5/11/2018 3850319-DS2-Administrar-los-servicios-de-terceros (1) - slidepdf.com
http://slidepdf.com/reader/full/3850319-ds2-administrar-los-servicios-de-terceros-1 1/5
DS2 Administrar los servicios de terceros
La necesidad de asegurar que los servicios provistos por terceros cumplancon los requerimientos del negocio, requiere de un proceso efectivo de
administración de terceros. Este proceso se logra por medio de una claradefinición de roles, responsabilidades y expectativas en los acuerdos conlos terceros, así como con la revisión y monitoreo de la efectividad ycumplimiento de dichos acuerdos. Una efectiva administración de losservicios de terceros minimiza los riesgos del negocio asociados conproveedores que no se desempeñan de forma adecuada.
Objetivos de control detallados
DS2.1 Identificación de las relaciones con todos los proveedores
Identificar todos los servicios de los proveedores y catalogarlos de acuerdocon el tipo de proveedor, la importancia y la criticidad. Mantenerdocumentación formal de las relaciones técnicas y organizacionalesincluyendo los roles y responsabilidades, metas, expectativas, entregablesesperados y credenciales de los representantes de estos proveedores.
DS2.2 Administración de las relaciones con los proveedores
Formalizar el proceso de administración de relaciones con proveedores porcada proveedor. Los responsables de las relaciones deben coordinar a los
proveedores y los clientes y asegurar la calidad de las relaciones con baseen la confianza y la transparencia (por ejemplo, a través de acuerdos deniveles de servicio).
DS2.3 Administración de riesgos del proveedor
Identificar y mitigar los riesgos relacionados con la habilidad de losproveedores para mantener una efectiva entrega de servicios de formasegura y eficiente sobre una base de continuidad. Asegurar que loscontratos están de acuerdo con los estándares universales del negocio deconformidad con los requerimientos legales y regulatorios. Laadministración del riesgo debe considerar además acuerdos deconfidencialidad (NDAs), contratos de garantía, viabilidad de la continuidaddel proveedor, conformidad con los requerimientos de seguridad,proveedores alternativos, penalizaciones e incentivos, etc.
DS2.4 Monitoreo del desempeño del proveedor
Establecer un proceso para monitorear la prestación del servicio paraasegurar que el proveedor está cumpliendo con los requerimientos delnegocio actuales y que se apega de manera continua a los acuerdos delcontrato y a los convenios de niveles de servicio, y que el desempeño escompetitivo respecto a los proveedores alternativos y a las condiciones del
mercado.
Entradas y salidas
5/11/2018 3850319-DS2-Administrar-los-servicios-de-terceros (1) - slidepdf.com
http://slidepdf.com/reader/full/3850319-ds2-administrar-los-servicios-de-terceros-1 2/5
Niveles de madurez
0 No existente cuando
Las responsabilidades y la rendición de cuentas no están definidas. No haypolíticas y procedimientos formales respecto a la contratación con terceros.Los servicios de terceros no son ni aprobados ni revisados por la gerencia.
No hay actividades de medición y los terceros no reportan.A falta de una obligación contractual de reportar, la alta gerencia no está altanto de la calidad del servicio prestado.
1 Inicial/Ad Hoc cuando
La gerencia está conciente de la importancia de la necesidad de tenerpolíticas y procedimientos documentados para la administración de losservicios de terceros, incluyendo la firma de contratos. No hay condicionesestandarizadas para los convenios con los prestadores de servicios. Lamedición de los servicios prestados es informal y reactiva. Las prácticasdependen de la experiencia de los individuos y del proveedor (por ejemplo,por demanda).
2 Repetible pero intuitiva cuando
El proceso de supervisión de los proveedores de servicios de terceros, de losriesgos asociados y de la prestación de servicios es informal. Se utiliza uncontrato pro-forma con términos y condiciones estándares del proveedor(por ejemplo, la descripción de servicios que se prestarán). Los reportessobre los servicios existen, pero no apoyan los objetivos del negocio.
3 Proceso definido cuando
Hay procedimientos bien documentados para controlar los servicios deterceros con procesos claros para tratar y negociar con los proveedores.Cuando se hace un acuerdo de prestación de servicios, la relación con eltercero es meramente contractual. La naturaleza de los servicios a prestarse detalla en el contrato e incluye requerimientos legales, operacionales yde control. Se asigna la responsabilidad de supervisar los servicios deterceros. Los términos contractuales se basan en formatos estandarizados.El riesgo del negocio asociado con los servicios del tercero esta valorado yreportado.
4 Administrado y medible cuando
5/11/2018 3850319-DS2-Administrar-los-servicios-de-terceros (1) - slidepdf.com
http://slidepdf.com/reader/full/3850319-ds2-administrar-los-servicios-de-terceros-1 3/5
Se establecen criterios formales y estandarizados para definir los términosde un acuerdo, incluyendo alcance del trabajo, servicios/entregables asuministrar, suposiciones, calendario, costos, acuerdos de facturación yresponsabilidades. Se asignan las responsabilidades para la administracióndel contrato y del proveedor. Las aptitudes, capacidades y riesgos delproveedor son verificadas de forma continua. Los requerimientos delservicio están definidos y alineados con los objetivos del negocio. Existe unproceso para comparar el desempeño contra los términos contractuales, locual proporciona información para evaluar los servicios actuales y futurosdel tercero. Se utilizan modelos de fijación de precios de transferencia en elproceso de adquisición. Todas las partes involucradas tienen conocimientode las expectativas del servicio, de los costos y de las etapas. Se acordaronlos KPIs y KGIs para la supervisión del servicio.
5 Optimizado cuando
Los contratos firmados con los terceros son revisados de forma periódica en
intervalos predefinidos. La responsabilidad de administrar a losproveedores y la calidad de los servicios prestados está asignada. Semonitorea el cumplimiento de las condiciones operacionales, legales y decontrol y se implantan acciones correctivas. El tercero está sujeto arevisiones periódicas independientes y se le retroalimenta sobre sudesempeño para mejorar la prestación del servicio. Las mediciones varíancomo respuesta a los cambios en las condiciones del negocio. Lasmediciones ayudan a la detección temprana de problemas potenciales conlos servicios de terceros. La notificación completa y bien definida delcumplimiento de los niveles de servicio, está asociada con la compensacióndel tercero. La gerencia ajusta el proceso de adquisición y monitoreo deservicios de terceros con base en los resultados de los KPIs y KGIs.
chauditoria consultores S.A.Empresa a auditar: DayTec Fecha de la auditoria: 03-jul-2008Nombre(s) auditor(es): David Elias Matta, Cristian Adrián HernándezResponsable auditado:Objetivo de la auditoria: del documento de COBIT la descripcióncontextualizado con la empresa
5/11/2018 3850319-DS2-Administrar-los-servicios-de-terceros (1) - slidepdf.com
http://slidepdf.com/reader/full/3850319-ds2-administrar-los-servicios-de-terceros-1 4/5
ReferenciaAspectos aevaluarProceso deevaluación
HerramientasObservaciones
CHDS2-1Evaluar lacontrataciónde serviciosde tercerosSolicitar unamuestra de
loscontratos deservicios detercerospara evaluarsu legalidady alcance.Lista deverificaciónLVDS2-1
CHDS2-2Evaluar elcontrol a losserviciosprestadospor tercerosRevisar loscontrolespara losservicios deterceros
Lista deverificaciónLVDS2-1
5/11/2018 3850319-DS2-Administrar-los-servicios-de-terceros (1) - slidepdf.com
http://slidepdf.com/reader/full/3850319-ds2-administrar-los-servicios-de-terceros-1 5/5
Nivel demadurezObservaciones yresultados
012345
Recomendaciones: