptarse a las fuerzas disruptivas que amenazaban a la organización, suponiendo el conocimiento de cómo usarlas de forma eficaz.

Entonces, el equipo comenzó por reevaluar la misión fundamental y la estrategia, a través de las siguientes preguntas: ¿Cuál es el destino digital, y qué tipo de capacidades se necesitarán para auditar la TI del mañana? Para Accenture, un gigante en servicios tecnológicos con presencia global y más de 358.000 profesionales, la pregunta apuntaba al centro mismo del negocio. Pero los mismos temas, relacionados con la misión, la estrategia y las metas de largo plazo, son pertinentes para todo grupo de auditoría de TI que emprenda este camino de transformación. Aunque el sector de TI tendrá diferentes capacidades y grados de desarrollo de una empresa a otra, prever el estado futuro de la función de TI de una organización es el requisito previo básico y más seguro para iniciar un camino de transformación con la seguridad de saber que se puede llegar con éxito a ese destino.

Accenture sabía que esa función de TI debía apoyar la estrategia de negocios de alto desempeño identificando, evaluando e informando el rango posible completo de factores de riesgos internos y de cara al cliente en la era digital. Además, el equipo de auditoría de Accenture apuntaba a convertirse en un socio de valor agregado para la empresa brindando un aseguramiento de TI objetivo y pertinente, y contribuyendo a la eficacia y la eficiencia de los procesos de gobierno, gestión de riesgos y control.

El grupo llegó también a dos conclusiones estratégicas menos obvias. Dada la velocidad con la que cambian los negocios hoy en día, el equipo de auditoría de TI pensó que sería necesario dejar de lado la postura tradicional de auditoría de TI como alguien "extraño" que viene a evaluar la situación después del hecho concretado. En cambio, la alineación continua con los negocios y su estrategia en evolución serían esenciales para evaluar si la función de auditoría de TI contribuía al progreso de la estrategia de negocios de la empresa. De manera similar, el equipo de auditoría consideró que podría ser más eficaz si abandonaba la histórica mentalidad de centro de costos de la auditoría de TI a favor de su gestión “como un negocio”, lo que implicaba adoptar un enfoque de servicios gestionados y tratar como clientes las organizaciones a las que prestaba servicios.

Aprovechar la Tecnología Digital

La estrategia del equipo de auditoría dependía del valor, la flexibilidad y la eficiencia-cualidades no siempre asociadas a las funciones de auditoría en el pasado- y presentía que aprovechar las poderosas nuevas tecnologías sería esencial para ejecutar esta estrategia eficazmente. El equipo de auditoría de Accenture se dedicó a evaluar, seleccionar e integrar las nuevas tecnologías alineadas con la estrategia y que permitirían una mejora escalonada de la capacidad.

El grupo comenzó por analizar cómo mejorar la gestión de auditoría a través del uso de herramientas de gestión del ciclo de vida de la auditoría de extremo a extremo. Hay diversas plataformas eficaces disponibles en el mercado. El equipo evaluó sistemáticamente las capacidades y los costos de cada una antes de seleccionar la solución que mejor se adecuara a los requisitos de Accenture. La implementación de una función sólida de gobierno, riesgo y cumplimiento (GRC) es esencial para la auditoría interna. La herramienta de GRC proporcionaría la plataforma necesaria para automatizar el trabajo de auditoría, mejorar la productividad, aumentar la cobertura y evaluación del riesgo, y mejorar la capacidad de gestión del proceso de auditoría.

Luego, el grupo procuró aprovechar las herramientas de análisis para apoyar la auditoría y la supervisión continuas, y la identificación de valor. Una vez más, la revolución digital ha puesto a disposición software de análisis complejo con este fin. El software analítico permite que los auditores aumenten la cobertura del riesgo a través de un universo completo de datos (en contraposición al uso del muestreo) y que se focalicen en los valores atípicos en áreas de mayor riesgo. El análisis también les permite a los auditores identificar tendencias y predecir áreas de mayor riesgo, y al mismo tiempo crear una línea clara de visión de las oportunidades de ahorro de costos para la empresa.

El tercer aspecto de la lista de necesidades digital fue una herramienta que permitiera adoptar un enfoque continuo de evaluación del riesgo. Previamente, el grupo se había centrado en una evaluación del riesgo anual, pero el ritmo del cambio en el negocio y el riesgo asociado es cada vez más rápido, lo que hace que las evaluaciones estrictamente anuales resulten posiblemente anacrónicas. Al pasar a un enfoque de evaluación del riesgo continuo, el grupo de auditoría logró mantenerse actualizado respecto del negocio, prever el riesgo y ofrecer proactivamente servicios que ayudaran a gestionar el riesgo, e implementar los controles apropiados antes de que surjan los problemas.

El desafío radicaba en decidir cómo automatizar y gestionar una iniciativa de evaluación del riesgo que entrevistara a más de 400 líderes estratégicos para identificar los temas relacionados con el riesgo y luego compartir esta información con un grupo global de auditoría interna. El equipo decidió adoptar un enfoque innovador y aprovechar la tecnología de gestión de relaciones con los clientes (CRM) para gestionar el proceso de entrevistas, capturar notas y temas sobre riesgo y hacer que esta información se encuentre disponible para el equipo global en tiempo real.

El grupo de auditoría sabía, a partir de innovaciones realizadas en otros sectores de Accenture, que las herramientas de colaboración y comunicación se habían convertido en inmensos factores multiplicadores de fuerza capaces de aumentar la productividad de un equipo de auditoría relativamente pequeño. Por eso, el grupo procuró aprovechar estas nuevas tecnologías usando la videoconferencia para eliminar los viajes, siempre que fuera posible, y utilizando canales internos de las redes sociales para acelerar la colaboración de auditoría de TI en toda la empresa. El aprovechamiento de la tecnología de la colaboración mejoró la capacidad de los auditores de compartir los conocimientos entre los equipos globales, potenció su capacidad de trabajo virtual y fortaleció los vínculos entre el personal, los equipos y los clientes de la empresa.

Resultados

¿Qué resultados pudo alcanzar el equipo para lograr estos cambios? En el caso de Accenture, el equipo aumentó la cantidad de auditorías de TI realizadas en más de un 250 % (de 16 a 45 anuales) entre 2012 y 2015 (consulte la figura 1).

La digitalización de la auditoría de TI en Accenture la ha ayudado a mejorar la gestión del riesgo, que ahora es más rápida y eficaz en términos de costos. Al pasar al campo digital, Accenture ha logrado aumentar la productividad, agregar nuevos servicios y ser más proactiva en la supervisión y el cambio de los perfiles de riesgo de los negocios globales de la empresa, en rápido crecimiento. La dirección de la empresa ahora puede recurrir al equipo de auditoría para evaluar el riesgo antes de tomar decisiones estratégicas, en lugar de calcular los costos con posterioridad. La experiencia del grupo puede ser instructiva para cada líder de auditoría de TI que esté evaluando cómo y dónde encajan las tecnologías digitales dentro de su alcance de trabajo.

El éxito de la transformación del equipo también creó un modelo de evolución más amplia de toda la función de auditoría interna en Accenture (figura 2). Al llevar al equipo de auditoría de TI a la era digital, el grupo siguió el mismo mapa de ruta para el resto de la función de auditoría interna.

Lecciones Aprendidas

Es importante observar que, aunque la tecnología digital permitió muchas de las mejoras de desempeño concretadas en Accenture, estas herramientas por sí solas no alcanzan para hacer el trabajo. La misma importancia revisten los cambios de mentalidad que se lograron a lo largo del proceso

Las siguientes son las lecciones aprendidas más importantes durante la transformación de auditoría de TI de Accenture:

  • Alinear la estrategia de auditoría de TI con la estrategia de negocio. En el entorno de negocios de hoy, las estrategias corporativas pueden cambiar con frecuencia en respuesta a las presiones del mercado, los desafíos competitivos o las tecnologías emergentes. Las capacidades de TI y la función de auditoría de TI deben tener la misma agilidad para adaptarse a las necesidades cambiantes del negocio y a las nuevas tecnologías.
  • Clarificar el gobierno. Es fundamental que la dirección ejecutiva de la empresa informe sobre los factores de riesgo nuevos y cambiantes que provienen de cambios en la estrategia comercial, la evaluación del riesgo de auditoría de TI y los planes de auditoría interna de alto nivel. Esto exige un régimen de gobierno más sólido, en el que se solicite el aporte de los líderes de negocios de forma casi continua, en lugar de sólo una vez al año.
  • Dirigir la auditoría de TI como una empresa. Operar la función de auditoría de TI como una empresa, y tratar a las personas y organizaciones a las que presta servicios como verdaderos clientes. Brindar a estos clientes un conjunto de ofertas de servicios definidos a través de un enfoque de servicios gestionados, de modo que puedan solicitar los servicios que desean en función de las necesidades cambiantes del negocio. Centrarse permanentemente en el valor agregado al negocio y evaluar la satisfacción del cliente.
  • Gestionar las métricas de desempeño. Medir los factores críticos de éxito, comparar el progreso y usar las métricas globales para impulsar el cambio. La función de la dirección de auditoría de TI aquí es esencial, ya que debe intervenir cuando sea necesario para rectificar las deficiencias y capitalizar los logros.
  • Transformar a las personas. Una parte integral de la transformación de la función puede implicar transformar a las personas y la cultura interna en la que trabajan. Una función de auditoría que históricamente ha sido retrospectiva debe someterse a un cambio radical para pasar a una postura proactiva. Se requiere de una dirección fuerte para impulsar un cambio de cultura y procesos, por lo que es necesario asegurarse de contar con las personas indicadas en los puestos de dirección ejecutiva. Trabajar para fomentar nuevas maneras de pensar y trabajar a lo largo de la función.
  • Pensar en grande. Tomar decisiones osadas para impulsar aumentos escalonados de las capacidades de la empresa, y aplicar rigor y disciplina en la ejecución de los cambios. Se debe ser tan estricto en los procesos comerciales internos de auditoría de TI como en las áreas de negocio encargadas de auditoría.
  • Comunicar el éxito. Esto, junto con los estudios comparativos, contribuye a demostrar el valor que aporta la auditoría de TI y el progreso alcanzado a la dirección ejecutiva, al igual que al equipo de auditoría interna. No dude en elogiar la función de auditoría de TI cuando se alcance un progreso importante y mensurable.

¿Qué tan aplicables son estas lecciones a los equipos de auditoría de TI en otras organizaciones? Después de todo, uno podría argumentar que las circunstancias de Accenture no eran representativas, dado que la auditoría interna forma parte de una empresa que vive y respira la TI cada minuto de cada día de negocios.

Conclusión

Al mirar en retrospectiva el recorrido digital en Accenture, es probable que, como mínimo, esta transformación se destaque como un perfecto ejemplo de lo que puede lograr la transformación de la auditoría de TI para todas las organizaciones dedicadas a la auditoría interna. Las partes interesadas se consideran verdaderos clientes, y la función de auditoría de TI se focaliza en ofrecer diversos servicios valiosos destinados a satisfacer las necesidades del comité de auditoría y de la empresa. Estos resultados de la transformación demuestran la posible recompensa que puede buscar y lograr todo equipo de auditoría de TI comprometido con la transformación digital.

Robert (Bob) E. Kress es el director general de auditoría global de TI en la organización de auditoría interna de Accenture, que brinda servicios a la empresa de USD 31 mil millones y a sus 358.000 empleados, que trabajan en más de 120 países. Tiene la responsabilidad general de identificar, evaluar e informar todos los riesgos tecnológicos internos y de cara al cliente.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.