RESUMEN RÁPIDO
- Qué es: la presentación trimestral (QBR, *Quarterly Business Review*) con la que un director general traduce el presupuesto IT a lenguaje de negocio para el consejo o el socio capitalista.
- Obligación legal: no aplica como tal, aunque NIS2 obliga al órgano de dirección a aprobar y supervisar las medidas de ciberseguridad. La conversación deja de ser opcional.
- Cuándo me importa: antes de cada reunión de consejo, antes de una ronda de inversores, antes de una venta o de la entrada de un socio nuevo.
- Coste de inicio: 0 € si tienes los datos. Una a dos jornadas de trabajo conjunto entre tu vCIO y tu director financiero la primera vez.
- Beneficio medible: el presupuesto IT pasa de cuestionarse cada trimestre a aprobarse en 15 minutos. Y el porcentaje que se destina a innovación sube del 30% al 50% sin aumentar el total (benchmark Libertia IT y Digital Chiefs 2026).
Datos y estadísticas clave
- El presupuesto IT óptimo para una pyme de servicios en España en 2026 está entre el 4 y el 6% de la facturación; las empresas sin dirección IT activa gastan entre el 30 y el 70% del presupuesto en mantenimiento puro y solo el 30% en mejora (Digital Chiefs, RRHH Digital 2026).
- La inversión en tecnología en España crecerá un 3% en 2026; las pymes que no priorizan ese gasto tienden a sobre-invertir en infraestructura y sub-invertir en seguridad y productividad (Computing 2026).
- NIS2 establece que el órgano de dirección debe aprobar y supervisar las medidas de ciberseguridad y formarse específicamente para ello (Directiva UE 2022/2555, art. 20).
- El 73% de las pymes con auditoría reciente identifica al menos un proyecto IT abierto sin métrica de éxito definida (benchmark Libertia IT 2025-2026 sobre 47 auditorías).
Hace unos meses un director general de una pyme familiar de servicios profesionales con 60 personas en Las Rozas me llamó dos días antes de la reunión de consejo. «Luis, mi socio capitalista llega el jueves y va a preguntarme por qué he gastado 92.000 € este año en informática. Y, sinceramente, no sé qué responderle más allá de ‘porque tocaba’. ¿Me ayudas con un par de transparencias?». Esa frase la he oído ya tantas veces que tengo plantilla.
El problema no es el presupuesto. El problema es que ningún director general debería tener que improvisar dos días antes una respuesta a una pregunta tan razonable como «¿qué nos llevamos por este dinero?». Si la respuesta no se construye antes, se construye con prisa, mal y a la defensiva. Te cuento el formato que usamos en Libertia IT para que esa pregunta no te vuelva a pillar a contrapié.
Por qué el consejo te pregunta «para qué sirve todo esto»
No te lo pregunta por desconfianza. Te lo pregunta porque IT es la única partida del P&L que tu socio o tus consejeros no entienden. Te lo voy a poner en perspectiva:
- Marketing tiene CPL, CAC, leads, oportunidades, pipeline. Lenguaje compartido.
- Comercial tiene cierre, ratio, ticket medio. Lenguaje compartido.
- Operaciones tiene productividad, mermas, plazo de entrega. Lenguaje compartido.
- IT tiene uptime, latency, MTTR, EDR, tenant, Intune. Lenguaje técnico.
Cuando hablas en código, te miran con cara de «confío pero no entiendo». Y a la mínima que las cuentas aprietan, esa cara se convierte en «recortemos por aquí, total no sé qué hace». La defensa no es bajar el código a su nivel: es subir tú a la conversación de negocio que ellos sí entienden.
Las preguntas reales que tu consejo o tu socio capitalista te están haciendo cuando preguntan «para qué sirve todo esto» son tres:
- ¿Cuánto nos cuesta IT por persona y por mes? Quieren el coste unitario para compararlo con su intuición.
- ¿Cuánto tiempo paramos por culpa de IT en los últimos 12 meses? Quieren el riesgo operativo cuantificado.
- ¿Qué porcentaje del presupuesto va a mejorar la empresa y qué porcentaje a mantenerla? Quieren saber si están invirtiendo o solo manteniéndose vivos.
Si tienes esos tres números antes de entrar a la sala, la pregunta nunca te incomoda.
Los tres números que tienes que poder responder en frío
Los preparo con mis clientes y, una vez los tienen, no los sueltan. Son la columna vertebral de cualquier conversación de IT con el consejo, con un fondo o con un comprador.
Número 1 — Coste IT total por empleado y mes. Sumas todo el gasto IT del año (licencias, hardware, MSP, ciberseguridad, formación, proyectos) y lo divides entre la plantilla media y entre 12. Para una pyme española de servicios, una cifra razonable está entre 80 y 180 €/empleado/mes. Si estás muy por encima sin justificación, alguien te va a preguntar. Si estás muy por debajo, vas con riesgo y debería ser tu propia bandera roja.
Número 2 — Tiempo de inactividad acumulado en 12 meses. No solo caídas grandes: cualquier hora en que un equipo o un servicio crítico no estuvo disponible. Lo expresas en horas-empleado perdidas y, si quieres impactar, lo conviertes a euros (horas perdidas x coste medio por hora). Una pyme de 60 personas con un MSP serio debería estar por debajo de 30 horas-empleado de inactividad real al año. Si tu número son 200, tu consejo necesita saberlo.
Número 3 — Reparto de presupuesto entre mantenimiento e innovación. El benchmark anglosajón habla de run (mantenimiento), change (proyectos de mejora) e innovate (apuestas nuevas). Una pyme española sana se mueve en torno a 50% mantenimiento, 35% mejora, 15% innovación. La mayoría de pymes que entramos a auditar en Libertia IT está al 75-85% en mantenimiento. Eso lo tienes que poder enseñar y explicar por qué quieres moverlo.
Cuando empiezas la presentación con esos tres números, el consejo escucha el resto. Sin ellos, el resto da igual.
La QBR de IT que damos: una hora, una página, cero tecnicismos
QBR es solo la sigla anglosajona de revisión trimestral de negocio. Aplicado a IT, es la presentación que hacemos cada trimestre con el comité de dirección y, cuando toca, ante el consejo. Estructura fija, una página por bloque, lenguaje de negocio:
Bloque 1 — Cuadro de los tres números. Coste por empleado y mes, inactividad, reparto run/change/innovate. Cifra trimestre actual, trimestre anterior y objetivo del año. Una sola transparencia.
Bloque 2 — Riesgos pendientes priorizados por impacto económico. Tres a cinco riesgos máximo. Cada uno con: qué es en lenguaje de negocio (no en lenguaje técnico), qué pasa si no se hace, cuánto cuesta arreglarlo y cuándo proponemos hacerlo. Sin esto, ningún consejo aprueba inversión adicional.
Bloque 3 — Inversiones del trimestre y ROI esperado. Lo que hemos gastado fuera de cuota fija (proyectos, licencias nuevas, hardware) con la justificación de negocio. Para cada cosa: «Esto nos ahorra X horas al mes», «esto nos baja el riesgo Y», «esto nos permite vender al cliente Z». Si no se puede explicar así, se cuestiona o no se hace.
Bloque 4 — Próximos 90 días. Tres a cinco iniciativas con coste, plazo y resultado esperado. Aquí entra todo: ciberseguridad, productividad, IA, ahorro de licencias. Lo importante es que cada iniciativa lleva un dueño y una métrica de éxito.
Bloque 5 — Una pregunta abierta al consejo. «¿Damos prioridad a X o a Y?», «¿Cómo veis el ritmo de inversión en seguridad?». Convierte la presentación en conversación. El consejo se siente escuchado y la decisión queda compartida.
Cinco bloques, una hora. La primera vez que lo haces te cuesta dos jornadas prepararlo. A partir del segundo trimestre, lo refrescas en tres horas con tu vCIO.
Cómo se convierte el lenguaje técnico en lenguaje de negocio
Esta es la parte que más cuesta a los técnicos y la que más diferencia hay con la mayoría de presentaciones de IT que he visto en consejos. Te lo enseño con cuatro ejemplos reales:
| Lo que dirías técnicamente | Lo que dice tu consejo |
|---|---|
| «Hemos migrado el AD a Entra ID y aplicado políticas de Conditional Access» | «Hemos blindado el acceso al correo y a los documentos de la empresa para que solo se abran desde dispositivos autorizados. Esto baja a la mitad el riesgo de robo de cuenta.» |
| «Activamos EDR gestionado 24×7 con threat hunting» | «Tenemos vigilancia activa contra ciberataques las 24 horas. Antes, si alguien atacaba un viernes a las 22:00, no nos enterábamos hasta el lunes. Ahora se ve y se corta en minutos.» |
| «Implantación de Intune con políticas de compliance» | «Si un empleado pierde el portátil o el móvil del trabajo, podemos borrar los datos de la empresa a distancia y bloquear el acceso en menos de 10 minutos. Antes era imposible.» |
| «Despliegue de Copilot for Microsoft 365 en 18 licencias seleccionadas» | «Hemos dado un asistente de IA al equipo que escribe propuestas. En el primer mes ahorraron 4 horas por persona y semana en redacción y revisión. Coste anual del piloto: X €. Tiempo recuperado al año: Y horas.» |
La regla es simple: cada cosa que pides al consejo se explica como qué pasa si lo hacemos y qué pasa si no lo hacemos, en horas, en clientes, en riesgo o en euros. Si no se puede traducir, no es un proyecto: es una manía técnica.
El caso de la pyme familiar de Las Rozas
Cliente: pyme familiar de servicios profesionales, 60 personas en Las Rozas, oficinas en parque empresarial noroeste.
- El contexto: empresa familiar de segunda generación con un socio capitalista incorporado hace dos años. Reuniones de consejo trimestrales. Hasta entonces, el director general improvisaba la transparencia de IT con los datos que le pasaba el técnico interno la víspera.
- El detonante: en el consejo de junio el socio capitalista cuestionó por qué se habían gastado 92.000 € en IT sin un cuadro claro de retorno. Salió de la reunión con la sensación de que IT era un agujero negro.
- El cambio (4 meses): implantamos QBR trimestral con la estructura de los cinco bloques. Primer ejercicio conjunto: limpiamos licencias inactivas (~9.500 €/año recuperados), redirigimos parte del presupuesto de mantenimiento a un piloto de IA en propuestas comerciales y a refuerzo de ciberseguridad post-NIS2.
- El resultado en el siguiente consejo: el director general defendió un presupuesto IT de 96.000 € (ligero aumento) con tres números en la mano, el ROI del piloto de IA cuantificado en horas y un cuadro de riesgos NIS2 con propietario y plazo. La conversación duró 18 minutos. El presupuesto se aprobó por unanimidad. El socio capitalista pidió tener el mismo formato para los próximos consejos.
- El plus inesperado: cuando seis meses después llegó la conversación con un fondo interesado en entrar al capital, la due diligence tecnológica ya tenía toda la documentación que el fondo pedía. Acortó el proceso en cuatro semanas.
El hueco que NIS2 abre y casi nadie cuenta
Hay un punto de la directiva NIS2 que vale la pena resaltar porque cambia esta conversación: el órgano de dirección de la empresa está obligado a aprobar y supervisar las medidas de ciberseguridad, y debe formarse específicamente para ello. En cristiano: tu consejo, tu socio o tu administrador único es responsable personal de que la ciberseguridad esté bien dimensionada. No solo el responsable técnico.
Eso significa dos cosas para ti como director general:
- Es una palanca de presupuesto. Cuando el consejo entiende que su firma personal está debajo de la decisión, deja de ver la inversión en seguridad como un gasto y la empieza a ver como una protección suya. La aprobación del 0,5% adicional de facturación en seguridad deja de ser una pelea.
- Es una responsabilidad nueva. Si algo pasa y no puedes demostrar que el consejo aprobó las medidas, parte de la responsabilidad sube por encima de ti. Convertir la QBR en acta firmada cubre esa parte. No es paranoia: es buen gobierno.
Esto lo desarrollamos en detalle en NIS2 para pymes en España 2026 con la check-list de los pasos que tu pyme tiene que tener cubiertos antes de la transposición definitiva.
Cuándo NO necesitas montar una QBR formal
Hay tres casos en los que esta presentación es exagerada hoy y conviene esperar a que cambie el contexto:
- Si eres el único socio y no rindes cuentas a nadie. No necesitas una QBR formal trimestral. Necesitas una autoreunión semestral en la que te obligues a mirar los tres números. Que sea contigo mismo no te exime de la disciplina.
- Si tu empresa es muy estable y tu IT funciona en piloto automático. Empresas pequeñas en sectores muy regulados, con plantilla fija y con muy poco proyecto. Una revisión anual con un par de transparencias puede ser suficiente. Lo que no puede pasar es no tener nada.
- Si vienes de cero y aún no tienes los números. No empieces por la QBR. Empieza por la auditoría de exposición y construcción de los tres números. Hasta que no tengas el dato base, la presentación es teatro.
En cualquier otro caso, una QBR trimestral es la diferencia entre un IT que se cuestiona y un IT que se respeta.
¿Cuánto debería gastar mi pyme en IT al año?
Como referencia para una pyme española de servicios profesionales en 2026, el rango sano está entre el 4 y el 6% de la facturación anual. Empresas industriales bien gestionadas pueden estar algo por debajo. Empresas tecnológicas o de datos, por encima. Lo importante no es el porcentaje absoluto, sino cómo se reparte entre mantenimiento, mejora e innovación.
¿Qué tres números tengo que poder responder ante mi consejo?
Coste IT total por empleado y mes, tiempo de inactividad acumulado en los últimos 12 meses (en horas-empleado y, si se puede, en euros), y reparto del presupuesto entre mantenimiento, proyectos de mejora e innovación. Con esos tres números, cualquier consejo entiende dónde estás.
¿Qué es una QBR de IT y cada cuánto se hace?
Una QBR (Quarterly Business Review) es la revisión trimestral de la actividad y resultados de IT, presentada en lenguaje de negocio al comité de dirección o al consejo. Cinco bloques: cuadro de números, riesgos pendientes, inversiones del trimestre con ROI, próximos 90 días y una pregunta abierta para decisión compartida. Una hora cada tres meses.
¿Cómo traduzco las decisiones técnicas a lenguaje de negocio?
Cada decisión técnica se explica como qué pasa si lo hacemos y qué pasa si no lo hacemos, expresado en horas ahorradas, riesgo bajado, clientes protegidos o euros. Si una decisión no se puede traducir así, casi siempre significa que no es prioritaria o que falta el caso de negocio.
¿Qué obliga NIS2 al consejo de administración de mi empresa?
NIS2 (artículo 20) establece que el órgano de dirección debe aprobar y supervisar las medidas de ciberseguridad y debe recibir formación específica al respecto. Eso convierte la QBR de seguridad en una herramienta de gobierno, no solo de gestión, y hace responsable personalmente al consejo de la diligencia debida.
¿Necesito un vCIO solo para preparar la presentación?
No solo para eso, pero esa es una de las funciones del vCIO. La diferencia entre un MSP que solo te factura licencias y un vCIO de verdad es exactamente esta: el vCIO se sienta contigo a preparar la conversación con tu consejo, traduce la operación en negocio y firma con su nombre el cuadro de métricas. Si tu proveedor actual no hace eso, está dejando dinero sobre la mesa por ambas partes.
¿Por dónde empiezas?
La próxima reunión de consejo o la próxima conversación con tu socio van a llegar igual. La pregunta es si llegan contigo improvisando dos días antes o contigo con los tres números preparados, una QBR estructurada y la conversación bajo control.
Esta semana: intenta calcular tú mismo, en una hoja, los tres números (coste IT por empleado y mes, horas de inactividad en los últimos 12 meses, reparto run/change/innovate). Si te faltan datos, esa es exactamente la primera ganancia: identificar el agujero de información antes de que te lo identifique tu consejo.
Antes del próximo trimestre: reserva 30 minutos sin coste con un vCIO de Libertia IT. En esa media hora preparamos contigo los tres números, te dejamos la plantilla de QBR adaptada a tu caso y te decimos qué dos cosas mover antes de la siguiente reunión. Si los datos no salen para tu pyme, te lo decimos también. Agenda 30 minutos con un vCIO de Libertia IT →
Si te interesa el contexto más amplio del servicio Virtual CIO y de cuándo una pyme necesita un vCIO, todo eso entra en la misma conversación.
