Factores de Diseño.
Definición. Factores que pueden influir en el diseño del sistema de gobierno de una empresa y posicionarla para que tenga éxito al usar la I&T.
FD1. Estrategia de la Empresa.
- Las empresas pueden contar con distintas estrategias, que pueden expresarse como uno o más arquetipos.
- Las organizaciones suelen contar con una estrategia principal y, como mucho, una estrategia secundaria.
| Arquetipo de la estrategia | Explicación |
| Crecimiento/Adquisición | La empresa se centra en el crecimiento (ingresos).10 |
| Innovación/Diferenciación | La empresa debe centrarse en ofrecer productos y servicios diferentes y/o innovadores a sus clientes.11 |
| Liderazgo en costos | La empresa debe centrarse en la minimización de costes a corto plazo.12 |
| Servicio al cliente/Estabilidad | La empresa se centra en proporcionar un servicio estable y orientado al cliente.13 |
FD2. Objetivos (o Metas) empresariales.
- Soportan la estrategia empresarial, la cual se logra mediante la consecución de (una serie de) metas empresariales.
- Estos objetivos se definen en COBIT y se estructuran en torno a las dimensiones del cuadro de mando integral (Balanced Scorecard – BSC).
| Referencia | Dimensión del cuadro de mando integrado (Balanced Scorecard, BSC) | Meta empresarial |
| EG01 | Financiera | Portafolio de productos y servicios competitivos |
| EG02 | Financiera | Gestión de riesgo de negocio |
| EG3 | Financiera | Cumplimiento de leyes y regulaciones externas |
| EG4 | Financiera | Calidad de la información financiera |
| EG5 | Cliente | Cultura de servicio orientada al cliente |
| EG6 | Cliente | Continuidad y disponibilidad del servicio del negocio |
| EG7 | Cliente | Calidad de la información de gestión |
| EG8 | Interna | Optimización de la funcionalidad de los procesos internos del negocio |
| EG9 | Interna | Optimización de costes de los procesos del negocio |
| EG10 | Interna | Habilidades, motivación y productividad del personal |
| EG11 | Interna | Cumplimiento de las políticas internas |
| EG12 | Crecimiento | Gestión de programas de transformación digital |
| EG13 | Crecimiento | Innovación de productos y negocios |
FD3. Perfil de riesgo.
- El perfil de riesgo de la empresa y los problemas actuales relacionados con la I&T. El perfil de riesgo identifica los tipos de riesgos relacionados con I&T a los que está expuesta la empresa en la actualidad e indica qué áreas de riesgo exceden el apetito al riesgo.
| Referencia | Categoría de riesgo |
| 1 | Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio |
| 2 | Gestión del ciclo de vida de programas y proyectos |
| 3 | Coste y supervisión de TI |
| 4 | Experiencia, habilidades y comportamientos de TI |
| 5 | Arquitectura de la empresa/TI |
| 6 | Incidentes de infraestructura operativa de TI |
| 7 | Acciones no autorizadas |
| 8 | Adopción de software/problemas de uso |
| 9 | Incidentes de hardware |
| 10 | Fallos de software |
| 11 | Ataques lógicos (hacking, malware) |
| 12 | Incidentes de terceros/proveedores externos |
| 13 | Incumplimiento |
| 14 | Problemas geopolíticos |
| 15 | Acción sindical |
| 16 | Desastres naturales |
| 17 | Innovación tecnológica |
| 18 | Medio ambiente |
| 19 | Gestión de información y datos |
FD4. Problemas relacionados con I&T (“Puntos débiles”).
- Un método asociado para una valoración de riesgos de I&T de la empresa consiste en considerar a qué problemas relacionados con I&T se enfrenta o, dicho de otro modo, qué riesgo relacionado con I&T se ha materializado.
| Referencia | Descripción |
| A | Frustración entre distintas unidades de TI a través de la organización debido a una percepción de baja contribución al valor del negocio |
| B | Frustración entre distintos departamentos de la empresa (por ej. el cliente de TI) y el departamento de TI debido a iniciativas fallidas o una percepción de baja contribución al valor del negocio |
| C | Incidentes significativos relacionados con TI, como pérdida de datos, brechas de seguridad, fracaso de proyectos y errores de aplicaciones, relacionados con TI |
| D | Problemas de entrega del servicio por parte de los terceros de TI |
| E | Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI |
| F | Hallazgos habituales de auditoría u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas en la calidad del servicio de TI |
| G | Importantes gastos ocultos y fraudulentos en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos normales de decisión de inversión y los presupuestos aprobados de TI |
| H | Duplicidades o solapamientos entre varias iniciativas u otras formas de desperdicio de recursos |
| I | Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho |
| J | Cambios o proyectos habilitados por TI no satisfacen a menudo las necesidades del negocio y que se ejecutan tarde o por encima del presupuesto |
| K | Resistencia de los miembros del consejo de administración, ejecutivos o alta gerencia a involucrarse en las TI o una falta de patrocinio empresarial comprometido con TI |
| L | Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI |
| M | Coste de TI excesivamente alto |
| N | Implementación obstaculizada o fallida de nuevas iniciativas o innovaciones causada por la arquitectura y sistemas de TI actuales |
| O | Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios del negocio y los especialistas en TI hablen lenguajes distintos |
| P | Problemas habituales con la calidad de los datos y la integración de datos de distintas fuentes |
| Q | Nivel elevado de informática de usuario final, lo que genera (entre otros problemas) una falta de supervisión y control de calidad sobre las aplicaciones que se están desarrollado y colocando en operación |
| R | Los departamentos del negocio implementan sus propias soluciones de información con poco o ningún involucramiento del departamento de TI de la empresa.16 |
| S | Ignorancia y/o incumplimiento de las regulaciones de privacidad |
| T | Incapacidad para explotar nuevas tecnologías o innovar utilizando I&T |
FD5. Panorama de amenazas.
- Bajo el cual opera la empresa.
| Panorama de amenazas | Explicación |
| Normal | La empresa funciona bajo lo que se consideran niveles de amenaza normales. |
| Alto | Debido a su situación geopolítica, sector industrial o perfil específico, la empresa funciona en un entorno de amenazas elevadas. |
FD6. Requerimientos de cumplimiento.
- A los cuales la empresa está sujeta.
| Entornos regulatorios | Explicación |
| Requerimientos de cumplimiento bajos | La empresa está sujeta a un conjunto de requerimientos de cumplimiento mínimos que son inferiores a la media. |
| Requerimientos de cumplimiento normales | La empresa está sujeta a un conjunto de requerimientos de cumplimiento comunes a las distintas industrias. |
| Requerimientos de cumplimiento altos | La empresa está sujeta a requerimientos de cumplimiento más elevados de lo normal, en la mayoría de los casos relacionados con el sector industrial y las condiciones geopolíticas. |
FD7. Rol de TI.
| Rol de TI | Explicación |
| Soporte | TI no es crucial para el funcionamiento y la continuidad de los procesos y servicios del negocio ni para su innovación. |
| Fábrica | Cuando las TI fallan, hay un impacto inmediato en el funcionamiento y continuidad de los procesos y servicios del negocio. Sin embargo, las TI no se consideran un factor impulsor de la innovación de procesos y servicios del negocio. |
| Cambio | Las TI se consideran un factor impulsor de la innovación de procesos y servicios del negocio. En este momento, sin embargo, no hay una dependencia crítica en TI para el funcionamiento y la continuidad actual de los procesos y servicios del negocio. |
| Estratégico | Las TI son críticas para el funcionamiento e innovación de los procesos y servicios del negocio de la organización. |
FD8. Modelo de abastecimiento para TI.
- Modelos de abastecimiento que la empresa adopta.
| Modelo de abastecimiento | Explicación |
| Externalización / Tercerización (outsourcing) | La empresa requiere los servicios de un tercero para proporcionar servicios de TI. |
| Nube | La empresa maximiza el uso de la nube para proporcionar servicios de TI a sus usuarios. |
| Internalizado (insourced) | La empresa aporta su propio personal y servicios de TI. |
| Híbrido | Se aplica un modelo híbrido que combina los otros tres modelos en distintos grados. |
FD9. Método de implementación de TI.
- Métodos que la empresa adopta.
| Método de implementación de TI | Explicación |
| Agil | La empresa utiliza los métodos de desarrollo de trabajo Agil para su desarrollo de software. |
| DevOPs | La empresa usa los métodos de trabajo DevOps para la creación, despliegue y operaciones de software. |
| Tradicional | La empresa usa un método más clásico para el desarrollo de software (cascada) y separa el desarrollo de software de las operaciones. |
| Híbrido | La empresa usa una mezcla de implementación de TI tradicional y TI moderna, a la que solemos referirnos como «TI bimodal». |
FD10. Estrategia de adopción de tecnología.
| Estrategia de adopción de tecnología | Explicación |
| El que primero se mueve (First mover) | La empresa suele adoptar nuevas tecnologías lo antes posible e intenta lograr la «ventaja del que primero se mueve». |
| Seguidor (Follower) | La empresa suele esperar a que las nuevas tecnologías se generalicen y pongan a prueba antes de adoptarlas. |
| Adoptadores lentos (Slow adopter) | La empresa tarda mucho en adoptar las nuevas tecnologías. |
FD11. Tamaño de la empresa.
- Se identifican 2 categorías.
| Tamaño de la empresa | Explicación |
| Empresa grande (predeterminada) | Empresa con más de 250 empleados que laboran tiempo completo (FTE) |
| Pequeñas y medianas empresas | Empresa con entre 50 y 250 empleados que laboran tiempo completo (FTE) |
- NO considera las microempresas (empresas con menos de 50 empleados).