Inversión en TI y estrategia de negocio
Determinar el valor de una inversión en TI ha de ser algo más que una simple justificación. Debe considerar con seriedad el riesgo, los tiempos y el contexto. La consultora Compass ha identificado cuatro factores básicos a tener en cuenta durante el proceso.
Si las cosas siempre fueran como deben ser, los CIO y el resto de directivos evaluarían las iniciativas de inversión en TI en el contexto de una estrategia de negocio global que asegurara los máximos retornos y facilitara el alineamiento del gasto en TI y los requerimientos de negocio. Pero en el mundo real, a menudo interfiere una diversidad de factores para que no siempre suceda así, de manera que los proyectos TI, cada uno enfocado aisladamente, acaban siendo percibidos por la dirección como iniciativas vacías, sin la adecuada consideración del entorno más amplio en el que existen y que debería darles sentido. El resultado es la toma de decisiones aisladas entre sí y del resto de los procesos de la organización, lo que suele acarrear un buen número de problemas. Compass, firma especializada en lo que ella misma define como “consultoría basada en hechos”, recomienda en este artículo la realización de cuatro cálculos concretos para establecer el valor real para el negocio de la inversión en TI y conseguir su alineamiento con los procesos y objetivos de la organización.
Cuando se trata, por ejemplo, de decisiones de seguridad relacionada con las tecnologías de la información, muchas empresas suelen recurrir a análisis basados en la proyección de lo que podría llegar a suceder en el peor de los casos. Un enfoque poco pragmático, pero más frecuente de lo que podría suponerse. Más que llevar a cabo una valoración basada en hechos, quienes adoptan este sistema para evaluar sus necesidades de seguridad se apoyan en la hipótesis de eventos catastróficos potencialmente devastadores, y justifican sus inversiones alegando el impacto económico que tendría un absoluto cataclismo a nivel de seguridad. Luego, los hechos, afortunadamente, nunca llegarán en la inmensa mayoría de los casos a demostrar lo justificado del gasto y, probablemente, a la larga, la dirección de la organización lo considerará un derroche.
¿Dónde está el fallo?
El primer problema que supone aplicar esta lógica en el proceso de valoración es que el impacto del coste de un fallo de seguridad no se ajusta al riesgo de que se produzca para saber la probabilidad mínima de un fallo total. Un fallo de este tipo exige que se produzca una catástrofe que provocara un problema absoluto a nivel de seguridad. Es decir, aunque es cierto que el impacto de un completo colapso de seguridad TI resulta obviamente enorme para casi cualquier negocio hoy en día, el riesgo real de un evento de esta naturaleza debe ser tenido en consideración para valorar la cuantía de la inversión que se pretenda realizar para evitarlo.
En segundo lugar, las iniciativas para prevenir una brecha total de seguridad por lo general no consideran todas las inversiones asociadas necesarias para mitigar el riesgo. Las organizaciones pueden empezar con firewalls y sistemas de escaneo de virus, justificando la inversión como necesaria para prevenir lo que podría resultar un absoluto e inevitable colapso de seguridad. Pero pronto aparecerán otros requerimientos, como la detección de intrusiones o los certificados digitales, todos ellos dirigidos a resolver el mismo problema raíz, e igualmente necesarios para una absoluta protección. De esta manera, tiende a generarse un mecanismo de inversión incremental que desde el departamento TI se sigue justificando sobre la base de protegerse contra un fallo total de seguridad. Y a medida que el gasto escala sin una meta a la vista, la gestión empezará a cuestionarse la propia validez que para el negocio tiene perseguir la seguridad TI.
En la toma de las decisiones sobre dónde, cuándo y cuánto invertir para evitar el coste de un colapso total se han de considerar todas las posibles iniciativas para mejorar la seguridad, el gasto asociado a cada una de ellas y los presupuestos disponibles. La cuestión no es si el coste incremental de una nueva tecnología de cortafuegos merece la pena frente al riesgo de un fallo total de seguridad. Los CIO deberían mejor hacerse preguntas como: ¿estamos gastando la cantidad adecuada en las cosas adecuadas para mejorar nuestra protección, siempre relativa, frente a los riesgos de seguridad a que, de hecho, se encuentra más expuesto nuestro negocio?
Con total seguridad, en una editorial no merecerá la pena conseguir una protección “total” –algo, por otra parte, inalcanzable– en el acceso a sus contenidos online, pero sí, quizá, en una entidad financiara. Que se produzca un 2% de accesos indebidos, por ejemplo, a contenidos de pago en un medio de comunicación seguramente no tendrá impacto alguno sobre su negocio pero resultaría inasumible si el acceso se realizara a la información sobre clientes de un banco por medio de sus servicios online. Además, el riesgo absoluto, no sólo el relativo para el negocio, será menor en el primer caso, dado que serán muchos más los hackers interesados en acceder a los datos de una entidad bancaria que los dispuestos a dedicar su tiempo a violar el acceso a una noticia de actualidad.
Factores de éxito
En este contexto, la consultora Compass aconseja realizar cuatro cálculos para asegurar que los proyectos de inversión TI asumen adecuadamente las diversas consideraciones de negocio.
- Valor neto frente a ROI. El cálculo del retorno de la inversión (ROI) básico utilizado por muchas empresas para conocer lo acertado de un proyecto consiste en la simple división de los beneficios que, por anticipado, se espera que aportará entre el total de costes que se sabe llevará asociados. Aunque atractivo por su sencillez, este método es considerado por Compass demasiado simplista para representar un sistema realmente fiable de ayuda en la toma de decisiones.
El cálculo del valor neto de una determinada inversión en un momento dado (NPV -Net Present Value) es un sistema más adecuado. Va más allá del simple ROI porque se refiere al valor de un proyecto durante todo su ciclo de vida. Por ejemplo, gracias a un análisis NPV, es posible contrastar que una iniciativa que no resulta rentable el primer año pero que ofrece mayores retornos en el segundo y tercero podría resultar más atractiva que un proyecto de menor escala con un reembolso menor a más corto plazo. Siempre, por supuesto, que la organización esté dispuesta a esperar hasta obtener la recuperación de la inversión, y que disponga del dinero suficiente para llevar a cabo el proyecto más ventajoso a largo plazo.
- Reembolso. El concepto de recuperación o reembolso se basa en el simple cálculo de cuándo exactamente se recuperará la inversión realizada en un determinado recurso gracias a los beneficios que aporte. Este cálculo supone un valioso mecanismo de medición del riesgo de una iniciativa, así como un factor que conviene contrastar con los cálculos relacionados con el NPV: es deseable una visión a largo plazo, como la que NPV introduce, pero en ocasiones una organización, sencillamente, no puede esperar demasiado para recuperar el dinero invertido. Basándose en el conocimiento del entorno de negocio, el equipo de gestión tendrá alguna idea del nivel de riesgo aso
Si las cosas siempre fueran como deben ser, los CIO y el resto de directivos evaluarían las iniciativas de inversión en TI en el contexto de una estrategia de negocio global que asegurara los máximos retornos y facilitara el alineamiento del gasto en TI y los requerimientos de negocio. Pero en el mundo real, a menudo interfiere una diversidad de factores para que no siempre suceda así, de manera que los proyectos TI, cada uno enfocado aisladamente, acaban siendo percibidos por la dirección como iniciativas vacías, sin la adecuada consideración del entorno más amplio en el que existen y que debería darles sentido. El resultado es la toma de decisiones aisladas entre sí y del resto de los procesos de la organización, lo que suele acarrear un buen número de problemas. Compass, firma especializada en lo que ella misma define como “consultoría basada en hechos”, recomienda en este artículo la realización de cuatro cálculos concretos para establecer el valor real para el negocio de la inversión en TI y conseguir su alineamiento con los procesos y objetivos de la organización.
Cuando se trata, por ejemplo, de decisiones de seguridad relacionada con las tecnologías de la información, muchas empresas suelen recurrir a análisis basados en la proyección de lo que podría llegar a suceder en el peor de los casos. Un enfoque poco pragmático, pero más frecuente de lo que podría suponerse. Más que llevar a cabo una valoración basada en hechos, quienes adoptan este sistema para evaluar sus necesidades de seguridad se apoyan en la hipótesis de eventos catastróficos potencialmente devastadores, y justifican sus inversiones alegando el impacto económico que tendría un absoluto cataclismo a nivel de seguridad. Luego, los hechos, afortunadamente, nunca llegarán en la inmensa mayoría de los casos a demostrar lo justificado del gasto y, probablemente, a la larga, la dirección de la organización lo considerará un derroche.
¿Dónde está el fallo?
El primer problema que supone aplicar esta lógica en el proceso de valoración es que el impacto del coste de un fallo de seguridad no se ajusta al riesgo de que se produzca para saber la probabilidad mínima de un fallo total. Un fallo de este tipo exige que se produzca una catástrofe que provocara un problema absoluto a nivel de seguridad. Es decir, aunque es cierto que el impacto de un completo colapso de seguridad TI resulta obviamente enorme para casi cualquier negocio hoy en día, el riesgo real de un evento de esta naturaleza debe ser tenido en consideración para valorar la cuantía de la inversión que se pretenda realizar para evitarlo.
En segundo lugar, las iniciativas para prevenir una brecha total de seguridad por lo general no consideran todas las inversiones asociadas necesarias para mitigar el riesgo. Las organizaciones pueden empezar con firewalls y sistemas de escaneo de virus, justificando la inversión como necesaria para prevenir lo que podría resultar un absoluto e inevitable colapso de seguridad. Pero pronto aparecerán otros requerimientos, como la detección de intrusiones o los certificados digitales, todos ellos dirigidos a resolver el mismo problema raíz, e igualmente necesarios para una absoluta protección. De esta manera, tiende a generarse un mecanismo de inversión incremental que desde el departamento TI se sigue justificando sobre la base de protegerse contra un fallo total de seguridad. Y a medida que el gasto escala sin una meta a la vista, la gestión empezará a cuestionarse la propia validez que para el negocio tiene perseguir la seguridad TI.
En la toma de las decisiones sobre dónde, cuándo y cuánto invertir para evitar el coste de un colapso total se han de considerar todas las posibles iniciativas para mejorar la seguridad, el gasto asociado a cada una de ellas y los presupuestos disponibles. La cuestión no es si el coste incremental de una nueva tecnología de cortafuegos merece la pena frente al riesgo de un fallo total de seguridad. Los CIO deberían mejor hacerse preguntas como: ¿estamos gastando la cantidad adecuada en las cosas adecuadas para mejorar nuestra protección, siempre relativa, frente a los riesgos de seguridad a que, de hecho, se encuentra más expuesto nuestro negocio?
Con total seguridad, en una editorial no merecerá la pena conseguir una protección “total” –algo, por otra parte, inalcanzable– en el acceso a sus contenidos online, pero sí, quizá, en una entidad financiara. Que se produzca un 2% de accesos indebidos, por ejemplo, a contenidos de pago en un medio de comunicación seguramente no tendrá impacto alguno sobre su negocio pero resultaría inasumible si el acceso se realizara a la información sobre clientes de un banco por medio de sus servicios online. Además, el riesgo absoluto, no sólo el relativo para el negocio, será menor en el primer caso, dado que serán muchos más los hackers interesados en acceder a los datos de una entidad bancaria que los dispuestos a dedicar su tiempo a violar el acceso a una noticia de actualidad.
Factores de éxito
En este contexto, la consultora Compass aconseja realizar cuatro cálculos para asegurar que los proyectos de inversión TI asumen adecuadamente las diversas consideraciones de negocio.
- Valor neto frente a ROI. El cálculo del retorno de la inversión (ROI) básico utilizado por muchas empresas para conocer lo acertado de un proyecto consiste en la simple división de los beneficios que, por anticipado, se espera que aportará entre el total de costes que se sabe llevará asociados. Aunque atractivo por su sencillez, este método es considerado por Compass demasiado simplista para representar un sistema realmente fiable de ayuda en la toma de decisiones.
El cálculo del valor neto de una determinada inversión en un momento dado (NPV -Net Present Value) es un sistema más adecuado. Va más allá del simple ROI porque se refiere al valor de un proyecto durante todo su ciclo de vida. Por ejemplo, gracias a un análisis NPV, es posible contrastar que una iniciativa que no resulta rentable el primer año pero que ofrece mayores retornos en el segundo y tercero podría resultar más atractiva que un proyecto de menor escala con un reembolso menor a más corto plazo. Siempre, por supuesto, que la organización esté dispuesta a esperar hasta obtener la recuperación de la inversión, y que disponga del dinero suficiente para llevar a cabo el proyecto más ventajoso a largo plazo.
- Reembolso. El concepto de recuperación o reembolso se basa en el simple cálculo de cuándo exactamente se recuperará la inversión realizada en un determinado recurso gracias a los beneficios que aporte. Este cálculo supone un valioso mecanismo de medición del riesgo de una iniciativa, así como un factor que conviene contrastar con los cálculos relacionados con el NPV: es deseable una visión a largo plazo, como la que NPV introduce, pero en ocasiones una organización, sencillamente, no puede esperar demasiado para recuperar el dinero invertido. Basándose en el conocimiento del entorno de negocio, el equipo de gestión tendrá alguna idea del nivel de riesgo aso
