280 Perspectiva Empresarial Controlar los procesos TI externalizados UNA CORRECTA DEFINICIÓN DE LAS OBLIGACIONES DEL PROVEEDOR Y LA EJECUCIÓN DE AUDITORÍAS DE CUMPLIMIENTO NOS PERMITIRÁN OBTENER GARANTÍAS DE CONTROL SOBRE LOS PROCESOS SEGUIDOS POR ÉSTE José Monedero AUDITOR INFORMÁTICO Mazars Auditores L a externalización de servicios No-shore outsourcing: Solución ser abordados con diligencia. Los intermedia en la que los equipos de aspectos a considerar incluyen: trabajo se localizan en centros near / Fase de definición: off shore, mientras que la gerencia de Considerar los criterios estratégicos éstos se localiza en onshore. en la toma de decisión. La externalización onshore de TI en Identificar claramente las España se concentra en servicios de capacidades requeridas. infraestructuras TIC, soporte de Correcta elección del proveedor usuarios y desarrollo de aplicaciones, (procesos de licitación si posible). mientras que los modelos offshore los Fase de contratación: encontramos en servicios de desarrollo Contratos bien definidos: o outsourcing se ha convertido pretensiones del cliente, en una práctica habitual responsabilidades del proveedor, límites del servicio, capacidades debido a los potenciales beneficios que ofrece a las organizaciones: reducción de costes, concentración de los recursos en las actividades propias del negocio, mejora de la madurez en los procesos, competitividad… En los últimos años estamos asistiendo a la proliferación de La organización debe procurar mantener el conocimiento relativo a los procesos subcontratados funcionales y técnicas… Acuerdos de nivel de servicio (indicadores de servicio y penalizaciones claramente definidos). Pliego de condiciones (seguridad, calidad, seguimiento, auditoría…). Fase de transición: diversos modelos de outsourcing en Planificación rigurosa. función de la localización de los Comunicación activa suministrador- equipos que suministran el servicio: cliente (traspaso de conocimiento y Onshore outsourcing: En la operaciones). misma localización. de aplicaciones en Sudamérica. El Nearshore outsourcing: En destino preferido del offshore mundial localizaciones vecinas para reducir el es el sudeste asiático. Auditorías de cumplimiento de las posibles ventajas de la proximidad moneda, cultura…) Factores de éxito en la externalización Offshore outsourcing: En localizaciones lejanas para reducir el coste de los recursos. nº 28 ESPECIAL AGE 2008-2009 Fase de operación: Medición de niveles de servicio. Seguimiento continúo. coste de los recursos sin perder las geográfica (distancia, idioma, Reajuste de indicadores. condiciones del servicio. Se debe evitar, en la medida de lo posible, que el cese de la relación Los procesos de externalización pueden resultar complejos y deben constituya un riesgo importante por una excesiva dependencia del 281 Perspectiva Empresarial proveedor de servicios. Para mitigar dicho riesgo, la organización debe procurar mantener el conocimiento relativo a los procesos subcontratados. Algunas organizaciones distribuyen el proceso externalizado entre varios proveedores para reducir la exposición al riesgo. Se debe evitar que el cese de la relación constituya un riesgo importante por una excesiva dependencia del proveedor de servicios. Auditando los procesos asumidas por el proveedor, el primer Otro aspecto decisivo es la correcta requisito es que éstas se encuentren elección del equipo de auditoría, que de control sobre los servicios claramente definidas en los acuerdos deberá reunir las siguientes externos. El problema reside en que de servicios: características: en general dicho control se centra En los acuerdos debe hacerse Constituido por auditores exclusivamente en el producto final referencia explícita a la obligación de cualificados que garanticen el empleo del servicio y en su provisión someterse a auditorías de de metodologías específicas de (disponibilidad, tiempos de respuesta, cumplimiento y definir el alcance de auditoría. satisfacción del cliente…), pero en rara éstas. Externo a la organización, A día de hoy, existe cierta cultura aportando independencia al trabajo de ocasión contempla los procesos seguidos para la obtención del mismo. Si en nuestra organización establecemos normativas para garantizar la aplicación de buenas prácticas en los procesos de TI, e implantamos controles o ejecutamos auditorías para verificar su cumplimiento, ¿no deberíamos aplicar las mismas consideraciones cuando los procesos de TI son encomendados La externalización se concentra en servicios de infraestructuras TIC, soporte de usuarios y desarrollo de aplicaciones auditoría. Puesto que las condiciones del servicio pueden verse modificadas en función de los resultados de la auditoría, es importante que dichos resultados sean presentados por un actor independiente y ajeno a las negociaciones. Capaz de asimilar de forma eficiente el conocimiento necesario sobre los procesos y sistemas del proveedor. Movilidad para poder abordar a un suministrador de servicios? modelos near / off shore. Resulta evidente que la mera medición del servicio no nos ofrece Todos los aspectos auditables garantías de que los procesos (gestión, calidad, seguridad, subcontratados cumplen con las normas documentación…) deben quedar y obligaciones definidas en los acuerdos claramente definidos en el pliego de establecidos. La ejecución de auditorías condiciones del servicio. se presenta como una herramienta Si los resultados de la auditoría acuerdos de nivel de servicio y su eficaz y necesaria para dicho fin. implican penalizaciones para el medición por indicadores nos permiten proveedor, los indicadores a considerar controlar la provisión de los servicios y la metodología de auditoría deben TI externalizados, una correcta estar claramente definidos. definición de las obligaciones del Claves en el proceso de auditoría Puesto que se trata de auditar el cumplimiento de las obligaciones La ejecución de auditorías se Conclusiones Al igual que la definición de proveedor y la ejecución de auditorías presenta como una herramienta de de cumplimiento nos permitirán control sobre los procesos obtener garantías de control sobre los subcontratados eficaz y necesaria. procesos seguidos por éste. nº 28 ESPECIAL AGE 2008-2009