Está en la página 1de 12

DS2 ADMINISTRAR SERVICIOS DE TERCEROS

Claudia Lorena Pinto Quintero


Natali Henao Acevedo
Paola Andrea Duque Restrepo

Corporacin Universitaria Remington de Pereira
Facultad de Ciencias Empresariales
Programa de Contadura Publica
Pereira Risaralda
Marzo 20 de 2014

DS2 ADMINISTRAR SERVICIOS DE TERCEROS

Claudia Lorena Pinto Quintero
Natali Henao Acevedo
Paola Andrea Duque Restrepo

TRABAJO INVESTIGACION AUDITORIA DE SISTEMAS

TUTOR CARLOS ARTURO ARTEAGA PARRA

Corporacin Universitaria Remington de Pereira
Facultad de Ciencias Empresariales
Programa de Contadura Publica
Pereira Risaralda
Marzo 20 de 2014

INTRODUCCION
Como bien sabemos la Tecnologa de informacin y de Comunicacin no es
ninguna frmula magina, pero si puede llegar a mejorar la vida de todos los
habitantes del planeta.
Es por eso que existen generadores de programas en TI los cuales contienen
herramientas que puede llegar a dar cumplimiento al desarrollo de los objetivos
principales de las compaas, aportando al crecimiento, al control en procesos y a
su organizacin interna.
Con este trabajo queremos dar a conocer de cierta forma, uno de tantos miles de
procesos y de ayudas de estos aplicativos en TI, que nos dan la orientacin
cuando necesitamos el soporte en el manejo de las negociaciones con la
Administracin de Servicios con terceros.
DS2 ADMINISTRAR LOS SERVICIOS DE TERCEROS

La necesidad de asegurar que los servicios provistos por terceros cumplan con los
requerimientos del negocio, requiere de un proceso efectivo de administracin de
terceros. Se logra por una clara definicin de roles, responsabilidades y
expectativas en los acuerdos con los terceros, as como la revisin y monitoreo de
la efectividad y cumplimientos de dichos acuerdos. Una efectiva administracin de
los servicios de terceros minimiza los riesgos del negocio asociados con
proveedores que no se desempean de forma adecuada.
Se logra
- Identificacin y categorizacin de los servicios de proveedor
- Identificacin y mitigacin de riesgos
- Monitoreo y medicin del desempeo

Se mide
- Nmero de quejas de los usuario
- Porcentaje de los principales proveedores que cumplen con los
requerimientos y niveles de servicio
- Porcentaje de los principales proveedores sujetos a monitoreo

OBJETIVOS DE CONTROL
DS2.1 Identificacin de las relaciones con todos los proveedores
Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el
tipo de proveedor, la importancia y la criticidad. Mantener documentacin formal
de las relaciones tcnicas y organizacionales incluyendo los roles y
responsabilidades, metas, expectativas, entregables esperados y credenciales de
los representantes de estos proveedores.
LISTA DE CHEQUEO
1. Los servicios provistos por terceros cumplen con los requerimientos del
negocio?
2. Conozco el funcionamiento administrativo de la empresa en servicio?
3. Existen polticas definidas en la prestacin de servicios?
4. Tengo referencias sobre la prestacin del servicio?
DS2.2 Administracin de las relaciones con los proveedores
Formalizar el proceso de administracin de relaciones con proveedores por cada
proveedor. Los responsables de las relaciones deben coordinar a los proveedores
y los clientes y asegurar la calidad de las relaciones con base en la confianza y la
transparencia (por ejemplo, a travs de acuerdos de niveles de servicio).
LISTA DE CHEQUEO
1. Existe un contrato para la prestacin del servicio?
2. Quin es el contacto directo de la empresa prestadora del servicio?
3. Conoce las polticas de prestacin de servicios del proveedor?
4. Identifico la periodicidad del contrato?
DS2.3 Administracin de riesgos del proveedor
Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores
para mantener una efectiva entrega de servicios de forma segura y eficiente sobre
una base de continuidad. Asegurar que los contratos estn de acuerdo con los
estndares universales del negocio de conformidad con los requerimientos legales
y regulatorios. La administracin del riesgo debe considerar adems acuerdos de
confidencialidad (NDAs), contratos de garanta, viabilidad de la continuidad del
proveedor, conformidad con los requerimientos de seguridad, proveedores
alternativos, penalizaciones e incentivos, etc.
LISTA DE CHEQUEO
1. Se encuentran identificados cuantitativa y cualitativamente los riesgos a los
que se expone la compaa al entregar su informacin a un tercero?
2. Se cuenta con una pliza de responsabilidad que ampare y respalde la
compaa en caso de un siniestro?
3. Est definido el grado de confidencialidad y accesibilidad a la informacin por
parte del tercero a contratar?
4. Se tiene control estadstico de los eventos desfavorables presentados
durante el desarrollo del contrato?
DS2.4 Monitoreo del desempeo del proveedor
Establecer un proceso para monitorear la prestacin del servicio para asegurar
que el proveedor est cumpliendo con los requerimientos del negocio actuales y
que se apega de manera continua a los acuerdos del contrato y a los convenios de
niveles de servicio, y que el desempeo es competitivo respecto a los proveedores
alternativos y a las condiciones del mercado
LISTA DE CHEQUEO
1. Se encuentra establecido un cronograma para la verificacin de los
convenios empresariales?
2. Existe una clusula de terminacin unilateral del contrato por
incumplimiento de alguna de las partes?
3. Se realiza una comparacin estratgica del servicio prestado frente a la
competencia?
4. existe un seguimiento continuo respecto a la confidencialidad de la
informacin pactada en una de las clausulas del contrato?

MATRIZ RACI
( R ) RESPONSABLE
( A ) A QUIEN SE LE RINDE INFORME
( C ) CONSULTADO
( I ) INFORMADO

FUNCIONES

ACTIVIDADES
CEO (Director
Ejecutivo)
GERENTE
CFO (Director
Financiero)
REVISOR
FISCAL
CIO (Director de
Informacin)
JEFE DE
SISTEMAS
PMO
(Administrador
de Proyectos)
DIRECTOR DE
CALIDAD
Cumplimiento,
auditoria, riesgo y
seguridad
ASISTENTE DE
CALIDAD
Identificar y categorizar las relaciones de los
servicios de terceros.
I C I C C
Definir y documentar los procesos de
administracin del proveedor.
C C A C C
Establecer polticas y procedimientos de
evaluacin y supervisin de proveedores.
C C A C C
Identificar, valorar y mitigar los riesgos del
proveedor.
C I A C C
Monitorear la prestacin del servicio del
proveedor.
A C R C C
Evaluar las metas de largo plazo de la relacin
del servicio para todos los interesados.
C C A/R C C
DOMINIO: ENTREGAR Y DAR SOPORTE
DS2: Administrar los Servicios de Terceros
NIVEL DE MADUREZ
C
U
M
P
L
E

N
O


C
U
M
P
L
E

OBSEVACIONES
Nivel 0
No Existente cuando
Las responsabilidades y la rendicin de
cuentas no estn definidas. No hay
polticas y procedimientos formales
respecto a la contratacin con terceros.
Los servicios de terceros no son ni
aprobados ni revisados por la gerencia.
No hay actividades de medicin y los
terceros no reportan. A falta de una
obligacin contractual de reportar, la
alta gerencia no est al tanto de la
calidad del servicio prestado.



GRADO DE MADUREZ:
El grado de madurez en que se
encuentra el proceso de
administracin de terceros se
encuentra en Nivel 4
Nivel 1
1 Inicial / Ad Hoc cuando
La gerencia est conciente de la
importancia de la necesidad de tener
polticas y procedimientos
documentados para la administracin
de los servicios de terceros, incluyendo
la firma de contratos. No hay
condiciones estandarizadas para los
convenios con los prestadores de
servicios. La medicin de los servicios
prestados es informal y reactiva. Las
prcticas dependen de la experiencia de
los individuos y del proveedor (por
ejemplo, por demanda).


OBJETIVOS NO CUMPLIDOS:

No existe un contacto real con los
proveedores del servicio, debido a
que todo se encuentra estructurado
en la red, el contacto comercial y el
contrato con el administrador.

Nivel 2
2 Repetible pero Intuitivo cuando
El proceso de supervisin de los
proveedores de servicios de terceros,
de los riesgos asociados y de la
prestacin de servicios es informal. Se
utiliza un contrato pro-forma con
trminos y condiciones estndares del
proveedor (por ejemplo, la descripcin
de servicios que se prestarn). Los
reportes sobre los servicios existen,
pero no apoyan los objetivos del
negocio.



Nivel 3
Definido cuando
Hay procedimientos bien
documentados para controlar los
servicios de terceros con procesos
claros para tratar y negociar con los
proveedores. Cuando se hace un
acuerdo de prestacin de servicios, la
relacin con el tercero es meramente
contractual. La naturaleza de los
servicios a prestar se detalla en el
contrato e incluye requerimientos
legales, operativos y de control. Se
asigna la responsabilidad de supervisar
los servicios de terceros. Los trminos
contractuales se basan en formatos
estandarizados. El riesgo del negocio
asociado con los servicios del tercero
est valorado y reportado


Nivel 4
Administrado y Medible cuando
Se establecen criterios formales y
estandarizados para definir los trminos
de un acuerdo, incluyendo alcance del
trabajo, servicios/entregables a
suministrar, suposiciones, cronograma,
costos, acuerdos de facturacin y
responsabilidades. Se asignan las
responsabilidades para la
administracin del contrato y del
proveedor. Las aptitudes, capacidades y
riesgos del proveedor son verificadas de
forma continua. Los requerimientos del
servicio estn definidos y alineados con
los objetivos del negocio. Existe un
proceso para comparar el desempeo
contra los trminos contractuales, lo
cual proporciona informacin para
evaluar los servicios actuales y futuros
del tercero. Se utilizan modelos de
fijacin de precios de transferencia en
el proceso de adquisicin. Todas las
partes involucradas tienen
conocimiento de las expectativas del
servicio, de los costos y de las etapas.
Se acordaron los KPIs (Indicadores
clave de desempeo/rendimiento) y
KGIs (indicadores clave de metas) para
la supervisin del servicio.



Nivel 5
Optimizado cuando
Los contratos firmados con los terceros
son revisados de forma peridica en
intervalos predefinidos. La
responsabilidad de administrar a los
proveedores y la calidad de los servicios
prestados est asignada. Se monitorea
el cumplimiento de las condiciones
operativas, legales y de control y se
implantan acciones correctivas. El
tercero est sujeto a revisiones
peridicas independientes y se le
retroalimenta sobre su desempeo
para mejorar la prestacin del servicio.
Las mediciones varan como respuesta a
los cambios en las condiciones del
negocio. Las mediciones ayudan a la
deteccin temprana de problemas
potenciales con los servicios de
terceros.
La notificacin completa y bien definida
del cumplimiento de los niveles de
servicio, est asociada con la
compensacin del tercero.
La gerencia ajusta el proceso de
adquisicin y monitoreo de servicios de
terceros con base en los resultados de
los KPIs y KGIs.


RECOMENDACIONES:
Para el proceso DS2 de COBIT establece los siguientes objetivos de control:
Monitorear e implementar acciones correctivas
Verificar de forma continua las capacidades del proveedor y el nivel de seguridad ofrecido.


CONCLUSIONES
Con este trabajo pudimos comprobar que existe una gran necesidad de adquirir
una herramienta como apoyo en los procesos de TI, los cuales dan cumplimiento
y exactitud en los requerimientos de las compaas.
Teniendo en cuenta segn la actividad de las Compaas, existe para cada una de
ellas unos procesos y desarrollos acordes a sus necesidades, se requiere de
implementaciones, unas ms complejas que otras, pero con condiciones de
desarrollo aptas para llegar al cumplimiento de metas y procesos organizados.
A dems es necesario llevar un orden y una lista clara de lo que se requiere
implementar en las compaas, esto se logra haciendo una revisin y comparacin
entre proveedores que brinden servicios con terceros. (Autsoursing); para as
llegar a la exigencia del cumplimiento de los requisitos establecidos por las
normas que los rigen.