5/11/2018 3850319-DS2-Administrar-los-servicios-de-terceros (1) - slidepdf.com

http://slidepdf.com/reader/full/3850319-ds2-administrar-los-servicios-de-terceros-1 1/5

 

DS2 Administrar los servicios de terceros

La necesidad de asegurar que los servicios provistos por terceros cumplancon los requerimientos del negocio, requiere de un proceso efectivo de

administración de terceros. Este proceso se logra por medio de una claradefinición de roles, responsabilidades y expectativas en los acuerdos conlos terceros, así como con la revisión y monitoreo de la efectividad ycumplimiento de dichos acuerdos. Una efectiva administración de losservicios de terceros minimiza los riesgos del negocio asociados conproveedores que no se desempeñan de forma adecuada.

Objetivos de control detallados

DS2.1 Identificación de las relaciones con todos los proveedores

Identificar todos los servicios de los proveedores y catalogarlos de acuerdocon el tipo de proveedor, la importancia y la criticidad. Mantenerdocumentación formal de las relaciones técnicas y organizacionalesincluyendo los roles y responsabilidades, metas, expectativas, entregablesesperados y credenciales de los representantes de estos proveedores.

DS2.2 Administración de las relaciones con los proveedores

Formalizar el proceso de administración de relaciones con proveedores porcada proveedor. Los responsables de las relaciones deben coordinar a los

proveedores y los clientes y asegurar la calidad de las relaciones con baseen la confianza y la transparencia (por ejemplo, a través de acuerdos deniveles de servicio).

DS2.3 Administración de riesgos del proveedor

Identificar y mitigar los riesgos relacionados con la habilidad de losproveedores para mantener una efectiva entrega de servicios de formasegura y eficiente sobre una base de continuidad. Asegurar que loscontratos están de acuerdo con los estándares universales del negocio deconformidad con los requerimientos legales y regulatorios. Laadministración del riesgo debe considerar además acuerdos deconfidencialidad (NDAs), contratos de garantía, viabilidad de la continuidaddel proveedor, conformidad con los requerimientos de seguridad,proveedores alternativos, penalizaciones e incentivos, etc.

DS2.4 Monitoreo del desempeño del proveedor

Establecer un proceso para monitorear la prestación del servicio paraasegurar que el proveedor está cumpliendo con los requerimientos delnegocio actuales y que se apega de manera continua a los acuerdos delcontrato y a los convenios de niveles de servicio, y que el desempeño escompetitivo respecto a los proveedores alternativos y a las condiciones del

mercado.

Entradas y salidas

5/11/2018 3850319-DS2-Administrar-los-servicios-de-terceros (1) - slidepdf.com

http://slidepdf.com/reader/full/3850319-ds2-administrar-los-servicios-de-terceros-1 2/5

 

Niveles de madurez

0 No existente cuando

Las responsabilidades y la rendición de cuentas no están definidas. No haypolíticas y procedimientos formales respecto a la contratación con terceros.Los servicios de terceros no son ni aprobados ni revisados por la gerencia.

No hay actividades de medición y los terceros no reportan.A falta de una obligación contractual de reportar, la alta gerencia no está altanto de la calidad del servicio prestado.

1 Inicial/Ad Hoc cuando

La gerencia está conciente de la importancia de la necesidad de tenerpolíticas y procedimientos documentados para la administración de losservicios de terceros, incluyendo la firma de contratos. No hay condicionesestandarizadas para los convenios con los prestadores de servicios. Lamedición de los servicios prestados es informal y reactiva. Las prácticasdependen de la experiencia de los individuos y del proveedor (por ejemplo,por demanda).

2 Repetible pero intuitiva cuando

El proceso de supervisión de los proveedores de servicios de terceros, de losriesgos asociados y de la prestación de servicios es informal. Se utiliza uncontrato pro-forma con términos y condiciones estándares del proveedor(por ejemplo, la descripción de servicios que se prestarán). Los reportessobre los servicios existen, pero no apoyan los objetivos del negocio.

3 Proceso definido cuando

Hay procedimientos bien documentados para controlar los servicios deterceros con procesos claros para tratar y negociar con los proveedores.Cuando se hace un acuerdo de prestación de servicios, la relación con eltercero es meramente contractual. La naturaleza de los servicios a prestarse detalla en el contrato e incluye requerimientos legales, operacionales yde control. Se asigna la responsabilidad de supervisar los servicios deterceros. Los términos contractuales se basan en formatos estandarizados.El riesgo del negocio asociado con los servicios del tercero esta valorado yreportado.

4 Administrado y medible cuando

5/11/2018 3850319-DS2-Administrar-los-servicios-de-terceros (1) - slidepdf.com

http://slidepdf.com/reader/full/3850319-ds2-administrar-los-servicios-de-terceros-1 3/5

 

Se establecen criterios formales y estandarizados para definir los términosde un acuerdo, incluyendo alcance del trabajo, servicios/entregables asuministrar, suposiciones, calendario, costos, acuerdos de facturación yresponsabilidades. Se asignan las responsabilidades para la administracióndel contrato y del proveedor. Las aptitudes, capacidades y riesgos delproveedor son verificadas de forma continua. Los requerimientos delservicio están definidos y alineados con los objetivos del negocio. Existe unproceso para comparar el desempeño contra los términos contractuales, locual proporciona información para evaluar los servicios actuales y futurosdel tercero. Se utilizan modelos de fijación de precios de transferencia en elproceso de adquisición. Todas las partes involucradas tienen conocimientode las expectativas del servicio, de los costos y de las etapas. Se acordaronlos KPIs y KGIs para la supervisión del servicio.

5 Optimizado cuando

Los contratos firmados con los terceros son revisados de forma periódica en

intervalos predefinidos. La responsabilidad de administrar a losproveedores y la calidad de los servicios prestados está asignada. Semonitorea el cumplimiento de las condiciones operacionales, legales y decontrol y se implantan acciones correctivas. El tercero está sujeto arevisiones periódicas independientes y se le retroalimenta sobre sudesempeño para mejorar la prestación del servicio. Las mediciones varíancomo respuesta a los cambios en las condiciones del negocio. Lasmediciones ayudan a la detección temprana de problemas potenciales conlos servicios de terceros. La notificación completa y bien definida delcumplimiento de los niveles de servicio, está asociada con la compensacióndel tercero. La gerencia ajusta el proceso de adquisición y monitoreo deservicios de terceros con base en los resultados de los KPIs y KGIs.

chauditoria consultores S.A.Empresa a auditar: DayTec Fecha de la auditoria: 03-jul-2008Nombre(s) auditor(es): David Elias Matta, Cristian Adrián HernándezResponsable auditado:Objetivo de la auditoria: del documento de COBIT la descripcióncontextualizado con la empresa

5/11/2018 3850319-DS2-Administrar-los-servicios-de-terceros (1) - slidepdf.com

http://slidepdf.com/reader/full/3850319-ds2-administrar-los-servicios-de-terceros-1 4/5

 

ReferenciaAspectos aevaluarProceso deevaluación

HerramientasObservaciones

CHDS2-1Evaluar lacontrataciónde serviciosde tercerosSolicitar unamuestra de

loscontratos deservicios detercerospara evaluarsu legalidady alcance.Lista deverificaciónLVDS2-1

CHDS2-2Evaluar elcontrol a losserviciosprestadospor tercerosRevisar loscontrolespara losservicios deterceros

Lista deverificaciónLVDS2-1

5/11/2018 3850319-DS2-Administrar-los-servicios-de-terceros (1) - slidepdf.com

http://slidepdf.com/reader/full/3850319-ds2-administrar-los-servicios-de-terceros-1 5/5

 

Nivel demadurezObservaciones yresultados

012345

Recomendaciones: