Factores de Diseño.
Definición. Factores que pueden influir en el diseño del sistema de gobierno de una empresa y posicionarla para que tenga éxito al usar la I&T.
FD1. Estrategia de la Empresa.
- Las empresas pueden contar con distintas estrategias, que pueden expresarse como uno o más arquetipos.
- Las organizaciones suelen contar con una estrategia principal y, como mucho, una estrategia secundaria.
Arquetipo de la estrategia | Explicación |
Crecimiento/Adquisición | La empresa se centra en el crecimiento (ingresos).10 |
Innovación/Diferenciación | La empresa debe centrarse en ofrecer productos y servicios diferentes y/o innovadores a sus clientes.11 |
Liderazgo en costos | La empresa debe centrarse en la minimización de costes a corto plazo.12 |
Servicio al cliente/Estabilidad | La empresa se centra en proporcionar un servicio estable y orientado al cliente.13 |
FD2. Objetivos (o Metas) empresariales.
- Soportan la estrategia empresarial, la cual se logra mediante la consecución de (una serie de) metas empresariales.
- Estos objetivos se definen en COBIT y se estructuran en torno a las dimensiones del cuadro de mando integral (Balanced Scorecard – BSC).
Referencia | Dimensión del cuadro de mando integrado (Balanced Scorecard, BSC) | Meta empresarial |
EG01 | Financiera | Portafolio de productos y servicios competitivos |
EG02 | Financiera | Gestión de riesgo de negocio |
EG3 | Financiera | Cumplimiento de leyes y regulaciones externas |
EG4 | Financiera | Calidad de la información financiera |
EG5 | Cliente | Cultura de servicio orientada al cliente |
EG6 | Cliente | Continuidad y disponibilidad del servicio del negocio |
EG7 | Cliente | Calidad de la información de gestión |
EG8 | Interna | Optimización de la funcionalidad de los procesos internos del negocio |
EG9 | Interna | Optimización de costes de los procesos del negocio |
EG10 | Interna | Habilidades, motivación y productividad del personal |
EG11 | Interna | Cumplimiento de las políticas internas |
EG12 | Crecimiento | Gestión de programas de transformación digital |
EG13 | Crecimiento | Innovación de productos y negocios |
FD3. Perfil de riesgo.
- El perfil de riesgo de la empresa y los problemas actuales relacionados con la I&T. El perfil de riesgo identifica los tipos de riesgos relacionados con I&T a los que está expuesta la empresa en la actualidad e indica qué áreas de riesgo exceden el apetito al riesgo.
Referencia | Categoría de riesgo |
1 | Toma de decisiones sobre inversiones en TI, definición y mantenimiento del portafolio |
2 | Gestión del ciclo de vida de programas y proyectos |
3 | Coste y supervisión de TI |
4 | Experiencia, habilidades y comportamientos de TI |
5 | Arquitectura de la empresa/TI |
6 | Incidentes de infraestructura operativa de TI |
7 | Acciones no autorizadas |
8 | Adopción de software/problemas de uso |
9 | Incidentes de hardware |
10 | Fallos de software |
11 | Ataques lógicos (hacking, malware) |
12 | Incidentes de terceros/proveedores externos |
13 | Incumplimiento |
14 | Problemas geopolíticos |
15 | Acción sindical |
16 | Desastres naturales |
17 | Innovación tecnológica |
18 | Medio ambiente |
19 | Gestión de información y datos |
FD4. Problemas relacionados con I&T (“Puntos débiles”).
- Un método asociado para una valoración de riesgos de I&T de la empresa consiste en considerar a qué problemas relacionados con I&T se enfrenta o, dicho de otro modo, qué riesgo relacionado con I&T se ha materializado.
Referencia | Descripción |
A | Frustración entre distintas unidades de TI a través de la organización debido a una percepción de baja contribución al valor del negocio |
B | Frustración entre distintos departamentos de la empresa (por ej. el cliente de TI) y el departamento de TI debido a iniciativas fallidas o una percepción de baja contribución al valor del negocio |
C | Incidentes significativos relacionados con TI, como pérdida de datos, brechas de seguridad, fracaso de proyectos y errores de aplicaciones, relacionados con TI |
D | Problemas de entrega del servicio por parte de los terceros de TI |
E | Incumplimiento de los requerimientos regulatorios o contractuales relacionados con TI |
F | Hallazgos habituales de auditoría u otros informes de evaluación sobre un pobre desempeño de TI o notificación de problemas en la calidad del servicio de TI |
G | Importantes gastos ocultos y fraudulentos en TI, es decir, gasto en TI por departamentos de usuarios fuera del control de los mecanismos normales de decisión de inversión y los presupuestos aprobados de TI |
H | Duplicidades o solapamientos entre varias iniciativas u otras formas de desperdicio de recursos |
I | Recursos de TI insuficientes, personal con habilidades inadecuadas o personal agotado/insatisfecho |
J | Cambios o proyectos habilitados por TI no satisfacen a menudo las necesidades del negocio y que se ejecutan tarde o por encima del presupuesto |
K | Resistencia de los miembros del consejo de administración, ejecutivos o alta gerencia a involucrarse en las TI o una falta de patrocinio empresarial comprometido con TI |
L | Modelo operativo de TI complejo y/o mecanismos de decisión confusos para las decisiones relacionadas con TI |
M | Coste de TI excesivamente alto |
N | Implementación obstaculizada o fallida de nuevas iniciativas o innovaciones causada por la arquitectura y sistemas de TI actuales |
O | Brecha entre conocimiento tecnológico y empresarial, lo que lleva a que los usuarios del negocio y los especialistas en TI hablen lenguajes distintos |
P | Problemas habituales con la calidad de los datos y la integración de datos de distintas fuentes |
Q | Nivel elevado de informática de usuario final, lo que genera (entre otros problemas) una falta de supervisión y control de calidad sobre las aplicaciones que se están desarrollado y colocando en operación |
R | Los departamentos del negocio implementan sus propias soluciones de información con poco o ningún involucramiento del departamento de TI de la empresa.16 |
S | Ignorancia y/o incumplimiento de las regulaciones de privacidad |
T | Incapacidad para explotar nuevas tecnologías o innovar utilizando I&T |
FD5. Panorama de amenazas.
- Bajo el cual opera la empresa.
Panorama de amenazas | Explicación |
Normal | La empresa funciona bajo lo que se consideran niveles de amenaza normales. |
Alto | Debido a su situación geopolítica, sector industrial o perfil específico, la empresa funciona en un entorno de amenazas elevadas. |
FD6. Requerimientos de cumplimiento.
- A los cuales la empresa está sujeta.
Entornos regulatorios | Explicación |
Requerimientos de cumplimiento bajos | La empresa está sujeta a un conjunto de requerimientos de cumplimiento mínimos que son inferiores a la media. |
Requerimientos de cumplimiento normales | La empresa está sujeta a un conjunto de requerimientos de cumplimiento comunes a las distintas industrias. |
Requerimientos de cumplimiento altos | La empresa está sujeta a requerimientos de cumplimiento más elevados de lo normal, en la mayoría de los casos relacionados con el sector industrial y las condiciones geopolíticas. |
FD7. Rol de TI.
Rol de TI | Explicación |
Soporte | TI no es crucial para el funcionamiento y la continuidad de los procesos y servicios del negocio ni para su innovación. |
Fábrica | Cuando las TI fallan, hay un impacto inmediato en el funcionamiento y continuidad de los procesos y servicios del negocio. Sin embargo, las TI no se consideran un factor impulsor de la innovación de procesos y servicios del negocio. |
Cambio | Las TI se consideran un factor impulsor de la innovación de procesos y servicios del negocio. En este momento, sin embargo, no hay una dependencia crítica en TI para el funcionamiento y la continuidad actual de los procesos y servicios del negocio. |
Estratégico | Las TI son críticas para el funcionamiento e innovación de los procesos y servicios del negocio de la organización. |
FD8. Modelo de abastecimiento para TI.
- Modelos de abastecimiento que la empresa adopta.
Modelo de abastecimiento | Explicación |
Externalización / Tercerización (outsourcing) | La empresa requiere los servicios de un tercero para proporcionar servicios de TI. |
Nube | La empresa maximiza el uso de la nube para proporcionar servicios de TI a sus usuarios. |
Internalizado (insourced) | La empresa aporta su propio personal y servicios de TI. |
Híbrido | Se aplica un modelo híbrido que combina los otros tres modelos en distintos grados. |
FD9. Método de implementación de TI.
- Métodos que la empresa adopta.
Método de implementación de TI | Explicación |
Agil | La empresa utiliza los métodos de desarrollo de trabajo Agil para su desarrollo de software. |
DevOPs | La empresa usa los métodos de trabajo DevOps para la creación, despliegue y operaciones de software. |
Tradicional | La empresa usa un método más clásico para el desarrollo de software (cascada) y separa el desarrollo de software de las operaciones. |
Híbrido | La empresa usa una mezcla de implementación de TI tradicional y TI moderna, a la que solemos referirnos como «TI bimodal». |
FD10. Estrategia de adopción de tecnología.
Estrategia de adopción de tecnología | Explicación |
El que primero se mueve (First mover) | La empresa suele adoptar nuevas tecnologías lo antes posible e intenta lograr la «ventaja del que primero se mueve». |
Seguidor (Follower) | La empresa suele esperar a que las nuevas tecnologías se generalicen y pongan a prueba antes de adoptarlas. |
Adoptadores lentos (Slow adopter) | La empresa tarda mucho en adoptar las nuevas tecnologías. |
FD11. Tamaño de la empresa.
- Se identifican 2 categorías.
Tamaño de la empresa | Explicación |
Empresa grande (predeterminada) | Empresa con más de 250 empleados que laboran tiempo completo (FTE) |
Pequeñas y medianas empresas | Empresa con entre 50 y 250 empleados que laboran tiempo completo (FTE) |
- NO considera las microempresas (empresas con menos de 50 empleados).