EL ASUNTO DE LA SUBCONTRATACION (TERCERIZACIÓN) Actividades / Preguntas 1. En el Caso usted se ha enfrentado a un detallado proceso de subcontratación (tercerización): 1.1. De su evaluación de este proceso. El proceso por el cual TIBO comienza el la Subcontratacion o Tercerizacion para el desarrollo de We-Bop no fue apropiado y efectivo. Podemos tomar como partida de la evaluacion el proceso por el cual se decide contratar al proveedor: Cito: HEAM_TIBOCaseStudy_2ndEdition_SP.pdf, pagina 10: “En un partido de golf, De Haes escucho a un amigo de otro Banco hablar de una extraordinaria empresa de desarrollo de software de Singapur que genera aplicaciones y brinda el servicio de e-banking” Como podemos apreciar en el texto anterior, la practica para escoger el proveedor del servicio que se necesitaba desarrollar, no fue la mas elocuente. Este proceso debio haber requerido de una correcta selección del proveedor, catalogando, filtrando y seleccionando la mejor opcion. Se debio haber realizado una apertura de pliegos, en donde se especifican todos los requerimientos necesarios para el proyecto. Otro punto a tener en cuenta son los Roles y asignaciones llevados a cabo. Si bien el SLA define alcances, responsabilidades, en el proceso no esta claro cuales son los Roles y quienes los responsables de asumirlos en las diferentes etapas de todo el proyecto, a ser: “Control de calidad post-implementacion, gestion de cambios, definicion del marco de pruebas a nivel operativo, monitoreo de los acuerdos establecidos por las partes”. Todos estos puntos, ademas de deinirlos en el SLA, debieran ser Responables de Auditarlos y monitorearlos a fin de garantizar los mismo en todas las etapas del proyecto y aun en su culminacion. 1.2. Describa los problemas y/o riesgos a los que se enfrenta TIBO. Podemos definir una seria de risgos y problemas que en el proceso de Subcontratacion TIBO se enfrentara, los mismo pueden ser referentes a: Riesgos y Problemas relacionados con la disponibilidad tecnica: Debido a que no se detallo el FrameWork necesario, no se puede definir si esatra disponible, en tiempo y forma la cuestion tecnica para llevarse a cabo el proyecto. Riesgos y Problemas Operativos: al no determinarse el marco funcional y operacional habalado por un marco de pruebas del servicio. Riesgos y Problemas con la selección del Proveedor: no se opta por una correcta selección del proveedor de servicio. Esto puede ocacionar un impacto economico y politico dentro del grupo estrategico de la empresa. Riesgos y Problemas en la calidad del Servicio: en el proceso no estan definidos los responsables de monitorear los mismos para certificar la calidad del Proyecto, como tampoco el plan a seguir ante eventualidades y fallas. Riesgos y Problemas con la Confidencialidad: este puede ser un grave problema, debido que en ningun momento se confecciona el nivel de seguridad, como asi tampoco se garantiza la privacidad de los datos. Riesgos y Problemas Cualitativos: no se definen en el SLA diferentes métricas cualitativas que le permitan a TIBO poder medir y contrastar los resultados contra la linea base de aceptación. 1.3. Identifique las mejores prácticas que, de haberse implementado, podrían haber prevenido o aliviado dichos problemas y riesgos. Como Practicas necesarios y fundamentales para poder llevar a cabo un SLA podemos citar la siguiente: Del Material: “HEAM_COBIT4.0_SP.pdf” DS2: ADMINISTRAR LOS SERVICIOS DE TERCEROS. Esta practica esta compuesta por los siguientes puntos: DS2.1 Identificación de las relaciones con todos los proveedores Esta práctica hubiera reducido el Problema con la Selección del Proveedor, habiendo identificado y catalogado al que mejor se adaptara a la necesidad de ese momento. DS2.2 Administración de las relaciones con los proveedores TIBO no definio los roles y responsabilidades necesarios, para poder lidiar con el proveedor, y poder realizar los controles y monitoreos correspondientes. No se definieron los correctos medios de comunicación, ni tampoco el tiempo y el espacio para poder realizarlos. DS2.3 Administración de riesgos del proveedor Tibo debio haber aplicado esta práctica para evitar problemas con la calidad del servicio que brinda el proveedor. Es importante que se defina en el SLA cual es el plan de contingencia si surgen riesgos, tener un marco de medicion contra los mismos. DS2.4 Monitoreo del desempeño del proveedor Esta práctica es indispensable para mitigar los riesgos relacionados a la medición de los resultados. Tener métricas que definan el desempeño llevado a cabo por el Proveedor. Es importante que existe y se defina el Responsable de informarles, el tiempo, lugar y forma, como asi tambien el Responsable de monitorear los diferentes puntos establecidos en el SLA. De acuerdo a estas practicas y teniendo conocimiento del proceso que llevo TIBO para la selección del proveedor, podemos decir que para la practica propuesta por COBIT: DS2: ADMINISTRAR LOS SERVICIOS DE TERCEROS, TIBO se encuentra en un nivel de madures 0: Inexistente. Seria importante y ventajoso poder sumar valor a las prácticas mencionadas. Para ello podemos citar “HEAM_ValITFramework_SP.pdf”, el cual provee y constituye una extensión y complemento de “COBIT”, para proporcionar un marco regulatorio global sobre el Gobierno de las TI. Cito: Del Material: “HEAM_ValITFramework_SP.pdf” Proceso: Gobierno de Valor (VG) VG3 Definir roles y responsabilidades. Definir y comunicar roles y responsabilidades para todo el personal en la empresa en relación con la cartera de programas de inversiones de negocio posibilitadas por TI, programas de inversión individuales, y otros activos y servicios de TI, para otorgar la autoridad suficiente para desempeñar los roles y responsabilidades asignadas. Estos roles deben incluir, pero no estar limitados a, un organismo de decisión sobre inversiones, promoción de programas, gestión de programas, gestión de proyectos y roles de soporte asociados. Proporcionar al negocio procedimientos, técnicas y herramientas que le permiten responder a sus responsabilidades. Establecer y mantener una estructura óptima de coordinación, comunicación y enlace entre la función TI y otras partes interesadas dentro y fuera de la Empresa. Es importante tener en cuenta y hacer uso de esta practica, para poder definir los diferentes roles y responsabilidades y agregar una eficiente relación, Proveedor-Contratante en el proceso de Tercerizacion. 2. Identifique los roles que deberían jugar en el proceso de subcontratación (tercerización): 2.1. la Auditoría Podemos citar los siquiente Roles que deberia cumplir la Auditoria en el marco de un proceso de OutSourcing. Identificar y categorizar las relaciones de los servicios con terceros Definir y Documentar los procesos de administracion del proveedor. Establecer politicas y procedimientos de evaluacion y supervision hacia el proveedor. Identificar, valorar y mitigar los riesgos del proveedor. Monitorear la prestacion del servicio del proveedor. Evaluar las metas de largo plazo de la relacion del servicio para todos los interesados. 2.2. el CEO Podemos citar los siquiente Roles que deberia cumplir el CEO en el marco de un proceso de OutSourcing. Deberia haberse consultado en la siguiente actividad: Evaluar las metas de largo plazo de la relacion del servicio para todos los interesados. 2.3. la Dirección de TI. Podemos definir los siguientes puntos directamente responsables al Area de IT: Identificar y categorizar las relaciones de los servicios con terceros Definir y Documentar los procesos de administracion del proveedor. Establecer politicas y procedimientos de evaluacion y supervision hacia el proveedor. Identificar, valorar y mitigar los riesgos del proveedor. Monitorear la prestacion del servicio del proveedor. Evaluar las metas de largo plazo de la relacion del servicio para todos los interesados. Haciendo un cuadro resumennos quedan los roles y responsabilidades antes mencionados: Actividades\Roles Auditoria CEO Direccion IT Identificar y categorizar las relaciones con los Consultada proveedores, Responsable Definir y documentar los administración del proveedor procesos de Consultada Responsable Establecer politicas y procedimientos evaluacion y supervicion de proveedores de Consultada Responsable Identificar, valorar y mitigar los riegos del Consultada proveedor Responsable Evaluar las metas a largo plazo de la relacion del Consultada servicio con todos los interesados Consultado Responsable 3. Compare estas mejores prácticas con los roles efectivamente desempeñados en TIBO. Para el caso de la Auditoria y teniendo en cuenta los Roles que se plantean en TIBO para el acuerdo con servicios de Terceros, podemos comparar: Nunca se Consulto al area de Auditoria sobre identificar los potenciales Proveedores del Servicios. Es muy importante la selección con el proveedor. EL area de Auditoria solo estaba al tanto del Contrato, haciendo una revision sobre los puntos legales, nunca se llevo documentado el proceso con el Proveedor, no se consulto ni se definio como Lidiar con el Proveedor para establecer los pasos a seguir con el SLA. Asi mismo no se definio un marco de politicas para la evaluacion y supervision hacia el Proveedor, trantando de identificar los posibles riesgos, y como enfrentarlos. Tampoco actuo en el Monitoreo del Servicio del Proveedor, para este caso deberia haber estado Informado y Consultado. Como punto final deberia haber consultado con todos los interesados del servicio, que se espera a Largo plazo del mismo, a fin de poder enfatizar las mejoras hacia el Futuro con respecto a la relacion del servicio del Proveedor. Con respecto al CEO, no se tuvo en cuenta para Consultarlo sobre las metas a largo plazo y lo esperado sobre el Proyecto que estaba estableciendo el area de TI. EL CEO estaba preocupado por querer que se culminen los proyectos de TI al minimo costo posible. El costo en TI pasa desapercibido en estos casos para el CEO. El area de IT no tuvo en cuenta en consultar e informar al Area de Auditoria, y al CEO sobre la selección de proveedores. Solo se valio de su buena Fe, o del comun llamado de “boca en boca” para establecer al Proveedor. No tuvo en cuenta la definicion de los riesgos con el Proveedor, como asi tampoco documentar los procesos que se deberian llevar a cabo con respecto a la seguridad, confiabilidad, y seguridad del Desarrollo.