Transformación digital y el “apetito de riesgo”

Roberto Sánchez Vilariño, socio de PwC Argentina.

Por convicción antes, y ahora por la pandemia de COVID-19, muchas organizaciones bancarias han priorizado sus inversiones en transformación digital. Algunas de ellas, a través de la tecnología, pudieron moverse a gran velocidad para satisfacer la creciente demanda online, pero otras han comenzado con rezago y durante la aceleración de estos planes consideraron las soluciones cloud como catalizadores de transformación. Pero antes de ingresar al entorno de la nube las empresas deben evaluar si su apetito por el riesgo refleja la estrategia comercial en evolución y los cambios en las soluciones tecnológicas de soporte.

Haciendo un repaso del 2020, las empresas vivieron una aceleración en sus esfuerzos de transformación digital o, al menos, de la actualización tecnológica y, en consecuencia, un incremento de las inversiones en tecnología digital. La pandemia puso en evidencia las vulnerabilidades en diferentes espectros: producción, logística, finanzas, tecnología.

Empresas del mismo sector tendrán resultados muy diferentes como consecuencia de sus progresos de transformación digital y de actualización tecnológica desde el inicio de la pandemia. Algunas de ellas, habilitadas por la tecnología pudieron moverse a mejor velocidad que otras para satisfacer la creciente demanda. Muchas trabajaron aceleradamente para digitalizarse, optaron por inversiones de computación en la nube como catalizador del proceso, ya que resulta rentable de implementar por su flexibilidad y facilita capacidades que, de otro modo, no serían posibles. Aun así, este proceso no es tan simple y hay que prestar atención a algunos aspectos.

El imperativo de la nube

La migración a la nube requiere un cambio de actitud con respecto al riesgo y control, porque la empresa no sólo realiza cambios en sus procesos y sistemas, sino que replantea las responsabilidades y delega en otros nuevos responsables mucho del diseño actual y futuro de su plataforma. Los requisitos de seguridad, controles y cumplimiento cambian radicalmente.

Lo mismo vale para las habilidades del personal de IT (information technology), quienes deben migrar de hardware y software locales a un modelo de “consumo” que también se traduce en cambios en el modelo presupuestario de CAPEX (capital expenditure) a OPEX (operating expenditure). Esto altera profundamente el balance de ganancias y pérdidas de una organización. En resumen, la nube no es sólo un proyecto de cambio de tecnología, sino que afecta a la forma de operación e interacción con socios y clientes.

Foco en el riesgo

Es importante conocer los riesgos operativos y de implementación. Históricamente, el ciclo de vida de los grandes proyectos se extendía por años, permitía hacer ajustes en el camino y fluir en la adaptación y aprendizaje. Hoy, debido a la facilidad de estos entornos y la urgencia de adaptarse a las exigencias del mercado, es necesario analizar los riesgos al inicio y de manera continua. Por otro lado, algunas iniciativas de automatización ahora están dirigidas y provistas por proveedores independientes, dejando a un lado al departamento de tecnología. Es en este contexto que surgen las denominadas Shadow IT.

Shadow IT (SIT) es un término que lleva algunos años en el medio y refiere a tecnología que se desarrolla, implementa, opera y se mantiene sin el involucramiento de las funciones de IT y de IS (information security). Este término no incluye aquellos casos en donde existe una tercerización, siempre y cuando esté “en el radar” o sea gestionada por dichas funciones, como es el caso de cloud o la subcontratación de desarrollo de software. La diferencia fundamental es que el SIT ocurre cuando se usa tecnología fuera del control y supervisión de las áreas apropiadas. No es un problema menor y las nuevas tecnologías facilitan su aparición en los negocios a niveles que alcanza, según diversas fuentes, hasta el 40% del total de la inversión en innovación.

Escenarios típicos de SIT se encuentran en áreas como mercadeo, control y producción, seguridad física o RR. HH. Generalmente están asociados a soluciones exclusivas del departamento, que gestionan información confidencial y, en muchos de los casos, a tecnologías muy especializadas como para que IT o IS se involucren activamente (sistemas de alarmas, captación de talento, SCADA, trading, y otros), en muchos casos esta gestión queda apalancada con terceras partes.

En busca del equilibrio

Para conocer dónde se encuentra una organización en este equilibrio, pueden plantearse algunos interrogantes relacionados al impacto global que un desarrollo de estas características significa. ¿Se han evaluado de manera integral los cambios que generará en el negocio, en el departamento de IT y procesos, la adopción de tecnologías basadas en la nube? ¿Se han considerado los impactos posteriores que estas tecnologías tienen en los procesos operativos subyacentes?

También es fundamental tener un diagnóstico certero en relación con el impacto que tendrá en términos de ciberseguridad la adopción de este modelo. ¿La organización tuvo en cuenta las implicaciones de seguridad de migrar a aplicaciones o servicios de infraestructura basados en la nube? ¿Se han considerado de manera integral los impactos en el diseño de seguridad, privacidad de los datos, ubicación, almacenamiento, uso y acceso? ¿Se pensó en la continuidad del negocio y la recuperación ante desastres en el contexto de una transición a la nube?

También se tienen que tener en cuenta cuestiones relacionadas con el gobierno corporativo. Entre ellas, si se han establecido paralelismos entre la forma en que sus CSP (cloud service provider) adhieren a los estándares de cumplimiento que son relevantes para su negocio. Además, es necesario preguntarse si se entienden las brechas y, de ser así, qué planes de remediación planea establecer para mitigar los riesgos.

Esta migración tecnológica debe tener en cuenta los modelos de capacitación de los recursos con los que cuenta la empresa y la mirada estratégica corporativa de largo plazo:

¿Qué nivel de formación digital y mejora de competencias está proporcionando a sus equipos? ¿Se ha asegurado de que sus programas de capacitación tengan la combinación adecuada de tecnología y componentes de riesgo para preparar a su equipo ante eventuales emergencias? ¿Cuál es la visión a largo de plazo de su negocio y cómo encaja la adopción de estas tecnologías?

Estos interrogantes deben formar parte del diagnóstico previo necesario para encarar una transición. No es posible resistirse al cambio, pero para tomarlo como una oportunidad y obtener el mayor rédito del nuevo escenario, la organización necesita estar bien preparada.

Este artículo es una adaptación del de Peter Hargitai (socio PwC Canadá), “Is your risk appetite aligned with rocket-fueled digital transformation?”….