Home / Resources / ISACA Journal / Issues / 2020 / Volume 2 / HelpSource

Fuente de ayuda Q&A

Author: Sunil Bakshi
Fecha de Publicación: 13 May 2020
English

  ¿Existe algún estándar o marco para administrar proveedores de TI? ¿Qué mejores prácticas deberíamos adoptar para gestionar de manera efectiva a los proveedores?

  Aunque la gestión de proveedores de TI ha sido un problema al que se han enfrentado muchas organizaciones, actualmente no hay un estándar o marco específico disponible para la gestión de los proveedores. Se han publicado muchos artículos y libros blancos para analizar diversos temas relacionados con la gestión de proveedores. ISACA® proporciona un marco excelente para el gobierno empresarial de TI (EGIT), que incluye la gestión de proveedores.1 Aunque el nombre del libro implica que está destinado únicamente a organizaciones que usan COBIT® 5, es una muy buena guía sobre la gestión de proveedores para todas las organizaciones.

La subcontratación tiene sus beneficios, pero también tiene un riesgo asociado. Un aspecto para tener en cuenta es que las organizaciones subcontratan procesos, no la rendición de cuentas y por tanto responsabilidades. Por lo tanto, la gestión de los proveedores y su desempeño de conformidad con las expectativas del negocio es de primordial importancia para la gestión empresarial.

Debido a la proliferación de TI, los proveedores se parecen más a socios comerciales que comparten una responsabilidad igual o mayor por el desempeño de la organización. Las respuestas a las siguientes preguntas ayudan a establecer la importancia de las relaciones con los proveedores para la organización:

  • ¿Qué importancia tiene el proveedor para la organización? La respuesta depende de la criticidad de los procesos subcontratados, la naturaleza de la subcontratación y la dependencia de la organización respecto del proveedor.
  • ¿Qué importancia tiene la empresa para el proveedor? La respuesta depende del posicionamiento de la organización en el sector empresarial en el que opera la organización y del valor, volumen y duración del contrato.

Según la naturaleza de la contratación externa, puede haber cuatro categorías de proveedores:

  1. Estratégica—El proveedor realiza las funciones más críticas para la organización, como la gestión del centro de datos, las operaciones de planificación de recursos empresariales (ERP), etc.
  2. Táctica—El proveedor suministra la subcontratación de procesos, tales como centros de llamadas, centros de servicio, operaciones de TI, etc.
  3. Productos básicos—Los proveedores son vendedores de materiales tales como suministros y equipos de oficina, mantenimiento de instalaciones, etc.
  4. Nicho—El proveedor suministra productos o servicios altamente especializados, por ejemplo, desarrollo y mantenimiento de software o aplicaciones, o implementa soluciones complejas como la gestión de información y eventos de seguridad (SIEM) o gestión de identidad y acceso (IdAM).

En general, las organizaciones utilizan los servicios de todas las categorías de proveedores. Por lo tanto, es necesario definir e implementar un marco a nivel de organización para la gobernanza de la subcontratación. Este marco debe considerar estos factores facilitadores:

  • Estrategia y política—Las juntas directivas (BoD, por sus siglas en inglés) deben definir la estrategia para la subcontratación. El principio básico es no externalizar las funciones básicas de la empresa. La política también define el nivel mínimo de servicio y los requisitos de calidad dentro de TI.
  • Procesos de gobierno y gestión—Definir, racionalizar y normalizar los procesos en toda la organización es esencial para garantizar que los procesos se gestionen con el uso óptimo de herramientas automatizadas. Los procesos generalmente deben incluir:
    • Determinar los requisitos para la subcontratación—Esto debe definirse con detalle para evitar la ambigüedad y la confusión. Los requisitos detallados también ayudan a definir los requisitos de nivel de servicio (SLR) y los acuerdos de nivel de servicio (SLA) para supervisar a los proveedores una vez contratados.
    • Gestión de riesgos—La gestión de riesgos de la subcontratación debe seguir el marco de gestión de riesgos de la empresa. Aquí se proporcionará una lista de riesgos genéricos que deben considerarse.
    • Comité directivo—Se puede designar un comité directivo centralizado para supervisar a todos los proveedores en el nivel de alta dirección.
    • Criterios de selección—Los criterios de selección de proveedores pueden variar según la naturaleza de la subcontratación y el riesgo evaluado. No puede haber un criterio uniforme para todos los proveedores. Sin embargo, en el proceso puede incluirse la definición de las calificaciones mínimas para los proveedores.
    • Proceso de adquisición—La subcontratación debe considerarse en función de las aptitudes y competencias técnicas. Es apropiado evaluar y seleccionar proveedores en función de las competencias técnicas y, de entre los proveedores que califican, se pueden considerar las cotizaciones comerciales. Es aconsejable que la organización determine el coste mínimo y máximo para la calidad requerida de tecnología y servicios antes de considerar las cotizaciones comerciales.
    • Contratación y SLA—La ejecución de un contrato es un proceso legal, y se pueden considerar las aportaciones de los expertos legales antes de redactar y aceptar los términos de un contrato. Generalmente, un contrato es válido por una duración más larga; sin embargo, los términos de los SLA pueden variar según los requisitos comerciales. Es mejor ejecutar SLA por separado junto con los contratos.
    • Supervisión de la ejecución y SLA—La mejor práctica puede consistir en designar a un propietario para cada acuerdo de subcontratación que sea responsable de supervisar la ejecución del proveedor y de informar al comité directivo del proveedor. El propietario debe garantizar que los problemas se discutan y resuelvan para garantizar la satisfacción del usuario.
  • Gobernanza—Los aspectos clave de la gobernanza en la gestión de proveedores incluyen la medición del valor entregado por los proveedores y la gestión de relaciones, que es responsabilidad del comité directivo de proveedores. Algunos de los factores críticos a considerar incluyen:
    • Analizar la información utilizando métricas cualitativas y cuantitativas del desempeño del proveedor con los diversos interesados. Esto puede hacerse mensual o trimestralmente.
    • Conocer qué se supervisa, especialmente cuando se supervisa el desempeño del proveedor. Los proveedores a menudo prefieren supervisar el desempeño técnico (por ejemplo, requisitos de tiempo de actividad o plazos de entrega). Pero como los servicios de TI ayudan a automatizar los procesos empresariales que prestan servicios a clientes y a las partes interesadas, la supervisión de la prestación de los servicios debe considerarse una prioridad.
  • Inventario y categorización de proveedores—Mantener un inventario centralizado de proveedores y categorizarlos ayuda a garantizar una gobernanza eficaz. Las siguientes actividades pueden ayudar en la categorización de proveedores:
    • Evaluación—Identifique la naturaleza y el nivel de la subcontratación. Muchas organizaciones subcontratan diversas actividades. Algunas están controlados por la oficina corporativa y se despliegan de manera uniforme en todas las geografías, mientras que otras están descentralizadas y gestionadas por oficinas regionales / locales.
    • Relación—Las relaciones con los proveedores pueden ser estratégicas (p. Ej., Para la organización), tácticas (p. Ej., Subcontratación de procesos), relacionadas con productos básicos (p. Ej., Proveedores de material) o especializadas (p. Ej., Desarrollo de software).
    • Naturaleza de la subcontratación—Comprenda la relación con el proveedor. La aspxrelación depende del coste de la subcontratación, el valor que se recibe de ella, el impacto en el negocio, la duración de la relación y la facilidad para sustituir a otro proveedor.

Riesgo asociado con la subcontratación

Según de la naturaleza del negocio y el alcance de la subcontratación, los escenarios de riesgo pueden variar de una organización a otra; sin embargo, hay algunos escenarios de riesgo generales que deben considerarse al evaluar el riesgo relacionado con el proveedor:

  • Riesgo asociado con la seguridad de la información—La organización puede haber implementado la seguridad adecuada, pero los sistemas del proveedor pueden ser vulnerables.
  • Riesgo asociado con el cumplimiento—La organización puede tener que cumplir con los requisitos legales y reglamentarios; sin embargo, es posible que los proveedores no sean conscientes de ello, lo que daría lugar a problemas de incumplimiento.
  • Riesgo asociado con el sustento financiero del proveedor—Los proveedores pueden tener problemas para administrar sus finanzas, lo que resulta en una disponibilidad inadecuada de recursos y, por lo tanto, un desempeño inadecuado del trabajo contratado. Si esto no se gestiona adecuadamente, es posible que un proveedor no pueda continuar prestando servicios, lo que resulta en un incumplimiento por parte de la organización.
  • Riesgo asociado con las operaciones—Un objetivo importante de la subcontratación es aprovechar las aptitudes y competencias del proveedor en la ejecución de las operaciones. Estas operaciones deben centrarse en lograr los objetivos comerciales. Los proveedores deben comprenderlos y alinear el rendimiento de los recursos. Las organizaciones deben definir los SLA en función de estos objetivos. El riesgo se materializa cuando hay un a brecha en esta comprensión.
  • Riesgo de concentración—Las organizaciones pueden seleccionar un proveedor para todas las operaciones de TI, lo que aumenta la dependencia de un proveedor. El incumplimiento de los objetivos de la organización o el fracaso de un proveedor pondrá en peligro la organización.
  • Riesgo relacionado con el cumplimiento—Las organizaciones pueden necesitar cumplir con varios requisitos legales y reglamentarios. Aunque la responsabilidad se puede delegar a un proveedor, la responsabilidad permanece en la organización. Para garantizar el cumplimiento por parte del proveedor, incluya disposiciones en el contrato o SLA. Las organizaciones necesitan establecer un proceso para revisar el cumplimiento del proveedor y, si es necesario, auditar el cumplimiento del proveedor. Esto se puede lograr a través de auditorías periódicas. Sin embargo, a menudo, las organizaciones no designan auditores debido a varias razones, como los costes o la preocupación de un proveedor por tener que hacer frente a múltiples auditorías. En tales situaciones, las organizaciones pueden pedirle a un proveedor que proporcione informes de auditoría sobre los controles de la organización de servicios (SOC) —SOC 1, SOC 2 y SOC 3 realizados de acuerdo con los requisitos de la Declaración sobre las Normas para los Compromisos de Certificación (SSAE) 18.

Es importante señalar que la gestión de proveedores no es una actividad que se realiza una sola vez. Es un proceso continuo que requiere un compromiso suficiente y efectivo de la administración en términos de gobernanza y revisiones para obtener los máximos beneficios de las relaciones con los proveedores.

Notas finales

1 ISACA, Gestión de Proveedores: Utilizando COBIT 5, EE.UU, 2014

Sunil Bakshi, CISA, CRISC, CISM, CGEIT, ABCI, AMIIB, BS 25999LI, CEH, CISSP, ISO 27001 LA, MCA, PMP
Ha trabajado en TI, gobierno de TI, auditoría de SI, seguridad de la información y gestión de riesgos de TI. Tiene 40 años de experiencia en varios puestos en diferentes industrias. Actualmente, es consultor independiente en India.