280

Perspectiva Empresarial

Controlar los procesos TI externalizados

UNA CORRECTA DEFINICIN DE LAS OBLIGACIONES DEL PROVEEDOR Y LA EJECUCIN DE AUDITORAS DE CUMPLIMIENTO NOS PERMITIRN OBTENER GARANTAS DE CONTROL SOBRE LOS PROCESOS SEGUIDOS POR STE

No-shore outsourcing: Solucin intermedia en la que los equipos de Jos Monedero

AUDITOR INFORMTICO Mazars Auditores

ser abordados con diligencia. Los aspectos a considerar incluyen: Fase de definicin: Considerar los criterios estratgicos en la toma de decisin. Identificar claramente las capacidades requeridas. Correcta eleccin del proveedor (procesos de licitacin si posible). Fase de contratacin: Contratos bien definidos: pretensiones del cliente, responsabilidades del proveedor, lmites del servicio, capacidades

trabajo se localizan en centros near / off shore, mientras que la gerencia de stos se localiza en onshore. La externalizacin onshore de TI en Espaa se concentra en servicios de infraestructuras TIC, soporte de usuarios y desarrollo de aplicaciones, mientras que los modelos offshore los

a externalizacin de servicios o outsourcing se ha convertido en una prctica habitual

encontramos en servicios de desarrollo

debido a los potenciales beneficios que ofrece a las organizaciones: reduccin de costes, concentracin de los recursos en las actividades propias del negocio, mejora de la madurez en los procesos, competitividad En los ltimos aos estamos asistiendo a la proliferacin de diversos modelos de outsourcing en funcin de la localizacin de los equipos que suministran el servicio: Onshore outsourcing: En la misma localizacin. Nearshore outsourcing: En localizaciones vecinas para reducir el coste de los recursos sin perder las posibles ventajas de la proximidad geogrfica (distancia, idioma, moneda, cultura) Offshore outsourcing: En de aplicaciones en Sudamrica. El destino preferido del offshore mundial es el sudeste asitico.

La organizacin debe procurar mantener el conocimiento relativo a los procesos subcontratados

funcionales y tcnicas Acuerdos de nivel de servicio (indicadores de servicio y penalizaciones claramente definidos). Pliego de condiciones (seguridad, calidad, seguimiento, auditora). Fase de transicin: Planificacin rigurosa. Comunicacin activa suministradorcliente (traspaso de conocimiento y operaciones). Reajuste de indicadores. Fase de operacin: Medicin de niveles de servicio. Seguimiento contino. Auditoras de cumplimiento de las

Factores de xito en la externalizacin

Los procesos de externalizacin pueden resultar complejos y deben

condiciones del servicio. Se debe evitar, en la medida de lo posible, que el cese de la relacin constituya un riesgo importante por una excesiva dependencia del

localizaciones lejanas para reducir el coste de los recursos.

n 28

ESPECIAL AGE 2008-2009

281

Perspectiva Empresarial
proveedor de servicios. Para mitigar dicho riesgo, la organizacin debe procurar mantener el conocimiento relativo a los procesos subcontratados. Algunas organizaciones distribuyen el proceso externalizado entre varios proveedores para reducir la exposicin al riesgo. Se debe evitar que el cese de la relacin constituya un riesgo importante por una excesiva dependencia del proveedor de servicios.

Auditando los procesos

asumidas por el proveedor, el primer A da de hoy, existe cierta cultura de control sobre los servicios externos. El problema reside en que en general dicho control se centra exclusivamente en el producto final del servicio y en su provisin (disponibilidad, tiempos de respuesta, satisfaccin del cliente), pero en rara ocasin contempla los procesos seguidos para la obtencin del mismo. Si en nuestra organizacin establecemos normativas para garantizar la aplicacin de buenas prcticas en los procesos de TI, e implantamos controles o ejecutamos auditoras para verificar su cumplimiento, no deberamos aplicar las mismas consideraciones cuando los procesos de TI son encomendados a un suministrador de servicios? Resulta evidente que la mera medicin del servicio no nos ofrece garantas de que los procesos subcontratados cumplen con las normas y obligaciones definidas en los acuerdos establecidos. La ejecucin de auditoras se presenta como una herramienta eficaz y necesaria para dicho fin. Todos los aspectos auditables (gestin, calidad, seguridad, documentacin) deben quedar claramente definidos en el pliego de condiciones del servicio. Si los resultados de la auditora implican penalizaciones para el proveedor, los indicadores a considerar y la metodologa de auditora deben Al igual que la definicin de acuerdos de nivel de servicio y su medicin por indicadores nos permiten controlar la provisin de los servicios TI externalizados, una correcta definicin de las obligaciones del proveedor y la ejecucin de auditoras de cumplimiento nos permitirn obtener garantas de control sobre los procesos seguidos por ste. requisito es que stas se encuentren claramente definidas en los acuerdos de servicios: En los acuerdos debe hacerse referencia explcita a la obligacin de someterse a auditoras de cumplimiento y definir el alcance de stas. Otro aspecto decisivo es la correcta eleccin del equipo de auditora, que deber reunir las siguientes caractersticas: Constituido por auditores cualificados que garanticen el empleo de metodologas especficas de auditora. Externo a la organizacin, aportando independencia al trabajo de auditora. Puesto que las condiciones del servicio pueden verse modificadas en funcin de los resultados de la auditora, es importante que dichos resultados sean presentados por un actor independiente y ajeno a las negociaciones. Capaz de asimilar de forma eficiente el conocimiento necesario sobre los procesos y sistemas del proveedor. Movilidad para poder abordar modelos near / off shore.

La externalizacin se concentra en servicios de infraestructuras TIC, soporte de usuarios y desarrollo de aplicaciones

Conclusiones

Claves en el proceso de auditora

Puesto que se trata de auditar el cumplimiento de las obligaciones

estar claramente definidos. La ejecucin de auditoras se presenta como una herramienta de control sobre los procesos subcontratados eficaz y necesaria.

n 28

ESPECIAL AGE 2008-2009