EL ASUNTO DE LA SUBCONTRATACION

EL ASUNTO DE LA SUBCONTRATACION (TERCERIZACIÓN)
Actividades / Preguntas
1. En el Caso usted se ha enfrentado a un detallado proceso de subcontratación (tercerización):
1.1.
De su evaluación de este proceso.
El proceso por el cual TIBO comienza el la Subcontratacion o Tercerizacion para el desarrollo
de We-Bop no fue apropiado y efectivo.
Podemos tomar como partida de la evaluacion el proceso por el cual se decide contratar al
proveedor:
Cito: HEAM_TIBOCaseStudy_2ndEdition_SP.pdf, pagina 10: “En un partido de golf, De Haes
escucho a un amigo de otro Banco hablar de una extraordinaria empresa de desarrollo de
software de Singapur que genera aplicaciones y brinda el servicio de e-banking”
Como podemos apreciar en el texto anterior, la practica para escoger el proveedor del servicio
que se necesitaba desarrollar, no fue la mas elocuente. Este proceso debio haber requerido de
una correcta selección del proveedor, catalogando, filtrando y seleccionando la mejor opcion.
Se debio haber realizado una apertura de pliegos, en donde se especifican todos los
requerimientos necesarios para el proyecto.
Otro punto a tener en cuenta son los Roles y asignaciones llevados a cabo. Si bien el SLA define
alcances, responsabilidades, en el proceso no esta claro cuales son los Roles y quienes los
responsables de asumirlos en las diferentes etapas de todo el proyecto, a ser: “Control de calidad
post-implementacion, gestion de cambios, definicion del marco de pruebas a nivel operativo,
monitoreo de los acuerdos establecidos por las partes”.
Todos estos puntos, ademas de deinirlos en el SLA, debieran ser Responables de Auditarlos y
monitorearlos a fin de garantizar los mismo en todas las etapas del proyecto y aun en su
culminacion.
1.2.
Describa los problemas y/o riesgos a los que se enfrenta TIBO.
Podemos definir una seria de risgos y problemas que en el proceso de Subcontratacion
TIBO se enfrentara, los mismo pueden ser referentes a:

Riesgos y Problemas relacionados con la disponibilidad tecnica: Debido a que no
se detallo el FrameWork necesario, no se puede definir si esatra disponible, en
tiempo y forma la cuestion tecnica para llevarse a cabo el proyecto.

Riesgos y Problemas Operativos: al no determinarse el marco funcional y
operacional habalado por un marco de pruebas del servicio.

Riesgos y Problemas con la selección del Proveedor: no se opta por una correcta
selección del proveedor de servicio. Esto puede ocacionar un impacto economico y
politico dentro del grupo estrategico de la empresa.

Riesgos y Problemas en la calidad del Servicio: en el proceso no estan definidos
los responsables de monitorear los mismos para certificar la calidad del Proyecto,
como tampoco el plan a seguir ante eventualidades y fallas.

Riesgos y Problemas con la Confidencialidad: este puede ser un grave problema,
debido que en ningun momento se confecciona el nivel de seguridad, como asi
tampoco se garantiza la privacidad de los datos.

Riesgos y Problemas Cualitativos: no se definen en el SLA diferentes métricas
cualitativas que le permitan a TIBO poder medir y contrastar los resultados contra
la linea base de aceptación.
1.3.
Identifique las mejores prácticas que, de haberse implementado, podrían haber
prevenido o aliviado dichos problemas y riesgos.
Como Practicas necesarios y fundamentales para poder llevar a cabo un SLA podemos citar
la siguiente:
Del Material: “HEAM_COBIT4.0_SP.pdf”
DS2: ADMINISTRAR LOS SERVICIOS DE TERCEROS.
Esta practica esta compuesta por los siguientes puntos:

DS2.1 Identificación de las relaciones con todos los proveedores
Esta práctica hubiera reducido el Problema con la Selección del Proveedor,
habiendo identificado y catalogado al que mejor se adaptara a la necesidad de ese
momento.

DS2.2 Administración de las relaciones con los proveedores
TIBO no definio los roles y responsabilidades necesarios, para poder lidiar con el
proveedor, y poder realizar los controles y monitoreos correspondientes. No se
definieron los correctos medios de comunicación, ni tampoco el tiempo y el espacio
para poder realizarlos.

DS2.3 Administración de riesgos del proveedor
Tibo debio haber aplicado esta práctica para evitar problemas con la calidad del
servicio que brinda el proveedor. Es importante que se defina en el SLA cual es el
plan de contingencia si surgen riesgos, tener un marco de medicion contra los
mismos.

DS2.4 Monitoreo del desempeño del proveedor
Esta práctica es indispensable para mitigar los riesgos relacionados a la medición de
los resultados. Tener métricas que definan el desempeño llevado a cabo por el
Proveedor.
Es importante que existe y se defina el Responsable de informarles, el tiempo, lugar
y forma, como asi tambien el Responsable de monitorear los diferentes puntos
establecidos en el SLA.
De acuerdo a estas practicas y teniendo conocimiento del proceso que llevo TIBO para la
selección del proveedor, podemos decir que para la practica propuesta por COBIT: DS2:
ADMINISTRAR LOS SERVICIOS DE TERCEROS, TIBO se encuentra en un nivel de
madures 0: Inexistente.
Seria importante y ventajoso poder sumar valor a las prácticas mencionadas. Para ello podemos
citar “HEAM_ValITFramework_SP.pdf”, el cual provee y constituye una extensión y
complemento de “COBIT”, para proporcionar un marco regulatorio global sobre el Gobierno de
las TI.
Cito:
Del Material: “HEAM_ValITFramework_SP.pdf”
Proceso: Gobierno de Valor (VG)
VG3 Definir roles y responsabilidades. Definir y comunicar roles y responsabilidades para
todo el personal en la empresa en relación con la cartera de programas de inversiones de
negocio posibilitadas por TI, programas de inversión individuales, y otros activos y servicios de
TI, para otorgar la autoridad suficiente para desempeñar los roles y responsabilidades
asignadas. Estos roles deben incluir, pero no estar limitados a, un organismo de decisión sobre
inversiones, promoción de programas, gestión de programas, gestión de proyectos y roles de
soporte asociados. Proporcionar al negocio procedimientos, técnicas y herramientas que le
permiten responder a sus responsabilidades. Establecer y mantener una estructura óptima de
coordinación, comunicación y enlace entre la función TI y otras partes interesadas dentro y
fuera de la Empresa.
Es importante tener en cuenta y hacer uso de esta practica, para poder definir los diferentes roles
y responsabilidades y agregar una eficiente relación, Proveedor-Contratante en el proceso de
Tercerizacion.
2. Identifique los roles que deberían jugar en el proceso de subcontratación (tercerización):
2.1.
la Auditoría
Podemos citar los siquiente Roles que deberia cumplir la Auditoria en el marco de un
proceso de OutSourcing.

Identificar y categorizar las relaciones de los servicios con terceros

Definir y Documentar los procesos de administracion del proveedor.

Establecer politicas y procedimientos de evaluacion y supervision hacia el
proveedor.

Identificar, valorar y mitigar los riesgos del proveedor.

Monitorear la prestacion del servicio del proveedor.

Evaluar las metas de largo plazo de la relacion del servicio para todos los
interesados.
2.2.
el CEO
Podemos citar los siquiente Roles que deberia cumplir el CEO en el marco de un proceso
de OutSourcing. Deberia haberse consultado en la siguiente actividad:

Evaluar las metas de largo plazo de la relacion del servicio para todos los
interesados.
2.3.
la Dirección de TI.
Podemos definir los siguientes puntos directamente responsables al Area de IT:

Identificar y categorizar las relaciones de los servicios con terceros

Definir y Documentar los procesos de administracion del proveedor.

Establecer politicas y procedimientos de evaluacion y supervision hacia el
proveedor.

Identificar, valorar y mitigar los riesgos del proveedor.

Monitorear la prestacion del servicio del proveedor.

Evaluar las metas de largo plazo de la relacion del servicio para todos los
interesados.
Haciendo un cuadro resumennos quedan los roles y responsabilidades antes mencionados:
Actividades\Roles
Auditoria
CEO
Direccion IT
Identificar y categorizar las relaciones con los Consultada
proveedores,
Responsable
Definir y documentar los
administración del proveedor
procesos
de Consultada
Responsable
Establecer politicas y procedimientos
evaluacion y supervicion de proveedores
de Consultada
Responsable
Identificar, valorar y mitigar los riegos del Consultada
proveedor
Responsable
Evaluar las metas a largo plazo de la relacion del Consultada
servicio con todos los interesados
Consultado
Responsable
3. Compare estas mejores prácticas con los roles efectivamente desempeñados en TIBO.
Para el caso de la Auditoria y teniendo en cuenta los Roles que se plantean en TIBO para el
acuerdo con servicios de Terceros, podemos comparar:
Nunca se Consulto al area de Auditoria sobre identificar los potenciales Proveedores del
Servicios. Es muy importante la selección con el proveedor. EL area de Auditoria solo estaba al
tanto del Contrato, haciendo una revision sobre los puntos legales, nunca se llevo documentado
el proceso con el Proveedor, no se consulto ni se definio como Lidiar con el Proveedor para
establecer los pasos a seguir con el SLA. Asi mismo no se definio un marco de politicas para la
evaluacion y supervision hacia el Proveedor, trantando de identificar los posibles riesgos, y
como enfrentarlos. Tampoco actuo en el Monitoreo del Servicio del Proveedor, para este caso
deberia haber estado Informado y Consultado. Como punto final deberia haber consultado con
todos los interesados del servicio, que se espera a Largo plazo del mismo, a fin de poder
enfatizar las mejoras hacia el Futuro con respecto a la relacion del servicio del Proveedor.
Con respecto al CEO, no se tuvo en cuenta para Consultarlo sobre las metas a largo plazo y lo
esperado sobre el Proyecto que estaba estableciendo el area de TI.
EL CEO estaba preocupado por querer que se culminen los proyectos de TI al minimo costo
posible. El costo en TI pasa desapercibido en estos casos para el CEO.
El area de IT no tuvo en cuenta en consultar e informar al Area de Auditoria, y al CEO sobre la
selección de proveedores. Solo se valio de su buena Fe, o del comun llamado de “boca en boca”
para establecer al Proveedor.
No tuvo en cuenta la definicion de los riesgos con el Proveedor, como asi tampoco documentar
los procesos que se deberian llevar a cabo con respecto a la seguridad, confiabilidad, y
seguridad del Desarrollo.