Actualidad

Inversión en TI y estrategia de negocio

Determinar el valor de una determinada inversión TI para una empresa debe ser algo más que una simple justificación. Debe considerar con seriedad el riesgo, los tiempos y el contexto. La consultora Compass ha identificado cuatro elementos básicos a tener en cuenta durante el proceso.

Si las cosas siempre fueran como deben ser, los CIO y el resto de directivos evaluarían las iniciativas de inversión en TI en el contexto de una estrategia de negocio global que asegurara los máximos retornos y facilitara el alineamiento del gasto en TI y los requerimientos de negocio. Pero en el mundo real, una diversidad de factores interfiere a menudo, de manera que los proyectos TI, cada uno enfocado aisladamente, acaban siendo percibidos por la dirección como iniciativas vacías, sin la adecuada consideración del entorno más amplio en el que existen y que debería darles sentido. El resultado es la toma de decisiones aisladas entre sí y del resto de los procesos de la organización, que conduce a una diversidad de problemas. Scott Feuless y Steve Powers, consultores senior de Compass, firma especializada en lo que ella misma define como “consultoría basada en hechos”, recomiendan en este artículo la realización de cuatro cálculos concretos para establecer el valor real para el negocio de la inversión en TI y conseguir su alineamiento con los procesos y objetivos de la organización.

¿Qué es lo que falla?
Cuando se trata, por ejemplo, de decisiones de seguridad relacionada con las tecnologías de la información, muchas empresas suelen recurrir a análisis basados en la evolución de qué podría llegar a suceder en el peor de los casos. Un enfoque poco pragmático, pero más frecuente de lo que podría suponerse. Más que llevar a cabo una valoración basada en hechos, quienes adoptan este sistema para evaluar sus necesidades de seguridad se apoyan en la hipótesis de eventos catastróficos potencialmente devastadores, y justifican sus inversiones alegando el impacto de coste que tendría un absoluto cataclismo a nivel de seguridad. Luego, los hechos, afortunadamente, nunca llegarán en la inmensa mayoría de los casos a demostrar lo justificado del gasto y, probablemente, la dirección de la organización, lo considerará a la larga un derroche.

El primer problema de aplicar esta lógica en el proceso de valoración es que el impacto del coste de un fallo de seguridad no ha sido ajustado al riesgo real de que dicho fallo se produjera; mínima, por supuesto, al exigir una catástrofe que provocara un problema absoluto a nivel de seguridad. Es decir, aunque es cierto que el impacto de un completo colapso de seguridad TI resulta obviamente enorme para casi cualquier negocio hoy en día, el riesgo real de un evento de esta naturaleza debe ser tenido en consideración para valorar la cuantía de la inversión que se pretenda realizar para evitarlo.


Valor relativo para el negocio
En segundo lugar, las iniciativas para prevenir una brecha total de seguridad, a menudo no consideran todas las inversiones asociadas necesarias para mitigar el riesgo. Las organizaciones pueden empezar con firewalls y sistemas de escaneo de virus, justificando la inversión como necesaria para prevenir lo que de no realizarse podría resultar en un absoluto e inevitable colapso de seguridad. Pero pronto aparecerán otros requerimientos, como la detección de intrusiones, el software anti-desfiguración, certificados digitales, etc.; todos ellos dirigidos a resolver el mismo problema raíz, e igualmente necesarias para una absoluta protección. De esta manera tiende a generarse un mecanismo de inversión incremental que desde el departamento TI se sigue justificando sobre la base de proteger contra un fallo total de seguridad. A medida que el gasto escala sin una meta a la vista, la gestión empezará a cuestionarse la validez misma que para el negocio tiene perseguir la seguridad TI.

Decisiones sobre dónde, cuando y cuánto invertir para evitar el coste de un colapso total deben considerar la totalidad de posibles iniciativas para mejorar la seguridad, el gasto asociado a cada una de ellas y los presupuestos disponibles. La cuestión no es si el coste incremental de una nueva tecnología de cortafuegos merece la pena frente al riesgo de un fallo total de seguridad. Los CIO deberían mejor hacerse preguntas como: ¿Estamos gastando la cantidad adecuada en las cosas adecuadas para mejorar nuestra protección, siempre relativa, frente a los riesgos de seguridad a que, de hecho, se encuentra más expuesto nuestro negocio?

Con total seguridad en una editorial no merecerá la pena conseguir una protección “total” –algo, por otra parte, inalcanzable- en el acceso a sus contenidos online como puede serlo para una entidad financiara. Que se produzca un 2% de accesos indebidos, por ejemplo, a contenidos de pago en un medio de comunicación, seguramente no tendrá impacto alguno sobre su negocio, pero resultaría inevitable si el acceso se realizara a la información sobre el cliente de un banco utilizando servicios de banca online. Además, el riesgo absoluto, no sólo el relativo para el negocio, será menor en el primer caso, dado que serán muchos más los hackers interesados en acceder a los datos de una entidad bancaria que los dispuestos a dedicar su tiempo a violar el acceso a una noticia de actualidad.

Elementos de un proyecto exitoso
En este contexto, Feuless y Powers definen cuatro cálculos que aconsejan realizar para asegurar que los proyectos de inversión TI asumen adecuadamente una amplia variedad de consideraciones de negocio.

Valor neto frente a ROI
El ROI básico utilizado por muchas empresas para conocer lo acertado de una inversión es la simple división de los beneficios que, por anticipado, se espera que aportará entre el total de costes que se sabe llevará asociados. Aunque atractivo por su sencillez, este método es considerado por Feuless y Powers demasiado simplista para representar un sistema realmente fiable de ayuda en la toma de decisiones.

El cálculo del valor neto de una determinada inversión en un momento dado (NPV-Net Present Value) es un sistema más adecuado. Va más allá del simple ROI porque se refiere al valor de un proyecto durante todo su ciclo de vida. Por ejemplo, a través de un análisis NPV, una iniciativa que no resulta rentable el primer año, pero que ofrezca un mayor retorno en el segundo y tercer año, podría resultar más atractiva que un proyecto de menor escala que ofrece un reembolso menor a más corto plazo. Siempre, por supuesto, que la organización esté dispuesta a esperar hasta obtener la recuperación de la inversión, claro, y que cuenta con el dinero suficiente para llevar a cabo el proyecto más ventajoso a largo plazo.

Reembolso
El concepto de recuperación o reembolso es el simple cálculo de cuándo exactamente la inversión realizada para introducir un determinado recurso será recuperada a través de los beneficios que aporte. Proporciona un valioso mecanismo de medición del riesgo de una iniciativa, así como un factor que conviene contrastar con los cálculos relacionados con el NPV: es deseable una visión a largo plazo, como la que NPV introduce, pero en ocasiones una organización, sencillamente, no puede esperar demasiado para recuperar el dinero invertido. Basándose en el conocimiento del entorno de negocio, el equipo de gestión tendrá alguna idea del nivel de riesgo asociado con las inversiones a largo plazo, pero convendrá que conozcan el período de recuperación del gasto efectivo para valorar apropiadamente el interés del proyecto.

Aprovechar la oportunidad
Otra consideración clave es la oportunidad de una determinada inversión. En el caso de un departamento TI con un presupuesto modesto, gastarlo todo en un proyecto con un NPV de un millón de euros y un período de recuperación de un año será una mala decisión si
Whitepaper emc-cio-it-as-a-service-wp Whitepapers