gestión de outsourcing o proveedores en las ti

Escuela de Industrias Ingeniería Industrial

2016

Apuntes Riesgos Tecnológicos V 1.0 Claudio Moreno V.

- 1 -

GESTION DE OUTSOURCING DE

TECNOLOGIAS DE INFORMACION

Claudio Moreno V.

Ingeniero en Información y Control de Gestión y Contador

Auditor, Universidad de Chile.

Magister en Ingeniería Industrial, Universidad Andrés

Bello, Santiago, Chile

1 Introducción

2 Principales riesgos que se asumen con motivo de externalización de

servicios 3

Condiciones que deben cumplirse en el outsourcing 4

Política de contratación y gestión de actividades relacionadas con el outsourcing

5 Continuidad del negocio

6 Seguridad de la información

7 Factores a considerar al externalizar servicios

8 Factores a considerar al externalizar servicios de procesamiento de datos


2016


- 2 -

Introducción Todas las organizaciones enfrentan cambios para adaptarse a un medioambiente cada día más incierto. Toda industria desarrolla y aplica estrategias particulares, dependiendo de distintas variables tanto internas como externas. También las empresas tienen determinadas estrategias dependiendo de su tamaño, y otras variables de mercado. Así algunas son líderes en precios, otras en tecnologías, otras por el cuidado del medioambiente, etc. Pero también aplican estrategias de carácter interno, pueden contratar a ejecutivo reconocido, adquirir nueva maquinaria, etc. Una estrategia habitual, sobre todo en áreas operacionales es el outsourcing o externalización de servicios. Podemos definir este concepto como la “ejecución por un proveedor externo de servicios o actividades en forma continua u ocasional, las que normalmente podrían ser realizadas por la entidad contratante”1. Muy relacionado con este concepto tenemos las siguientes definiciones:

1. Proveedor de servicios: entidad relacionada o no a la institución contratante, que preste servicios o provea bienes e instalaciones a éste.

2. Entidad relacionada: aquella vinculada a la propiedad o gestión de la contratante.

3. Riesgo operacional: “es el riesgo de perdidas resultantes de un falta de adecuación o de una falla de procesos, del personal y de los sistemas internos o bien por causa de acontecimientos externos”.2

4. Riesgo reputacional: “se refiere a la posibilidad de un opinión publica negativa respecto practicas institucionales, sea cierta o falsa, que deriva en una disminución de la base de clientes…”3

Principales riesgos que se asumen con motivo de externalización de servicios La externalización de servicios genera riesgos operacionales, pero también puede aumentar los riesgos estratégicos, reputacional, de cumplimiento, entre otros. Una sólida gestión de riesgos se basa en una adecuada estructura de gobierno corporativo, un marco con políticas, normas y procedimientos así como un entorno que permita identificar, evaluar, controlar, mitigar, monitorear y reportar riesgos más relevantes asociados al outsourcing de actividades.

1 Recopilación actualizada de normas capítulo 20-7, SBIF. 2 Recopilación actualizada de normas capítulo 1-13, SBIF 3 Riesgo operacional: conceptos y mediciones, David Pacheco L. SBIF.


2016


- 3 -

Medidas adicionales de mitigación deben considerar la entidad contratante, cuando el proveedor de servicios abarca un gran número de clientes. Ya que una ante una falla del proveedor puede provocar una crisis a nivel de la industria. Estas medidas también deben ser consideradas cuando se entreguen varias actividades significativas a un mismo proveedor. Para esto cada entidad debe definir en sus manuales de riesgos los criterios de concentración. Condiciones que deben cumplirse en el outsourcing Toda entidad que decida externalizar alguna actividad debe dar cumplimento a las siguientes condiciones:

a. Mantener clara política que regule las actividades asociadas a la externalización, aprobadas por la alta administración.

b. Establecer procedimientos formales para la selección, contratación y monitoreo de proveedores.

c. Controlar que proveedor y el personal a cargo de los servicios contratados posean los conocimientos y experiencias adecuados. Como también deberá velar por el cumplimiento de todos los aspectos regulatorios y legales que pudiesen afectar la provisión de los servicios contratados.

d. Mantener registro actualizado de todos los servicios contratados a empresas externas, determinando aquellos que, según sus criterios, son estratégicos y de alto riesgo. Con el fin de establecer controles y seguimiento en forma permanente de acuerdo a los niveles de importancia que se le asigne.

e. Establecer procedimientos que aseguren el cumplimiento oportuno e integral de los compromisos que tienen con sus clientes.

f. Velar por que se realicen auditorias independientes al proceso de selección, contratación y seguimiento de proveedores.

g. Solicitar a proveedores de servicios que todos los procedimientos operacionales, administrativos y tecnológicos del servicio contratado, se documenten, actualicen y estén permanentemente a disposición para su revisión por personal de la empresa o reguladores.

h. Considerar los riesgos que provienen de las cadenas de servicios externalizados (hace referencia a terceros contratados por el proveedor inicial de servicios para realizar parte importante de las actividades contratadas). Todo reflejado en los respectivos contratos.


2016


- 4 -

i. La empresa debe preparar reportes de riesgos operacionales para la alta administración. La información debe referirse a la gestión de riesgos de outsourcing.

j. Los datos, plataformas tecnológicas y aplicaciones a utilizar en el proceso de outsourcing deben encontrarse en sitio de procesamiento específicos y en caso que el servicio sea prestado desde el exterior, en una jurisdicción definida y conocida.

Política de contratación y gestión de actividades relacionadas con el outsourcing La política relacionada a estos tipos de servicios debe ser conocida y aprobada por la alta administración, y debe contener a los menos las siguientes materias:

1. Definición de estructura y procesos a seguir para autorizar y gestionar la externalización de servicios.

2. Descripción de las herramientas específicas de evaluación de riesgos en esta materia y de su utilización.

3. Criterios umbrales y tolerancias máximas al riego, así como instrumentos y estrategias de mitigación y monitoreo.

4. Criterios particulares de contratación. 5. Elementos mínimos que deben ser considerados por la empresa para

determinar los servicios que se encuentren asociados a actividades estratégicas.

6. La clara definición de aquellas actividades que solo pueden externalizarse solo con aprobación de la alta administración.

7. Revisión periódica de la política. 8. Los elementos mínimos que debe contener el contrato de prestación de

servicios. Continuidad del negocio La entidad debe verificar que sus proveedores de servicios críticos cuenten con planes que aseguren la continuidad de los servicios contratados. Estos planes deben ser probados al menos una vez al año, incluyendo cuando corresponda, el escenario de desastre de sus diferentes sitios de contingencia, debiendo verificar los resultados obtenidos.


2016


- 5 -

Seguridad de la información La empresa debe tener la seguridad que el proveedor de los servicios mantiene un programa de seguridad de la información que permita asegurar la:

1. Confidencialidad. 2. Integridad. 3. Trazabilidad. 4. Disponibilidad de sus activos de información y de sus clientes.

Estas condiciones deben ser consistentes con las políticas y estándares adoptados por la entidad y quedar escritos en el contrato respectivo. La información una vez procesada debe ser almacenada y transportada de manera encriptada, manteniendo las llaves de desemcriptacion en poder del personal correspondiente de la entidad. Piense en la información de una institución financiera, y lo relevante de mantener segura su información. De igual modo deben definirse los procedimientos de intercambio de claves entre el proveedor de servicios y la empresa cliente, también hay que establecer los roles y responsabilidades de las personas vinculadas a la administración de seguridad. Si hay procesamiento de documentación física, la empresa debe contar con procedimientos de control que cumplan con los requerimientos establecidos en las políticas respectivas. De igual manera hay que establecer procedimientos que aseguren el traspaso de información a la empresa por parte del proveedor, y asegurarse que en ninguna caso mantenga información en su poder después de terminada la relación contractual. Factores a considerar al externalizar servicios

a. Evaluación del riesgo: antes de externalizar una actividad, hay que evaluar todos los agentes involucrados respecto los riesgos que se incorporan a la empresa por la externalización. Además haya que tomar en cuenta: la relación entre riesgos y montos involucrados en outsourcing, volumen de transacciones que procesaran, criticidad de servicio, concentración de servicios en proveedor, entre otro.

b. Selección de proveedor: la empresa debe evaluar cada propuesta recibida de acuerdo a sus requerimientos y llevara a cabo proceso que sustente la opción elegida.


2016


- 6 -

c. Contrato: la empresa debe tener la seguridad que el contrato defina con claridad los derechos y obligaciones de ambas partes, contenga los acuerdos claros y sea posible medir los servicios, la fijación y metodología de pagos. Tiene que haber cláusulas de continuidad del negocio y de seguridad de la información (relacionada con la propiedad y confidencialidad). Es importante mantener cláusulas de veto en la selección de subcontratados por parte del proveedor. Debe quedar muy claro todo lo relacionado con la idoneidad y responsabilidad del personal de la empresa proveedora de servicios, así como tema legales y laborales aplicables a la situación específica.

d. Control permanente: este control se debe aplicar tanto al proveedor como al servicio que se recibe.

1. Proveedor: desempeño y los posibles cambios en los requerimientos durante el contrato. Se debe solicitar el análisis razonado del último estado financiero del proveedor como mínimo. Además, de antecedentes generales de la administración.

2. Servicio: mantener controles del cumplimiento de las clausulas estipuladas en contratos. Este monitoreo debe comprender: tipos de servicios, gestión de riesgos operacional asociada a servicio, gestión de los riesgos operacional, y posibles cambios del medio. Es necesario cubrir los requerimientos de existencia y suficiencia de procesos de traspaso a producción y escalamiento de incidentes.

Factores a considerar al externalizar servicios de procesamiento de datos Se puede dividir en dos tipos de información una de tipo general y otra más detallada acerca del proyecto mismo.

1. General: estructura de gobierno definida entre proveedor y cliente, identificando el nivel, es decir estratégico, tacto u operacional. Además, de una estructura detallada de costos de procesamiento de datos actuales y posterior al servicio de externalización.

2. Del proyecto: a. Alcance del servicio de procesamiento externo. b. Identificación de plataformas y aplicaciones de negocios que se

procesaran externamente, y aquellas que seguirán con la institución.


2016


- 7 -

c. Documentos de respaldos del proyecto de procesamiento externo. d. Detalle del acuerdo económico por los servicios. e. Informes de análisis y evaluación de riesgo efectuado por una entidad

independiente. f. Evaluación técnica y financiera de proyecto. g. Evaluaciones efectuadas para elegir proveedor. h. Detalle de traslados de hardware si corresponde. i. Metodología de certificación de pruebas y simulacros. j. Contratos de servicios, con sus anexos, y si los hay subcontratos con

terceros. k. Políticas de seguridad de la información y continuidad del negocio del

proveedor. l. Descripción, antecedentes y características técnicas detalladas del sitio

de producción y contingencia del proveedor de servicios. m. Carta Gantt del proyecto. n. Herramientas que permitan a la empresa controlar la aplicación de sus

políticas y buenas prácticas, en el proveedor. o. Herramientas que permitan a la empresa controlar el cumplimento de

los niveles de servicios acordados en contrato. p. Estructura organizacional que será responsable de las mantenciones de

software, hardware y comunicaciones. q. Políticas y procedimientos que se utilizaran para la mantención de

software operativo y comercial. r. Plan de continuidad del negocio que adoptara la institución al

presentarse una contingencia que impida a proveedor prestar servicio. s. Planes de contingencia previstos para mantener la continuidad

operacional.

Bibliografía: Recopilación actualizada de normas de la SBIF, http://www.sbif.cl/sbifweb/servlet/LeyNorma?indice=3.1.2&LNAN=1 Auditoría en Sistemas Computacionales. Carlos Muñoz Razo, Capítulo 6 Metodología para realizar auditorías computacionales. Auditoría Informática un enfoque práctico. Mario Piattini V. 2° edición, Capítulo I La informática como herramienta del auditor financiero.

gestión de outsourcing o proveedores en las ti

Documents