Ciclo de vida del Outsourcing de TI

Download PDF

Para acabar con el tema de los post, en este ultimo se explicara el ciclo de vida de un proceso de Outsourcing, y de como realizar este para evitar cualquier tipo de riesgo en un futuro para las empresas implicadas.

La actividad del Outsourcing no es concretamente una contratación de un tercero, sino que podría decirse que es una fusión entre el contratante y la empresa o empresas contratadas para alcanzar las metas de forma conjunta y compartir los riesgos. Muchas veces, esta actividad no es considerada una actividad esencial entro del negocio del cliente, cosa que no es correcta, ya que es un proceso vital para la supervivencia y el crecimiento para una empresa. El Outsourcing como es considerado un proceso, este tendrá un determinado ciclo de vida [1].

En la siguiente imagen se puede ver reflejado un modelo para entender el ciclo de vida mencionado con anterioridad. Estos modelos son variables, es decir, cada empresa puede obtener uno propio.

Captura1

Al existir varia herramientas y metodologías para gestionar las fases existentes, tendrán que entenderse en su contexto y ser tomadas como buenas practicas ara gestionar los  elementos que se puedan presentar en el modelo. Es sumamente importante que estas herramientas utilizadas sean concordantes con el modelo de dirección y cultura de la empresa [2].

Todo proceso de Outsourcing debe empezar por realizar una decisión de negocio y una preparación sobre los servicios que queramos dejar en manos de terceras empresas y un plan estratégico. Tener en cuenta que por muy novedosas y potentes que parezcan las diferentes soluciones posibles a escoger, estas deberán concordar y estar relacionadas de alguna manera con la cultura organizativa y el modelo de dirección, para evitar cualquier tipo de problemas y riesgos futuros. En este primer paso, se realizara también una gestión de riesgos y una identificación y valoración de los elementos regulatorios (Activos físicos, contratos, empleado)

Seguido, se procederá a la selección del proveedor. Para realizar una selección correcta, se tendrán en cuenta elementos técnicos como comerciales y deberá cumplir:

  • Tener capacidad legal para prestar servicio.
  • Aceptar las condiciones del contrato impuestas por parte de la empresa, tales como responsabilidad o exclusividad.

 

Una vez elegida las empresas proveedoras, se iniciara la negociación del contrato. Sera importante formar un equipo mixto que incluya perfiles profesionales, tanto internos como externos. Es importante que estos perfiles se conozcan bien y estén alineados en cuanto a objetivos y expectativas, no ya sólo respecto del contenido del contrato, sino del proceso negociador en sí mismo.

Por ejemplo, ¿están todos los miembros del equipo igual de decididos a sacrificar noches y fines de semana en pro de cerrar un acuerdo rápido o algunos no consideran que la transacción sea tan prioritaria como para merecer tal sacrificio?; etc. El equipo negociador es justamente eso, equipo que debe funcionar a la perfección. Proveer que la mayor parte del equipo negociador tendrá una exclusiva, por lo que se debe movilizar recursos que suplan la baja de los miembros del equipo negociador.

 

En la siguiente fase, la de transición, se recoge todo lo relacionado con las actividades que deberá realizar el proveedor.  Se pone fin aquellos contratos existentes que deben ser reemplazados por el contrato de Outsourcing, aunque es frecuente que algunos estos contratos queden en vigor al menos temporalmente.

Aparte, se realizarán todos los procesos relacionados con la transmisión de activos y contratos afectados, tales como maquinarias, instalaciones, software y hardware, etc. Que habrán sido analizados y valorados por la empresa proveedora durante la fase anterior y regulados de la siguiente manera:

  • Los mecanismos jurídicos para transmitir cada uno de los activos y contratos.
  • El precio que deberá pagar el proveedor contratado a quien se transfieren los activos.
  • Las garantías que recibirá el proveedor contratado en relación con la propiedad de los elementos que se transmiten, su estado y adecuación, etc.

 

Una vez realizada la fase de transición, entraremos en la fase de trasformación y servicios.

Por una parte, la transformación es el proceso por el que el proveedor modifica el entorno del cliente en el que se desarrollan las actividades del Outsourcing, con la finalidad de adaptarlo a lo que es preciso para posibilitar la prestación de servicio con las características propias del proveedor.  Este proceso se suele llevar a cabo mediante la ejecución del proveedor de “Proyectos de Transformación” que se acuerdan con el cliente, los cuales incluyen mejoras en la forma de llevar a cabo las actividades como simplificación de procesos, renovación, etc. A diferencia de la transición, los Proyectos de Transformación dan lugar al pago de precio. Para ello, es recomendable incluir lo siguiente en el contrato el listado detallado y las fechas de cada uno de los proyectos de transformación y un procedimiento de aceptación para controlar los resultados.

Por otra parte, los servicios son lo que en realidad mueven al cliente a realizar el Outsourcing y en los que se despliega todo el potencial en cuanto a mejora de calidad y generación de ahorros.

 

Por ultimo se encuentra la fase de retorno. A la finalización del contrato de Outsourcing, aquel que vaya a reemplazar al proveedor, bien sea el mismo cliente (internalización) u otro proveedor, debe llevar la misma tarea de Transición para poder asumir el servicio. Para poder llevar a cabo tal tarea, es imprescindible contar con la colaboración del proveedor que deja el servicio, ya que solo el conoce la situación de la actividades y solo él puede trasladar tal conocimiento a quien vaya asumir esas actividades [3].

Es de vital importancia que el contrato regule en detalle el proceso de retorno, ya que es capaz de realizar una devolución y es por ello necesario asegurarse que la llevará a cabo. En caso de que el retorno no esté ya regulado en el contrato, el proveedor tendrá una posición negociadora enormemente fuerte e incluso podrá negarse a hacerlo salvo que el cliente acepte condiciones sumamente perjudiciales para el. Lo esencial que debe cubrirse es lo siguiente:

  • La duración y forma de ejecución del retorno.
  • El precio que, en su caso, se pagará por el retorno.
  • El mecanismo y precio por el cual el proveedor transmitirá al cliente los activos y contratos con terceros
  • Supuestos de terminación que darán lugar a la activación del retorno.

 

REFERENCIAS

[1] http://www.evaluandosoftware.com/ciclo-vida-outsourcing/

[2] http://www.detidat.com/2015/07/aspectos-juridicos-del-outsourcing-conferencia-eoa/

[3] https://www.computerworld.es/outsourcing/decalogo-de-un-proyecto-de-outsourcing-exitoso

 

Gestion de riesgos y Auditoria del Outsourcing de TI

Download PDF

En el último post se reflejaban los posibles riesgos y los diferentes tipos y clases de estos que podrían aparecer al realizar servicios de Outsourcing. Es fundamental el hecho de que una empresa tenga la habilidad para reducir esos riesgos de tal manera que sean insignificantes para la empresa. Para ello, en un proceso de Outsourcing, se debería de tener en cuenta las siguientes consideraciones [1]:

  1. Revisar y evaluar los procesos de la compañía para monitorear la calidad de las actividades del Outsourcing. Habrá que determinar cómo se van a monitorear los cumplimientos de los SLA y otros requisitos fundamentales del contrato. Es primordial definir en el contrato las expectativas y los objetivos a cumplir, ya que serían afectadas tanto la disponibilidad, eficiencia y eficacia de las operaciones contratadas como la seguridad de los sistemas y de los datos.

Para evitar todo esto, será necesario revisar el contrato, y establecer métricas, cuadros de mando, etc. para comparar los requisitos estipulados con los resultados en tiempo real. Todo esto se hablará dentro de la administración interna para determinar los procesos que se irán a monitorear.

En caso de no plasmar en el contrato los requisitos, se tendrá que acordar como se supervisara la calidad de los servicios y de que manera se va ha responsabilizar el proveedor en caso de insatisfacción o errores. Por eso, hay que asegurarse de plasmar los siguientes temas en el contrato:

  • Disponibilidad y tiempo de actividad esperado.
  • Rendimiento esperado del servicio.
  • Tiempo de respuesta del proveedor.
  • Tiempo de resolución de problemas.
  • Requisitos tanto de cumplimientos de los servicios como de seguridad.
  • Métricas e indicadores de rendimiento.

 

  1. Asegura de que haya procesos adecuados de recuperación de desastres para garantizar la continuidad del negocio en caso de un desastre en su proveedor.

La misma empresa deberá tener también procedimientos documentados sobre la forma en que se recuperarán sus datos en caso de desastre, donde se incluirán procesos de notificación y escalamiento, cualquier transferencia necesaria entre la empresa y el proveedor durante la recuperación, y posibles soluciones. También deberá especificarse un plan de contingencia. Por ello, se solicitará la información al proveedor sobre donde ubica sus datos, y si tiene cualquier replica de la arquitectura.

  1. Revisar y evaluar los planes de la compañía en caso de una terminación esperada o inesperada de la relación de subcontratación. Para que esto no ocurra, la empresa debería exigir al proveedor que le entregue una copia de los datos periódicamente. Los sistemas desarrollados seran flexibles y fáciles de implementar en diferentes entornos.
  1. Revisar los procesos del proveedor para garantizar la calidad del personal y minimizar el impacto de la rotación.

En caso de que los empleados de la empresa proveedora no estén calificados para desempeñar su trabajo de forma correcta o la proveedora tiene un índice alto de rotación, la calidad de los servicios desarrollados se ve afectada. Por ello, hay que revisar el contrato para asegurarse de que las descripciones tanto de los puestos de trabajo como las calificaciones necesarias para cada uno de ellos estén bien definidas y documentadas. En caso de que el proveedor realice cambios frecuentes en los puestos de trabajo, se deberá especificar y garantizar la continuidad de los servicios.

Relacionado con el tema de la auditoria de Outsourcing, cabe destacar que ISACA publico un programa de auditoria para optimizar las relaciones, selección de proveedores, la incorporación y los controles en los servicios de Outsourcing, el cual incluye [2]:

  • Procesos de gobernabilidad y evaluación de riesgos.
  • Análisis del costo-beneficio.
  • Controles internos y requisitos para el proceso de selección de los proveedores.
  • Los pasos apropiados para gestionar la transición de los proveedores internos de servicios a terceros.
  • Monitoreo clave y los controles cuantitativos de la prestación de servicios del proveedor subcontratado.

La parte del proceso de selección del proveedor incluye pasos detallados como:

  • Garantizar que el proveedor cumple con los requisitos reglamentarios de los clientes
  • Que el proveedor es un líder de la industria en el espacio de Outsourcing
  • El proveedor ha establecido un plan de continuidad comercial
  • Los códigos de la conducta entre el cliente y el proveedor están alineada
  • Que los términos del contrato son apropiados.

A continuación, reflejare un modelo de checklist elaborado para los procesos de Outsourcing de IT:

Checklist para Auditar operaciones y servicios de Outsourcing
1. Revisar los contratos aplicables para asegurar que identifiquen adecuadamente todos los productos entregables, requisitos y responsabilidades pertinentes al compromiso de su empresa.
2. Revisar y evaluar el proceso utilizado para seleccionar el proveedor de outsourcing.
3. Determine cómo sus datos se segregan de los datos de otros clientes.
4. Revisar y evaluar el uso de la encriptación para proteger los datos almacenados de la compañía
5. Determinar cómo los empleados y los proveedores acceden a sus sistemas y cómo se controlan los datos.
6. Revisar y evaluar los procesos para controlar el acceso lógico de los no empleados a su red y sistemas internos.
7. Asegúrese de que los datos almacenados en las ubicaciones del proveedor estén protegidos de acuerdo con sus políticas internas.
8. Revisar y evaluar los controles para prevenir, detectar y reaccionar ante los ataques.
9. Determinar cómo se realiza la gestión de la identidad para los hosts basados en Cloud Computing.
10. Determinar cómo el cumplimiento de las leyes de privacidad aplicables y otras regulaciones es asegurado.
11. Revisar y evaluar los procesos para asegurar que la empresa cumple con licencias de software aplicables para cualquier software.
12. Garantizar que las prácticas de retención y destrucción para los datos almacenados fuera del sitio cumplen con la política interna.
13. Revisar y evaluar la seguridad física del proveedor.
14. Revisar y evaluar los procesos de su empresa para monitorear la calidad de operaciones externalizadas. Determinar cómo se monitorea el cumplimiento de los SLAs.
15. Asegurar que existan procesos adecuados de recuperación ante desastres.
16. Determinar si los procesos de gobernanza apropiados están en marcha
17. Revisar y evaluar los planes de su empresa en caso de espera o inesperada terminación de la relación de outsourcing.
18. Si los servicios de TI se han obtenido mediante Outsourcing, revise los procesos del proveedor de servicios para garantizar la calidad del personal y minimizar el impacto del volumen de negocios.
19. Revisar y evaluar el derecho y la capacidad de su empresa de obtener información de la empresa proveedora.
20. Revisar los requisitos para la notificación de violación de seguridad. Garantizar que los requisitos están claramente definidos respecto a Cuándo y cómo el proveedor debe notificar a su empresa en caso de una brecha de seguridad y que su empresa tenga una respuesta claramente definida procedimientos cuando reciban dicha notificación.

Como conclusión, es imprescindible realizar un buen proceso de auditoría para evitar posibles problemas para la empresa, tales como gastos innecesarios, entorpecer o romper la confianza en la relación empresa-cliente, etc. Importantísimo un plan de gestión de riesgos antes de cualquier proceso de vinculación con el proveedor y establecer métricas para medir el rendimiento de los servicios y actividades proporcionadas por la parte proveedora de forma periódica, y dejar plasmado en el contrato todos los requisitos y objetivos al más mínimo detalle

REFERENCIAS:

[1] Chris Davis, Mike Sheller y Kevin Wheeler (IT Auditing Using Controls To Protect Information Assets 2nd edition, 2011), edicion PDF, Capitulo 14

[2] https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_proquest1905430789&context=PC&vid=deusto&lang=es_ES&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,OUTSOURCING%20AUDIT&sortby=rank&offset=0

 

Errar es de humanos

Download PDF

Si bien es cierto que esta frase tiene todo el sentido del mundo, creo que queda incompleta sin la coletilla de “y rectificar de sabios”. Lo cierto es que esto siempre lo he creído así, no siempre se puede salir victorioso, y, por tanto, debemos amoldarnos y ser flexibles frente a lo que puede ocurrirnos, rectificar en definitiva. Mi madre siempre me tiene dicho que “cuando dios cierra una puerta, abre una ventana”, aunque esto, desde pequeño, yo siempre lo he puesto en duda (¿Cómo voy a salir por la ventana si vivimos en un quinto piso?). En cualquier caso, un error, problema o acontecimiento inesperado puede convertirse en una oportunidad. Lo importante es estar preparado para correr el riesgo y controlarlo en la medida de lo posible, para ver si se hace más o menos probable. Como se ha dicho, cualquiera se puede equivocar y yo el primero. Este es mi último post y me gustaría redondear todo lo que hemos visto estos meses atrás, para poner la guinda a “nuestra relación” dentro del mundo del Outsourcing TI.

Como comentamos anteriormente, el outsourcing es una práctica conocida en el mundo empresarial, tanto para el área TI como para otras tareas de la empresa. Quizás cuando hablamos de Outsourcing Ti se nos vienen a la cabeza cantidad de nombres de empresas de primera fila, generalmente multinacionales, las cuales tienen una extensa plantilla de trabajadores distribuidos por el mundo y que realizan este tipo de prácticas, como el offshoring. Es probable que no os haya ocurrido, pero este fue mi caso, la verdad, por eso hablé de externalizaciones a la India. Sin embargo, con un poco más de research llegué a la conclusión de que mi proveedor de internet es una de las empresas a nivel local que sigue esta práctica: Euskaltel. “Euskaltel, cada vez menos Euskaltel” [1], “La externalización de Euskaltel, una epidemia entre las grandes empresas” [2] o “ELA presenta una demanda contra la externalización de Euskaltel” [3] son algunos de los titulares de prensa que podemos leer al respecto. Su relación también se desarrolla en muchos casos en empresas locales (como por ejemplo, Ibermática) o estatales, pero también hay algún proveedor de servicios chino (ZTE). A veces te pasa lo que me pasó a mí, que los árboles no te dejan ver el bosque, y que ves ejemplos al otro lado del charco cuando los tienes a la distancia del cable Ethernet.

Dicho esto, ¿Qué es lo que le depara el futuro al outsourcing TI? ¿Empresas como Euskaltel seguirán externalizando sus servicios? ¡Quién lo sabe con certeza! Aunque hay algunos expertos que se atreven a aventurarse a predecir lo que será “trending topic” durante este año y el siguiente, como por ejemplo Stephanie Overby en CIO [4]. La seguridad informática de las empresas, el cloud computing (las empresas pasarán a tener todos sus datos en la nube), la creación de VMO (Vendor Management Office), debida a la tendencia de trabajar con proveedores de servicios distintos para cada tarea externalizada, la expansión de los servicios externalizados, el crecimiento del enfoque ágil para las empresas de outsourcing o la automatización de algunos procesos TI (RPA lo llaman, Robotic Process Automation) son algunas de las tendencias que tienen y tendrán importancia durante 2017 según comenta Stephanie. Con lo cual, las empresas dedicadas a proveer servicios pueden estar tranquilas, tienen “tema” para rato. Dentro de estas tendencias también se habla del crecimiento del Big Data o el IoT como futuras tareas/áreas en ser externalizadas [5]. Esto último como el Cloud Computing son prácticas crecientes en ser externalizadas, en este caso desde el punto de vista de un grande como EY [6].

A la hora de hablar de casos de éxito o fracaso, se pueden encontrar noticias, opiniones y artículos de todo tipo. Por un lado se pueden ver ejemplos como el de General Motors en el 2012 que volvió a integrar en la empresa gran parte de las tareas TI que tenía fuera de ella, en concreto en EDS, compañía que fue de su propiedad [7] (una compañía absorbida por completo por HP durante ese periodo). ¿Por qué volvió al trabajo In-house? Otro ejemplo es el fracaso de Fujitsu en Inglaterra, en el cual se retrasó en proveer el servicio que había firmado con el gobierno británico. Sin embargo, también hay luces, como la que se comenta en la fuente, en relación con la compañía ATOS, que proveía servicio durante los Juegos Olímpicos de Londres. El funcionamiento fue excepcional y con un presupuesto ajustado. ¡Chapo!

En efecto, todo cuento tiene un final, pero lo que importa es recordar bien la moraleja. Durante los artículos anteriores hemos analizado a fondo el tema del Outsourcing, por decirlo de alguna manera, desde una perspectiva de la auditoría y la gestión. Hemos hablado del origen, de noticias relacionadas, del riesgo y de controles, lo que nos ha permitido conocer en mayor profundidad el tema y, dicho sea de paso, aprender conceptos que, personalmente yo al menos, desconocía. Lo que también espero es que hayáis llegado a una conclusión similar a la mía: auditar es una práctica esencial, no sólo para detectar el fraude, sino para comprobar que estamos yendo en la dirección correcta. Mi tema es el outsourcing TI, pero esto es aplicable a cualquier otro tema. Para finalizar, cabe destacar que el outsourcing TI es un tema esencial a tratar en una empresa y que requiere un análisis exhaustivo para que tenga éxito. No es llegar y besar el santo, todo requiere un tiempo de preparación, como la preparación de este último artículo, la cual me permite rectificar y, quizás, algún día, convertirme en sabio.

 

Referencias:

[1] ”Euskaltel, cada vez menos Euskaltel”, Eldiario.es, acceso el 12 de Noviembre del 2016, http://www.eldiario.es/norte/euskadi/Euskaltel-vez-euskal_0_326518251.html%20-%20

[2] “La externalización de Euskaltel, una epidemia entre las grandes empresas”, El Correo, acceso el 12 de Noviembre del 2016, http://www.elcorreo.com/vizcaya/20131216/economia/externalizacion-servicios-euskaltel-epidemia-201312152102.html

[3] “ELA presenta una demanda contra la externalización de Euskaltel”, Eitb, acceso el 12 de Noviembre del 2016, http://deloitte.wsj.com/cio/2012/07/10/it-outsourcing-4-serious-risks-and-ways-to-mitigate-them/  

[4] ”10 outsourcing trends to watch in 2016”, CIO, acceso el 12 de Noviembre del 2016, http://www.cio.com/article/3018638/outsourcing/10-outsourcing-trends-to-watch-in-2016.html  

[5] “Top 5 IT Outsourcing Trends for 2016”, Kosbit, acceso el 12 de Noviembre del 2016, http://www.kosbit.net/top-5-it-outsourcing-trends-for-2016/

[6] “Major outsourcing trends and risk factors”, EY, acceso el 12 de Noviembre del 2016, http://www.ey.com/gl/en/services/advisory/major-outsourcing-trends-and-risk-factors  

[7] “TOP 10 IT outsourcing stories of 2012”, ComputerWeekly, acceso el 12 de Noviembre del 2016, http://www.computerweekly.com/news/2240174665/Top-ten-IT-outsourcing-stories-of-2012

Auditar es Controlar

Download PDF

En artículos anteriores he hablado de diferentes aspectos del outsourcing TI, como su historia, evidencias sobre su práctica, ventajas y desventajas de su aplicación, riesgos asociados… El único punto a tratar que no he comentado es el control de dichos riesgos. Todo riesgo es considerado como una incertidumbre, algo que puede ocurrir durante el funcionamiento normal o las acciones de la empresa y que tiene impacto (generalmente negativo) en los resultados. Cuando hablo de acciones, esto es perfectamente aplicable a la acción de externalizar la tecnología de la empresa, que es el tema que nos incumbe. Para que este proceso sea lo más satisfactorio posible, es necesario establecer una serie de medidas para comprobar cuál es el nivel del riesgo (o la probabilidad de que dicho riesgo ocurra) en cada caso y que permitan obtener una mayor certeza (diría seguridad, los humanos somos inseguros por naturaleza) de la fiabilidad de la empresa.

Siguiendo el artículo anterior, en el que establecí 4 riesgos importantes [1]  (riesgo operacional y transaccional, riesgos de la confidencialidad de la información, riesgo de la continuidad del negocio y riesgo de conformidad), podemos hacer el trabajo de un auditor y establecer la siguiente matriz de riesgos y controles. Los riesgos asociados pueden ser controlados o mitigados en cada caso. El control es posible gracias a una serie de evidencias que confirman el buen hacer de la empresa que está dando el servicio que se ha externalizado.

Riesgo Control / Mitigación
Riesgo operacional y transaccional
  • Conocer en detalle el flujo de las operaciones y transacciones.
  • Conociendo el flujo, analizar y descubrir donde una transacción puede fallar y determinar qué rol tiene la empresa que provee el servicio en dicho fallo.
  • A futuro, establecer posibles acciones a tomar en respuesta al fallo (contractuales, …).
Riesgo de confidencialidad de la información
  • Determinar los datos transmitidos a la empresa.
  • Comprobar y garantizar la seguridad y los controles de protección de datos de la empresa (in situ).
  • Pedir el SSAE16/SOC (o SAS 70), que evalúa los controles y la seguridad de la empresa (según un auditor externo).
  • Aumentar la frecuencia de visitas a la empresa en función de la importancia de los datos.
Riesgo de la continuidad del negocio
  • Simular una crisis y preguntar a la empresa para determinar cómo reaccionan a dicha situación y en cuanto tiempo.
  • Preguntar los efectos de dicha crisis en la empresa contratada y establecer a la empresa la importancia de los procesos externalizados para la empresa que la contrata (pérdidas de dinero, confianza, clientes…).
  • Disponer de una estrategia en caso de fallo del proveedor, es decir, un plan de contingencia.
  • Comprobar y evitar demasiados “lazos” de externalización con una misma empresa.
Riesgo de conformidad
  • Comprobación de que la empresa dispone de los medios necesarios para realizar la función crítica en el tiempo establecido.

Tabla 1: Matriz riesgos/controles

Después de analizar esta matriz, tenemos los riesgos, los controles a esos riesgos y creo que me dejó algo…. ¡ah sí! falta la importantísima figura del “árbitro”, es decir, el auditor. Como en cualquier otro área, a la hora de comprobar que los servicios TI son adecuados, cumplen con la ley y demás temas de vital importancia, el auditor juega su papel para comprobar que lo dicho o escrito está en consonancia con lo hecho. Cabe destacar, que como apunta el documento de GTAG para el outsourcing TI [2], este proceso tiene un ciclo de vida, desde la decisión de externalizar, pasando por la implementación y revisión, para posteriormente realizar una renegociación de lo acordado para las futuras colaboraciones. Sin embargo, debido a lo extenso del documento, supongamos que nos encontramos en la posición de evaluar los servicios externalizados, con lo que seguiríamos la siguiente tabla:

Captura de pantalla 2016-10-31 a las 11.48.27

Tabla 2: Puntos clave a la hora de auditar las operaciones externalizadas

En este caso, como se apunta en la tabla, el auditor deberá determinar si el proveedor ha tenido un rendimiento adecuado y ha cumplido con el contrato. Deberá pedir también las métricas utilizadas para medir el rendimiento, así como las áreas de mejora a tener en cuenta, las acciones a tomar en esas áreas para mejorar futuras acciones y operaciones. Aunque esto puede considerarse muy genérico, puede plasmarse de una manera más exacta mediante el plan descrito en un documento de ISACA [3]. Siguiendo un enfoque guiado por el riesgo, el auditor debe seguir 4 pasos importantes: realizar una evaluación del nivel del riesgo obtenido, realizar un trabajo de campo (si es offshore en el país, sino mediante reuniones), realizar un reporte sobre lo obtenido y continuar con las operaciones externalizadas, amoldándolas a las conclusiones obtenidas. El paso uno es el más importante y donde el auditor realiza gran parte del trabajo. En dicho paso, su función es entrevistarse con los stakeholders de la compañía, así como el proveedor del servicio, determinar los objetivos, riesgos y controles y comprobar si el proveedor dispone de algún tipo de informe (SOC1, ISO 2700X o similar). A partir de lo obtenido, deberá ajustar el alcance de la auditoría en función de los controles, desarrollar una matriz de riesgos y controles (similar a la que se ha visto en este artículo), así como un programa de auditoría. Finalmente, quizás sea necesario disponer del conocimiento de expertos, como abogados, para tomar decisiones, como por ejemplo en el tema de leyes y regulaciones.

Resumiendo, el trabajo de establecer controles para evitar, mitigar o gestionar riesgos es una tarea importante en cualquier acción de cualquier tipo, con especial importancia en el outsourcing TI. Al fin y al cabo, estás delegando funciones que podrían realizarse dentro de la empresa fuera de la empresa, con personas que no tienen ninguna unión con tu empresa (fuera del contrato) y que tienen métodos de funcionamiento o estrategias distintas a las que tu tenias y tienes. De similar manera, muchas veces se piensa que no se debe externalizar algo porque es demasiado arriesgado o, dicho de otra manera, puede tener mucho riesgo asociado. Pero la solución es clara: para obtener unos beneficios determinados hay que arriesgarse, disponiendo de una serie de controles que nos ofrezcan un mínimo de seguridad. Esa seguridad que nos puede transmitir un auditor cuando nos dice que los controles son correctos y que todo marcha como la seda. Aunque es cierto que el futuro es imprevisible y no se puede estar preparado para todo…

 

Referencias:

[1] ”4 IT Outsourcing Risks and How to Mitigate Them”, The Wall Street Journal (Deloitte), acceso el 31 de Octubre del 2016, http://deloitte.wsj.com/cio/2012/07/10/it-outsourcing-4-serious-risks-and-ways-to-mitigate-them/

[2] “Information Technology Outsourcing”, GTAG Global Technology Audit Guide, acceso el 31 de Octubre del 2016, https://chapters.theiia.org/montreal/ChapterDocuments/GTAG%207%20-%20Information%20technology%20outsourcing_2nd%20ed.pdf

[3] Adnan Dakhwe, “Risk & Control Considerations for Outsourced IT Operations”, ISACA, Core Competencies – C32, San Francisco, acceso el 31 de Octubre del 2016, http://www.sfisaca.org/images/FC13Presentations/C32_Presentation.pdf  

[4] ”Outsourced IT Environments Audit/Assurance Program”, ISACA, acceso el 31 de Octubre del 2016, http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Outsourced-IT-Environments-Audit-Assurance-Program.aspx  

Conquistar sin riesgo es triunfar sin gloria

Download PDF

Esta frase de Pierre Corneille [1], escritor francés del siglo XVII, me recuerda que para obtener los beneficios o éxitos que anhelas debes sobreponerte a tus miedos y correr ciertos riesgos que te pueden llevar al fracaso fácilmente, esto hará que la victoria te sepa a ambrosía de los dioses. Las personas nos sentimos cómodos en nuestra zona de confort y nos cuesta mucho salir de ella para cambiar. Al fin y al cabo, el trapecista que anda por un alambre está asumiendo el gran riesgo de caer al vacío, pero su gran meta es obtener el reconocimiento o el aplauso del público. Si alguno ha visto la película “El desafío”, entenderá por qué digo esto. El riesgo es inherente al ser humano y es por ello que se encuentra en todos los aspectos de nuestras vidas, de igual manera en las empresas. Las decisiones que se toman marcarán en el futuro y determinarán si el riesgo que se ha tomado era asimilable o no y/o si la decisión tomada fue la correcta. Todo lo anterior es aplicable al tema que nos incumbe, el outsourcing en el área de la tecnología. Quizás no estarás ante el riesgo de perder la vida al aplastar tu cabeza sobre el asfalto, pero sí que surgirán incidencias de distinta índole en el lugar donde se encontraban otras cuando dispongas de funcionalidad TI in-house. Es por esto que, a continuación, debo resolver una serie de dudas: ¿qué es lo que puede ocurrir al externalizar?, ¿qué riesgos pueden surgir? y la pregunta cuya respuesta es difícil de determinar, ¿merece la pena correr dichos riesgos?

A grosso modo, se pueden enumerar una serie de riesgos generales que afectan a cualquier tipo de outsourcing y que es necesario tener en cuenta a la hora de considerar un movimiento como el que comento. En un paper de Knowledge Leader [2] he encontrado una respuesta a esta duda, con una serie de riesgos a correr a la hora de optar por el outsourcing u offshoring. En este paper se habla de unos cuantos riesgos a tener en cuenta, en los que se incluye la transferencia de conocimiento a la otra empresa, dado que las acciones se realizarán en ellas y sus empleados serán los que adquieran el conocimiento; riesgo de posibles retrasos en cuanto a la producción, lo que puede repercutir en la satisfacción del cliente; riesgo de problemas de rendimiento, ya sea por problemas en la empresa subcontratada que puede afectar a la otra; y, por último, se habla de riesgos asociados a la seguridad y confidencialidad de los datos, dado que la empresa subcontratada puede tener que manipular datos sensibles de la otra. Con estos riesgos, se llega a la conclusión de que antes de determinar qué empresa subcontratar se debe hacer un análisis de los posibles proveedores y su situación actual y futura. Buena parte del futuro de la empresa puede estar en el hecho de elegir correctamente el proveedor del servicio.

Aunque estos riesgos comentados pueden parecer bastante genéricos, tienen una aplicación en la externalización TI, es decir, pueden ser extrapolados o existen algunos similares en esta área. Cualquier Business Owner tiene que tener presente una serie de riesgos, entre los cuales, los siguientes cuatro [3] son considerados como los de una mayor relevancia en el sector TI: el riesgo asociado a las transacciones y operaciones, el riesgo de la confidencialidad de la información, el riesgo de la continuidad del negocio y el riesgo de conformidad. El primero de estos hace referencia a las acciones que realiza la empresa. Existe el riesgo de que por algún motivo alguno de los pasos a realizar para aceptar/dar una hipoteca falle y es posible que dicho paso haya sido externalizado a una empresa externa. También se habla sobre el tema de información sensible, dado que la empresa subcontratada accede a datos de la empresa y esas comunicaciones pueden verse comprometidas por atacantes o trabajadores. En cuanto a la continuidad del negocio, siempre existe el riesgo de que el proveedor externo tenga algún percance, por ejemplo, un desastre natural, con lo que se debe evaluar la capacidad de reacción en dichos casos. Por último, se comenta el riesgo de conformidad, que viene dado por los otros riesgos anteriores. Por ejemplo, cuando se externaliza un tema legal cuyo incumplimiento supone una sanción para la empresa.

risk2

Los riesgos existen como se ha podido comprobar, pero ¿el éxito/objetivo lo merece? Según el artículo de Yvonne Lederer Anotucci [4] parece que sí. En mi opinión, los argumentos que comenta son de peso a la hora de decantarse por la externalización. Por un lado, esta práctica permite obtener tecnología puntera en todo momento, sin necesidad de realizar inversiones estratosféricas tanto en equipos como en formación. Al no tener que realizar estas inversiones, pagas por lo que utilizas, ahorrando en lo que a coste se refiere. Además de tecnología, se dispone de personal especializado y formado, con la cualificación necesaria para realizar bien el trabajo. También permite una flexibilidad mayor en cuanto recursos, pudiendo acceder a ellos cuando se necesite. Para finalizar, podría comentarse que los empleados no tendrán que realizar trabajos con los que su puesto de trabajo no está relacionado, solamente por el hecho de que alguien debe hacerlos, permitiéndoles centrarse en lo que se les paga.

Hablamos de riesgos y más riesgos, pero quizás hay que ser un poco más positivos y darle la vuelta a la tortilla: los riesgos no son más que oportunidades. ¿Acaso no es así? Ser optimistas no implica ir a lo que dicte el destino, dicho sea de paso. Es necesario establecer unos controles oportunos para intentar minimizar el riesgo al máximo o gestionarlo de la mejor manera posible. ¿Quién sabe cuándo puede haber un terremoto en el país y que justo tu proveedor de servicios TI se encuentre en el epicentro? Te lo digo yo, nadie. Son riesgos que hay que correr, pero el proveedor debe tener un plan de contingencia en ese caso para que pueda proveerte el servicio. ¿Cómo probar eso? Auditando que dicho procedimiento existe.

Referencias:

[1] ”Conquistar sin riesgo, es triunfar sin gloria”, Frases para cambiar ediciones, acceso el 22 de Octubre del 2016, http://www.frasesparacambiarvidas.com/2009/09/32-conquistar-sin-riesgo-es-triunfar.html

[2] “Managing Outsourcing and Offshoring Risk”, KnowledgeLeader, acceso el 22 de Octubre del 2016, https://www.knowledgeleader.com/KnowledgeLeader/Content.nsf/Web+Content/NLTheBulletin8V3!OpenDocument

[3] “4 IT Outsourcing Risks”, The Wall Street Journal, acceso el 22 de Octubre del 2016, http://deloitte.wsj.com/cio/2012/07/10/it-outsourcing-4-serious-risks-and-ways-to-mitigate-them/  

[4] ”The Pros and Cons of IT Outsourcing”, Journal of Accountancy, acceso el 22 de Octubre del 2016, http://www.journalofaccountancy.com/issues/1998/jun/antonuci.html

[5] “IT Outsourcing: The Reasons, Risks and Rewards”, Corporate Computer Services, acceso el 22 de Octubre del 2016, http://www.corpcomputerservices.com/articles/outsourcing-reasons

Claves del éxito en la negociación de contratos de Outsourcing de TI

Download PDF

Las disputas entre los clientes de outsourcing y sus proveedores pueden ser como un choque entre búfalos, señala Daniel Masur, socio a cargo de la oficina de Whasington, DC de la firma de abogados Mayer Brown. Las partes golpean cabezas, enganchan sus cuernos y prácticamente no hacen otra cosa sino generarse un enorme dolor de cabeza.

Contract-1Por ello es importante, un cliente que está en la fase previa a la firma de un contrato de externalización de servicios de TI, el objetivo final debe ser lograr una solución rentable que satisfaga sus necesidades. Por otro lado, el proveedor persigue lograr un nuevo negocio que sea rentable. Estas dos fuerzas tensionan muchas veces la cuerda hasta que, por desgracia, y pese a los enormes esfuerzos realizados por ambas partes desde un punto de vista corporativo e individual, se produce un fracaso en la operación que puede llegar a tener repercusiones considerables y a la vez costosas para ambas partes.

Para lograr el éxito en la negociación de contratos de outsourcing de TI, se debe tener mucha atención los siguientes puntos: [Read more…]

IT Outsourcing: un solo proveedor o múltiples proveedores

Download PDF

El siguiente artículo menciona que “los clientes están optando por la flexibilidad de las ofertas más pequeños, más cortos y con más proveedores, y están dispuestos a asumir las responsabilidades de gestión y de gobierno adicionales con ese modelo”.

outsourceit

No sé, si realmente las empresas estén dispuestas a asumir el esfuerzo que requiere la preparación del traspaso inicial de la operación a múltiples proveedores, no solo eso también las numerosas dificultades operacionales que puedan surgir después de la entrega, el impacto que los problemas pueden tener en la moral del personal y en la productividad misma; y el consiguiente rechazo por parte de los usuarios finales. En cambio, hay otras empresas que prefieren un sólo proveedor, como es el caso del Banco Popular que firmó un acuerdo estratégico con IBM, con el objetivo de dar apoyo a los planes de crecimiento de la entidad financiera y mantener su liderazgo en eficiencia, sobre todo para generar un ahorro acumulado, puede leer la nota completa aquí.

Es importante indicar, que hay cada vez más empresas que están buscando externalizar sus infraestructuras TIC, pero el problema viene si sólo encargarlo a un sólo proveedor o a múltiples proveedores, si este último es la opción que escogen, pienso yo que lo hacen porque prefieren ofertas más pequeños y buscan soluciones que satisfagan sus necesidades específicas, pero esto va conllevar a afrontar muchos desafíos como: el punto de contacto, colaboración e integración de cada servicio; así que más vale prevenir que curar. Para consultar en detalle sobre este tema Multisourcing, lea el siguiente artículo.

Para finalizar, actualmente se está viendo el auge de IT Outsourcing en modo cloud computing, y el Outsourcing tradicional de aquí de par de años ya se estaría dejándose de lado, pero esto es solamente un decir. Un caso de éxito es de Ibermática, que superó el modelo de externalización tradicional y sube a la nube todo su outsourcing, vea la nota completa aquí.