C l d i i i dAlejandro Magdits, Socio – Advisory Services

Control de servicios tercerizados

20 de mayo de 2010

Breve reseña

Ernst & Young

Ernst & Youngg

EY Global► Más de 100 años de experiencia

135 000 f i l► 135,000 profesionales► Presencia en 140 países, en más de 700 ciudades► Ingresos anuales de US$21.4 mil millones► Líder en 7 de los 10 principales mercados del mundo

EY Perú► 49 años de experiencia► 26 socios► Cerca de 500 profesionales ► Nuestros clientes► Nuestros clientes

§ Corporaciones multinacionales§ Empresas locales líderes§ Empresas medianas en expansión§ Negocios emergentesg g§ Organismos gubernamentales

Advisory Servicesy

► Strategy & BusinessErnst & Young Perú

(Lima – Chiclayo)► Business Risk

Services

► Strategy & Business Transformation

AssuranceAuditoría

TAXAsesoría Tributaria

AdvisoryAsesoría de Negocios

Services

► IT Management & Risk Services

Soporte Multidisciplinario► Finance & Performance

Management Services

P M t► Program Management Services

¿Por qué outsourcing?

Tipos de servicio 

En el mercado existe hoy una variedad de servicios de outsourcing:• Data center operations  

p

• Help desk  

• Desktop support  

• Application development 

• Application maintenance

• Database administration

• Website systems

• Data network operations

• Disaster recovery services

• IT security

Motivos para decidir

¿Por qué considerar el outsourcing?

p

EY 2009

EY 2009

EY 2009

EY 2009

F t R i d l O t i d i t d i f ió U áli i d it ió l ió / G l R i / U i id d d Ali t 2006

EY 2009

Fuente: Razones y riesgos del Outsourcing de sistemas de información: Un análisis de situación y evolución / Gonzales Ramirez / Universidad de Alicante 2006Ernst & Young IT trends flexibility through outsourcing / 2009

Cuando considerar el outsourcingg

Alta

n

Gestión de información para un servicio interno o externo ininterrumpido

Gestión de información estratégica para el negocio Aplicaciones son fundamentales para

as d

e in

form

ació

n interno o externo ininterrumpido. Aplicaciones críticas para la conducción del negocio. Interrupciones son fatales. Presunción del outsourcing: SIRazones para considerar el outsourcing:• Alta calidad de servicios y backup

F d l i l i

negocio. Aplicaciones son fundamentales para el desarrollo de la estrategia y operación del negocio.Presunción del outsourcing: NORazones para considerar el outsourcing:• Rescatar una unidad de IT

F ilit l fl ibilid d ti d t

obre

los

sist

ema • Foco de la gerencia en el negocio • Facilitar la flexibilidad operativa y de costos

• Focalizar la gestión de la gerencia

Gestión de información para un soporte o i t t A li i tú

Gestión de información para la mejora tá ti d l i A li i

nden

cia

actu

al s interno o externo. Aplicaciones que actúan

sobre la cadena de valor de la empresa.

Presunción del outsourcing: SIRazones para considerar el outsourcing:• Acceso a profesionales de IT experimentados

táctica del negocio. Aplicaciones que propician la mejora continua y en ocasiones la innovación.Presunción del outsourcing: NORazones para considerar el outsourcing:• El área de IT no tiene la tecnología o

Baja

Alta

Dep

e

Importancia de la información para el sostenimiento, innovación y desarrollo del negocio

• Acceso a tecnología vigente• Reducción de riesgos por arquitectura de IT

competencias requeridas.• El área de IT no tiene las competencias para la gestión de proyectos de IT.

Fuente: Ernst & Young IT trends flexibility through outsourcing / 2009

Alta

Hacer, comprar o outsourcingp g

La decisión también incluye un análisis detallado de las reales competencias y capacidades de la empresa en relación al proceso o función que podría 

l d lid d d i i d i

Competencias y capacidades de la compañía en l ió l j f t t

pasar a un tercero en la modalidad de servicios de outsourcing.

égic

a

relación a la mejor fuente externa

C /

Baja

H T d i

Igual Alta

cia

Estr

até Comprar / 

OutsourcingHacer, comprar o outsourcing

Tendencia a hacer

Baja

Impo

rtan

c

Alianza Estratégica

Tendencia a hacer

HacerAlta

Fuente: Rands , 1993

Riesgos

Riesgos   

Análisis de riesgos de servicios tercerizados 

g

1 21 2

F t I f ti S t C t l J l V l 5 2005Fuente: Information Systems Control Journal Vol. 5, 2005.

Posibles riesgos del outsourcing (1)Resultados no deseados Indicios que sugieren el resultado no deseado

Costos no esperados para la transición y gerencia del servicio

• Falta de experiencia y conocimiento de la empresa en el proceso de contratación y la gestión del servicio

g g ( )

transición y gerencia del servicio contratación y la gestión del servicio.• Incertidumbre del entorno regulatorio.

Costos por cambiar de proveedor • Reducido número de proveedores• Alcance del servicio• Interdependencia de actividadesInterdependencia de actividades 

Altos costos por adendas al contrato.

• Incertidumbre• Discontinuidad de la tecnología empleada• Complejidad de las tareas y servicios

Disputas y litigios • Medición de los problemasDisputas y litigios • Medición de los problemas• Falta de experiencia del proveedor y de la empresa en la naturaleza del servicio y del contrato de outsourcing.

• No hay química entre las empresas • Incertidumbre del entorno regulatorio.

Mal servicio • Interdependencia de actividades• Falta de experiencia y conocimiento del proveedor de servicio• Tamaño del proveedor y capacidad financiera• Medición de los problemas• Complejidad del servicio

Posibles riesgos del outsourcing (2)Resultados no deseados Indicios que sugieren el resultado no deseado

Escalamiento de costos • Falta de experiencia y conocimiento de la empresa en el proceso de contratación y la gestión del servicio

g g ( )

contratación y la gestión del servicio.• Medición de los problemas• Falta de experiencia y conocimiento del proveedor de servicio

Pérdida de competencias en la organización

• Alcance del servicio• Proximidad a competencias clave del negocioorganización Proximidad a competencias clave del negocio• Interdependencia de actividades

Costos ocultos del servicio • Complejidad de las actividades• Medición de los problemas• Incertidumbre

Seguridad de la información: confidencialidad, integridad, disponibilidad

• Falta de experiencia y conocimiento del proveedor de servicio• Falta de experiencia y conocimiento de la empresa en el proceso de contratación y la gestión del servicio.

• Alcance del servicio• Medición de los problemas• Control  interno inadecuado

F t M i IT O t i L l d A b t B it M 2001Fuente: Managing IT Outsourcing: Lessons learned – Aubert Benoit May 2001

Controles

Gestión de Riesgos   

Tres aspectos de la gestión de riesgos de servicios de outsourcing:

g

• Key performance indicators• Elementos del costo• Niveles de servicio

• Due diligence• Reporte periódico y registro

• Niveles de servicio• Niveles de operación

del servicio• Informe a la Gerencia de la

empresa

Administración y pago de los servicios de outsourcing

F t I f ti S t C t l J l V l 5 2005

servicios de outsourcing

• Nivel de soporte y cumplimiento• Conciliación de pagos• Bonificaciones / Penalidades

Fuente: Information Systems Control Journal Vol. 5, 2005.

Principios para SLA y OLA

• Las métricas deben propiciar el comportamiento deseado.• En el proveedor de servicio y en la empresa

p p y

• Las métricas reflejar factores controlados por el proveedor de servicio.• Determinar las dependencias entre la empresa y el proveedor

• Identificar condiciones previas y determinar responsabilidades

• Seleccionar métricas que se puedan medir.• Indicadores automáticos y procedimentales

• Medición directa e indirecta

• Número razonable de métricas.• Medir lo necesario y clave para el éxito del servicio y de la gestión del mismo

• Definir un baselineDefinir un baseline.• El valor objetivo de base del indicador debe ser razonable y alcanzable.

• Registro de tendencia / registros históricos / actualización de objetivos. 

F t M t i f t i i I HFuente: Metrics for outsourcing services – Ian Hayes

Categorías de las métricas

1. Volumen de trabajo

2. Calidad del trabajo

g

a. Ratio de defectosb. Cumplimiento de estándaresc. Calidad técnicad Disponibilidad del serviciod. Disponibilidad del servicioe. Satisfacción del servicio

3. Nivel de respuestaa. Tiempo para implementación

Información de reporte• Periódica• Comparable

Vi lp p p

b. Tiempo de respuesta y atenciónc. Backlog de pendientes

4. Eficiencia

• Visual• Completa

a. Costo / unidad de trabajob. Utilización del personalc. Ratio de retrabajos

Contenido general del contrato

1. Alcance detallado del servicio

2. Medición del desempeño

g

3. Propiedad intelectual

4. Controles y auditoría

5. Responsabilidades5. Responsabilidades

6. Dependencias del servicio 

7. Transición y continuidad del servicio

8 P d l ió d di t8. Proceso de resolución de disputas

9. Cobertura de seguro

10. Honorarios

11. Limitaciones de responsabilidad

12. Renovación / Término

Auditoría del servicio

Evaluación del cumplimiento, riesgos y controles• Gestión de la configuración  

• Gestión de cambios

• Planeamiento de capacidad

• Continuidad del servicio

• Gestión de incidentes

• Gestión de problemas

• Acuerdos de niveles de servicio y operacióny p

• Seguridad de datos e información

Modelo de administración y controly

Statement of Auditing Standards ‐70g

Alejandro Magdits, Socio

Ernst & Young

Advisory Services 

Information and Technology Management

l j d di @alejandro.magdits@pe.ey.com