ISACA Journal
Volume 4, 2,018 

Translated Articles 

El poder de la cuantificación y visualización del riesgo de inversión en TI: Gestión del Portafolio de TI 

Guy Pearce, CGEIT 

¿Vale la pena el esfuerzo incremental para determinar el riesgo de inversión financiera de TI como parte del caso de negocios de la inversión de TI? Hace mucho, mucho tiempo (al menos, en términos de TI), un Modelo de Gestión de Portafolio de TI fue desarrollado e introducido a clientes corporativos por una gran empresa de TI.1 Desarrollado en agosto del 2003, el objetivo del modelo era ayudar a los clientes a tomar mejores decisiones sobre inversiones en sus carteras de TI en el contexto tanto de sus crecientes costos heredados de TI como de su necesidad de innovación de TI.

El Modelo de Gestión del Portafolio de TI se basó en los principios de gestión de portafolio financiero, específicamente, la relación entre el riesgo de la inversión y el retorno a la inversión según el llamado equilibrio entre riesgo y retorno. La concesión mutua es que solo se pueden obtener mayores retornos a la inversión asumiendo un mayor riesgo de inversión.2

El modelo también usó una forma modificada del concepto de matriz de estrellas, vacas de efectivo, perros y signos de interrogación, de la Consultora Boston Group (En inglés Boston Consulting Group, BCG), para ayudar a identificar las inversiones de TI que muy probablemente aportarían una sólida contribución financiera a la organización. La herramienta de 40 años de la BCG todavía está en uso en la actualidad.3

Este artículo explora ese Modelo de Gestión de Portafolio de TI de 15 años y lo contrasta con el paradigma de gestión de portafolio de inversiones habilitado para TI de ISACA.4 Donde el Modelo de administración de portafolio de TI considera explícitamente el riesgo y retorno de la inversión financiera, el paradigma de administración de portafolio de TI de ISACA considera explícitamente los retornos de TI y la mezcla de inversión de TI, donde “mezcla” representa la proporción de la cartera de TI que se invierte en, por ejemplo, tecnología de información transaccional, informacional, transformacional (estratégica) y de infraestructura.5

Riesgo de falla y el retorno variable esperado de una inversión en TI

Asumiendo una alineación sólida entre el negocio y TI, saber cuál es el riesgo de falla y la variabilidad esperada de los retornos financieros de una inversión de TI, podría causar que las partes interesadas replanteen cómo se implementa, cómo se financia y la naturaleza del desarrollo de procesos necesarios para asegurar repetibilidad y consistencia.

Esto se debe a que se han contraído compromisos con el Gerente General (CEO, sigla en inglés para Chief Executive Officer) y/o el Directorio (BoD, sigla en inglés para Board of Directors) sobre las capacidades de la nueva inversión para ayudar a alcanzar los objetivos estratégicos y financieros de la organización, con el Gerente de Información (CIO, sigla en inglés para Chief Information Officer). Señalando que el fracaso del proyecto de TI comprometería esos objetivos, posiblemente con un riesgo reputacional considerable para la organización.

Las técnicas de simulación de Monte Carlo ayudan a los usuarios a visualizar la variabilidad de la inversión de TI y el riesgo de fallas. Por ejemplo, la figura 1 muestra una inversión prospectiva de TI con un rendimiento esperado promedio estimado de aproximadamente US $290,000, una desviación estándar de aproximadamente US $200,000 y una probabilidad de ± 30 por ciento de que el proyecto arroje retornos financieros negativos (falla financiera). Métricas como estas son útiles porque ayudan a definir el apetito de riesgo de la inversión de la organización en TI, lo cual guía las decisiones sobre si se debe aprobar una nueva inversión de TI.

Con algunos informes que muestran que la mayoría de los proyectos de TI fallan,6, 7 ¿qué probabilidad de falla estaría dispuesta a aceptar una organización? ¿Es preferible ir a una implementación de TI asumiendo que será exitosa o debería exigirse una planificación previa? El análisis de riesgo de inversión de TI ayuda a proporcionar un contexto para las respuestas a estas preguntas.

Hay casos de negocios y hay casos de negocios

Un buen gobierno de TI exige el desarrollo de un caso de negocio riguroso8 y, en ambos modelos de portafolio, los beneficios de la inversión de TI quedan capturados en el caso de negocio. Sin un caso de negocio aprobado, la tarea del seguimiento de beneficios por parte del gobierno se vuelve casi imposible.

Sin embargo, este Modelo de Gestión del Portafolio de TI lleva el caso de negocio un paso más allá, ya que cuantifica el riesgo financiero de la inversión para proporcionar información interesante sobre la composición de la cartera de TI. En general, mientras los casos de negocio pueden estar respaldados por una evaluación de riesgos cualitativa, generalmente no están respaldados por una evaluación del riesgo financiero de la inversión.

La forma más sencilla de determinar el riesgo de inversión es usar el análisis de sensibilidad, que determina el cambio porcentual en los beneficios como resultado del cambio de 1 por ciento en una variable de entrada, como los costos de personal. El impacto de todas las variables claves de entrada se determina de esta manera y su impacto en los beneficios esperados son clasificados para encontrar las variables de entrada que tienen el mayor impacto en el caso de negocio y para las cuales se pueden necesitar las respuestas al riesgo. Una desventaja del análisis de sensibilidad es que solo se considera una variable a la vez.

Los métodos más sofisticados para determinar el riesgo de inversión—modelar la variabilidad de todas las variables simultáneamente—involucran métodos probabilísticos, de los cuales el más popular es la simulación de Monte Carlo.9 La técnica se menciona en el Manual de Revisión de CGEIT en el dominio de Optimización de Riesgos.

Esencialmente, la simulación de Monte Carlo sustituye variables en el caso de negocios con distribuciones de probabilidad relevantes para modelar la incertidumbre. En un proceso que involucra miles de iteraciones, en que en cada iteración selecciona un conjunto de valores aleatorios de cada distribución para su uso en el caso de negocio, donde el resultado de cada iteración define un posible resultado de caso de negocio. Al finalizar, todos los resultados se grafican en una distribución para el análisis, como en la figura 1.

Los métodos de Monte Carlo permiten decir, con un cierto grado de confianza, que los beneficios de una inversión de TI pueden estar dentro de un cierto rango, en lugar de expresarse como un valor único, como lo proporcionaría un caso de negocio tradicional; la posibilidad de que una inversión en TI devuelva exactamente la cifra dada en un caso de negocio tradicional es remota, en el mejor de los casos.

Ilustrar el caso de negocios de TI

En una organización que adhiere los principios de un buen gobierno de TI, existirán casos de negocios para los proyectos de TI más importantes del portafolio y, en el caso graficado en la figura 1, también se determinará el riesgo de los retornos esperados. Cuando se ilustra, la trama puede parecerse a la figura 2.

Basado en la compensación que existe entre riesgo y recompensa, uno esperaría una línea de tendencia ascendente con suficientes puntos de datos, como se indica en la figura 2. Cuanto más cercanas estén las inversiones de TI a la línea de tendencia, más se comportarán según lo esperado. Cuanto más lejos estén las inversiones de TI de esta línea (las inversiones destacadas por puntos más oscuros), más probable será que los perfiles de riesgo-retorno puedan corregirse involuntariamente (por el mercado en el caso del área B) o voluntariamente (como respuesta al riesgo o centrarse en la obtención de beneficios).

El eje vertical muestra el retorno esperado de la inversión de TI, mientras que el eje horizontal muestra el riesgo de esos rendimientos, medido por la desviación estándar de los retornos dividido por el retorno medio (información de salida de la simulación en la figura 1). Se muestra el apetito de riesgo de inversión de TI de la organización, que es la variabilidad aceptable de los retornos.

Interpretando el gráfico

La intersección entre la línea de tendencia y la línea de apetito de riesgo divide conceptualmente el gráfico de la figura 2 en cuatro áreas:

  1. Área A, signos de interrogación—La mayoría de las inversiones clasificadas como innovadoras se encontrarían en esta área. Las tecnologías de la información innovadoras o transformadoras prometen altos retornos, pero el riesgo asociado pocas veces se articula, y menos aún con los proveedores de tecnología. El punto es que la mitad de estas inversiones fallarán,10 lo que las convierte en inversiones de alto riesgo con una alta probabilidad de fracaso. El enfoque estratégico debe estar en la reducción del riesgo.
  2. Área B, Estrellas—Estas son inversiones interesantes porque proporcionan mayores retornos de lo que deberían en relación al riesgo que soportan. Suponiendo que la evaluación del riesgo y el retorno es válida (por ejemplo, todos los costos de inversión están contabilizan adecuadamente y las declaraciones de beneficios cuentan con el respaldo de un plan de acción que, de manera demostrable, impulsa los beneficios señalados), tales casos pueden ocurrir cuando se apalanca una posición competitiva. La posición, sin embargo, no es sostenible, porque los competidores finalmente encontrarán maneras de competir en esta área altamente rentable. Un nuevo sistema de inteligencia de negocios (BI sigla en inglés para Business Iintelligence) o un sistema informatizado de administración de relaciones con los clientes (CRM sigla en inglés para Customer Relations Management) en una industria que no está familiarizada con BI o CRM, podría resultar en esta situación.
  3. Área C, Vacas lecheras—Dado que estas inversiones en TI ofrecen retornos menores a los esperados en relación al riesgo que soportan, ¿son los perros de la cartera de inversión en TI? No necesariamente; TI transaccional e infraestructura de TI son la columna vertebral para el éxito de cualquier negocio e ilustran casos donde los márgenes pueden ser bajos (transacciones) o donde la mayoría de los beneficios de una inversión en TI son difíciles, si no imposibles, de cuantificar (infraestructura).
    Los rendimientos en estas inversiones pueden ser considerables, y la variabilidad en su rendimiento es baja debido a consideraciones tales como TI de alta disponibilidad. La administración de costos es esencial para administrar esta área, ya que cualquier reducción incremental en los costos aumenta los retornos de esas inversiones.
  4. Área D, Perros—Esta es probablemente el área menos atractiva en el gráfico, ya que las inversiones de TI aquí ofrecen bajos retornos, pero tienen un alto riesgo. Además del foco en el riesgo, estas inversiones deberían revisarse a través de una lente de alineación estratégica y una lente de reducción de costos.

Limitaciones

El Modelo de Gestión de Portafolio de TI tiene limitaciones; por ejemplo, su uso exige un cierto nivel de madurez de gobernanza empresarial de TI (GEIT). Algunas otras limitaciones son:

  • No todas las inversiones de TI tienen beneficios que son cuantificables. Las inversiones innovadoras (área A) deben regirse por un caso de negocio apropiado.
  • Calcular el riesgo de inversión podría ser complejo para algunos.
  • El modelo no es más que una abstracción de la realidad. Hay otros.
  • La frontera estimada de riesgo-retorno y el apetito por el riesgo son diferentes para las distintas compañías, dándose cuenta de que se necesitarían algunos casos de negocios de inversión en TI para que la organización realice evaluaciones razonables de ambos.

Cabe señalar que los beneficios y el riesgo articulados en el caso de negocio se basan en suposiciones que deberían ser calificadas. Las suposiciones calificadas proporcionan una perspectiva de las condiciones bajo las cuales el caso de negocios será un reflejo razonable de la realidad.

Sin suposiciones calificadas, el proceso de seguimiento de beneficios podría ser difícil para el equipo de casos de negocios, especialmente si la brecha entre la realidad y el caso de negocios es significativa. Sin socializar estas suposiciones, habrá pocas influencias para cuando llegue el momento de explicar por qué la tecnología no entregó los beneficios proyectados.

Comparación con el paradigma de gestión de portafolio de inversión de TI de ISACA

Una parte de determinar si el esfuerzo adicional requerido para producir este modelo de gestión del portafolio de TI vale la pena, depende de la madurez de la práctica de GEIT en el caso de negocio y en los dominios en que se manifiestan los beneficios. Ambos modelos dependen de casos de negocios creíbles. La figura 3 resume las diferencias entre el paradigma de gestión de portafolio de inversión de TI de ISACA y el Modelo de Gestión de Portafolio de TI.

En la práctica

La Oficina del Auditor General (OAG siglas en inglés para Office of the Auditor General) de Canadá se refiere a un artefacto denominado Perfil de Riesgo de Portafolio de TI, que constata que:

(TI) La gestión de riesgos es crítica cuando los componentes de alta prioridad del portafolio dependen entre sí, cuando el costo de falla de los componentes del portafolio es significativo o cuando los riesgos de un componente del portafolio aumentan los riesgos para otro componente del portafolio. 11

El costo de falla de los componentes del portafolio (en lugar de la falla del portafolio) tiene que ver con las implicancias de una inversión de TI individual que falla en cumplir lo comprometido. Dado que el informe de OAG también habla de que TI juega “un papel clave en la capacidad de la Agencia para alcanzar sus objetivos estratégicos”,12 indica que la alineación estratégica es una construcción importante para la agencia y la falla de componentes de alta prioridad tendrá implicancias negativas para el desempeño.

Conclusión

El riesgo financiero es una parte importante de la administración del portafolio a nivel de inversiones individuales en TI. Este artículo propone un medio para aumentar la visibilidad del riesgo financiero del componente individual de TI con el fin de mitigar las implicancias negativas del fracaso de TI en el desempeño estratégico.

Potencialmente aumentar el paradigma de gestión de portafolio de inversión de TI de ISACA, la visualización del riesgo financiero y comprender qué tipo de respuestas se requieren para aumentar el éxito de TI en las diferentes áreas, como en la figura 2, son útiles en el contexto de ayudar a garantizar que los objetivos estratégicos de la organización se logren.

Estratégicamente, la determinación del riesgo financiero de la inversión en TI brinda una valiosa información visual en el contexto de la administración de portafolio de TI, aunque puede requerir un poco más de esfuerzo producirla.

Notas finales

1 As a management consultant for this large IT company at the time, the author developed the model in question. A recent study of ISACA’s CGEIT Review Manual gave the author reason to revisit his 15-year-old IT Portfolio Management Model and even to contrast it with ISACA’s IT investment portfolio management paradigm.
2 Nasdaq, “Risk-Return Tradeoff,” definition, www.nasdaq.com/investing/glossary/r/risk-return-trade-off
3 Reeves, M.; S. Moose; T. Venema; “BCG Classics Revisited: The Growth Share Matrix,” Boston Consulting Group, 4 June 2014, www.bcg.com/publications/2014/growth-share-matrix-bcg-classics-revisited.aspx
4 ISACA, CGEIT Review Manual, 7th Edition, USA, 2015, p. 95, https://www.isaca.org/bookstore/Pages/Product-Detail.aspx?Product_code=CGM7ED
5 Massachusetts Institute of Technology (MIT) Center for Information Systems Research, IT Portfolio Management, MIT Sloan School of Management, Cambridge, USA, https://cisr.mit.edu/research/research-overview/classic-topics/it-portfolio-management/
6 Krigsman, M.; “Study: 68 Percent of IT Projects Fail,” ZDNet, 14 January 2009, www.zdnet.com/article/study-68-percent-of-it-projects-fail/
7 Ezer, J.; “Why Do So Many I.T. Projects Fail?” Huffpost, 10 September 2010, https://www.huffingtonpost.com/jonathan-ezer/why-do-so-many-it-project_b_712060.html
8 Op cit ISACA
9 Sharcnet, “1.5 Probabilistic Design Techniques,” University of Waterloo, Ontario, Canada, https://www.sharcnet.ca/Software/Ansys/16.2.3/en-us/help/ans_adv/Hlp_G_ADVPDS5.html
10 Massachusetts Institute of Technology (MIT) Center for Information Systems Research, Risk-Return Profiles in the IT Portfolio, MIT Sloan School of Management, Cambridge, USA, 2009, https://cisr.mit.edu/files/2009/12/Topic-Portf_Slide4_lg.PNG
11 Office of the Auditor General of Canada, “Report 5—Information Technology Investments—Canada Border Services Agency,” 2015, www.oag-bvg.gc.ca/internet/English/parl_oag_201504_05_e_40351.html#p17
12 Ibid.

Guy Pearce, CGEIT
Ha servido en juntas en banca, servicios financieros, venta al por menor y sin fines de lucro en la última década. También se desempeñó como director ejecutivo de una empresa de crédito minorista multinacional, donde dirigió la organización a la rentabilidad después de la crisis financiera mundial de 2008. Ha publicado numerosos artículos sobre datos e informática, y hoy consulta sobre gobierno corporativo, gobierno de TI y gobierno de datos.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.