Por Edgar de la Rosa Cabello
Muchos procesos de las empresas se están tercerizando hacia compañías conocidas como outsourcing, una de ellas es RedIT, que tiene un rol importante en procesos de Tecnología de Información (TI). El tema que trataremos en esta plática es respecto al reporte de organizaciones de servicio y su relación con las empresas
¿Cuál es tu responsabilidad en RedIT?
Mi función es ser el CIO (Chief Information Officer) de la compañía; es decir, el responsable de los sistemas de información, la tecnología de información y las comunicaciones internas de todo el grupo.
RedIT es una compañía que nace en México con el nombre de Metronet en 1995, cuando ganamos una concesión de la Comisión Federal de Telecomunicaciones para instalar anillos de fibra óptica y proveer el acceso de última milla a los distintos carriers (operador de telefonía que brinda una conexión a Internet) que hay en el país. En un inicio se creó Metronet y después Xertix, hoy en día se consolida con el nombre de RedIT. Mi responsabilidad es proveer de procesos y administración de la tecnología interna y que estos sean certificables permitiéndonos operar y proveer nuestros servicios a terceros.
En 1996 RedIT (Metronet) era una compañía orientada a resolver servicios de conectividad, por fortuna, la estrategia que seguimos fue acercarnos a carriers y tuvimos resultados financieros muy importantes, de manera que en el año 2000, RedIT (Metronet) y otra compañía, eran las únicas dos empresas de telecomunicación en el país en números negros. En ese año realizamos un estudio de mercado y obtuvimos como resultado que los centros de datos, los temas de seguridad informática y el almacenamiento masivo de información eran la tendencia. En el año 2000 decimos construir centros de datos, así nació la otra compañía del grupo conocida como Xertix, que se dedica a dar servicios administrados de TI.
En 2001 desarrollamos el concepto de MSP, un proveedor del servicio administrado por un tercero y empezamos a proveer servicios. En aquel entonces el mercado no estaba tan preparado para recibirnos ni para emplear nuestros servicios, pero a casi 10 años de distancia creemos que ya tiene cierta madurez y reconoce este tipo de servicios.
¿Qué importancia tiene la información en el servicio para sus clientes?
Hoy en día nos ven más como un aliado de servicios que como un proveedor. Los proveedores como nosotros somos un aliado estratégico pues llegamos a interactuar tanto con las organizaciones de TI internas de nuestros clientes que nos ven como una extensión de su área de tecnología, de manera que muchas de sus operaciones importantes del día a día y sus productos descansan en nuestras instalaciones, ya que tenemos centros de datos en la Cd. de México, Monterrey, Guadalajara, Edo. de México y, recientemente, adquirimos un par de estos centros fuera del país, en la ciudad de San Diego, California.
Los procesos de negocio que manejan son transcendentales para sus clientes, pero, ¿por qué las empresas deben confiar sus procesos, incluyendo el control interno de su información?, si esto puede tener un alto impacto de no ser manejado correctamente
Así es, la visión de las compañías sustenta lo que acabas de mencionar. Los clientes a las cuales servimos, buscan garantía sobre el funcionamiento de los sistemas críticos de información y comunicación; por un lado, la conectividad en los enlaces que nos permite tener la disponibilidad de información de los clientes y por otro, la operación segura de su sistema, prácticamente descansan su información en nuestra tecnología para que seamos parte del servicio que ellos mismos proveen y, por supuesto, el control interno juega un punto fundamental en lo que es la proveeduría de servicios administrados.
¿Cuáles son las principales consecuencias de la mala elección de una organización de servicios?
En mi experiencia, creo que cuando una empresa selecciona a un proveedor de servicios no lo selecciona con un horizonte de tiempo a corto plazo, normalmente buscan relaciones estratégicas a largo plazo, la consecuencia de hacer una mala elección puede impactar en lo que será una mala relación. El hecho de no haber tomando en cuenta todos los puntos que consideramos importantes y que pueden generar costos, por supuesto van a impactar en la relación y subsecuentemente se tendrá que encontrar una nueva relación para buscar un proveedor que sí cumpla en costos, y que incluya la curvas del aprendizaje.
Creemos que trabajar con este tipo de servicios con tus clientes, te da una relación de confianza, que es lo más importante que puedes perder si seleccionas mal a un proveedor de servicios.
¿Cuáles han sido los requisitos más solicitados a RedIT, por parte de sus clientes?
Indiscutiblemente la disponibilidad de la información. Un ejemplo de esto es que hace 10 o 15 años no se consideraba al correo electrónico como una aplicación de misión crítica, hoy en día, prácticamente, todos dependemos de esta comunicación. Otro tema es la seguridad, sobre todo, la confidencialidad y la integridad de la información.
En la actualidad todos hemos escuchado historias de terror sobre algún centro de datos o con algún proveedor de tecnología que tiene información y que fue vulnerado, al permitir el acceso a la información; es decir, cuántos problemas no han existido —en sectores como el financiero y el gubernamental—, de personas que acceden ilegalmente a la información.
Por otra parte, ¿qué tipo de solicitudes existen en su mercado, en cuanto a exámenes o certificaciones para proveer a sus clientes de los servicios que ofrecen?
En nuestra experiencia todo lo que son los estándares de calidad, la Norma ISO/IEC (27001 y la 20000) han sido bien recibidas en el mercado. Sin embargo, de manera inicial y, curiosamente, a solicitud específica de algunos clientes, se nos solicitó la certificación en ISO 9000. Así, nos certificamos en ISO 9000 en tres procesos que considero los más maduros: la administración de incidentes, la administración de configuraciones y la administración de cambios.
En su momento, sin solicitudes de por medio, nos fue más importante tener la Norma Seguridad de Información ISO/IEC 27001, pues al ser proveedores de servicios administrados igualmente pensamos en la Norma ISO/IEC 20000. En un proceso paralelo estuvimos trabajando en las certificarnos ISO/IEC 27001 e ISO/IEC 20000, siendo pioneros en México al ser la primera empresa que se certificó en el año 2009.
Las certificaciones fueron un proceso que duró 16 meses en la empresa. De este modo certificamos 14 procesos que pide ISO/IEC 20000 que, en nuestro caso, se convierten en 24 porque en realidad son las dos marcas que tenemos, Xertix y RedIT. Las certificaciones ISO han tenido buena aceptación por parte del mercado.
Hablando de control interno, la revisión SAS 70 agrega mucho valor a nuestros clientes, quienes han depositado su confianza en nosotros. Hace siete años iniciaron los requerimientos de nuestros primeros clientes que pedían auditorías sobre nuestro servicio y recibíamos de cuatro a seis en el año. Actualmente, nos auditan más de 40 veces al año; por lo tanto, para nuestros clientes y particularmente para sus auditores, es una garantía que cumplamos con el reporte del SAS 70.
¿Qué importancia reviste el control interno en sus procesos?
Es fundamental, diría que todo lo que tiene que ver con control interno para nosotros se ha vuelto parte de nuestro ADN corporativo, ya que no podemos, como decimos internamente “bajar la guardia” y no cumplir con lo que nos comprometimos con los clientes. Para nosotros el control interno es un paso más de lo que debemos hacer para llegar y, eventualmente, implementar un buen gobierno corporativo en TI, somos una empresa que se fundó en México, que ha crecido con paso sólido desde hace 15 años, inclusive en el mercado extranjero como Estados Unidos.
El control interno para nosotros es fundamental, pues creemos que, en la medida en que presentemos a nuestros clientes la evidencia y la garantía de que sus operaciones están en muy buenas manos, seguiremos teniendo el nivel y grado de aceptación con el que hoy contamos. A pesar de vivir en un entorno socioeconómico en crisis y con los problemas desde 2008, con los eventos financieros en los Estados Unidos, creemos en nuestro negocio e invertimos.
Por desgracia, el futuro de las empresas se puede ver comprometido al reducir sus presupuestos; por un lado, lo hacen al no adquirir el equipo y por otro, al no hacer los contratos de servicio con un tercero como nosotros que les provee ese servicio en un esquema de ventas mensuales, que inclusive para ellos es deducible y sin tener problemas de inventarios de activos que eventualmente van a quedar obsoletos.
Para nosotros como Contadores Públicos, el control interno tiene mucha importancia, ya que se van a depositar procesos y la información en una organización de servicios, que debe darle seguridad, como si la propia organización estuviera manejando este proceso y con la responsabilidad de que la información será manejada con la discreción que se requiere.
Siguiendo con el tema de certificaciones, hablabas de los ISO y de la importancia que reviste el control interno, pero enfocado en la parte de los exámenes del control interno como el SAS 70, ¿cuál es tu opinión y cómo lo vislumbran tus clientes? ¿Tienen sensibilidad sobre la importancia que puede tener un informe de este tipo?
Pusiste el dedo en la llaga al hablar del SAS 70, desde mi punto de vista, siempre es una revisión más exhaustiva que la de los ISO, que provee a los usuarios finales y a sus auditores de un reporte con la información necesaria para que tengan la tranquilidad de que su operación es adecuada. Una de las cosas que te mencionaba es que para nosotros es fundamental la confianza a los clientes, afortunada o desafortunadamente, cada vez son más exigentes los clientes y con SAS 70, lo que tratamos de garantizar es la consistencia y la manera en que entregamos los servicios, garantizar que no hay excepción, porque son mínimas las excepciones que podemos tener en la operación de sus servicios y, en nuestro caso, los servicios son tan diversos que hemos madurado en cada uno de los procesos que tenemos.
Por supuesto, el SAS 70 nos ayuda a tener una exigencia extra y más alta. Hace unos años los clientes nos decían que al tener un nivel de disponibilidad, por poner un ejemplo, de 99.5%, todo estaba bien; pero, hoy en día, hay clientes que no nos piden menos de este porcentaje de disponibilidad en los servicios, porque quieren saber cómo atendemos los temas de seguridad de la información, las incidencias y cómo administramos los cambios. De esto último, el SAS 70 también da la garantía de que nuestros procesos y la operación son consistentes y que no darán sorpresas.
México se característica por tener un sistema de suministro eléctrico que no es 100% confiable, por lo que no somos exentos de fallas, y para nuestro negocio la electricidad es el insumo principal, al igual que para todo proveedor de este tipo de servicios. Por ello, contamos con doble acometidas eléctricas, pues tenemos varios centros de datos que nos garantizan disponibilidad y redundancia, así tenemos comunicaciones y la garantía actual de la continuidad. Pero, qué mejor que ellos lo vean en un reporte y que estén tranquilos de que su operación reside en un buen proveedor.
¿Cuál es el futuro de las organizaciones de servicio, crees que es una tendencia que llegó para quedarse?
Creemos que sí y que también habrá crecimiento de las organizaciones de servicios, no solo en TI, sino en recursos humanos, nómina, proveedores de servicios de personal o facturación. Considero que estas organizaciones son fundamentales para el avance y la evolución de cada una de las empresas que formamos parte de este ciclo. Yo creo en la sabiduría de las abuelas cuando decían y tiene mucho de cierto: “zapatero a tus zapatos”.
Con la especialización en cada uno de los sectores no se puede presumir o querer abarcar todos siendo una empresa dedicada y además competitiva, me parece que lo mismo vemos en los grandes corporativos que tienen más de 100 años proveyendo servicios que están enfocados en su negocio y tratan de diferenciarse.
Es muy difícil que alguna empresa se diversifique de tal manera que no sea especialista en algo, por lo que consideramos que las empresas de servicio estarán por un buen tiempo en el mercado, en el que, por supuesto —y yo soy fiel creyente del concepto de “innovación destructiva”—, a veces te tienes que transformar y destacar las características que te diferencien de tus competidores en el mercado. En lo personal creo que en la medida en que más certificaciones tengas y más preparado y retroalimentado estés, te colocarás en el mercado con mayor probabilidad de ser líder.
Así lo veo, creo que las empresas van a utilizar cada vez más nuevas opciones para integrar sus procesos a terceros y dar sus servicios, de aquí nace la tendencia o importancia ante la profesión de la Contaduría Pública, en el sentido de que cada vez más los Contadores Públicos tendrán que examinar ese tipo de procesos donde, tarde o temprano, utilizarán a terceros, quienes requerirán ser dictaminados o estar certificados para dar un buen descanso de sus procesos de revisión, o bien ayudar a sus clientes.
Con el SAS 70 realmente los auditores podrían estar depositando la confianza requerida para que ellos puedan cumplir con los estados financieros, ¿están preparados para los cambios con nuevos requisitos en el futuro?
Sí, por supuesto, queremos seguir siendo competitivos y líderes en nuestro mercado, aunque hablabas del control interno para que los Contadores Públicos tengan la garantía de que los proveedores son aptos para suministrar servicios y darle la tranquilidad o garantía a sus clientes, de que están operando con un buen proveedor de servicios, también para nosotros ha sido importante la manera en que damos servicio y cómo seguir inventándonos.
Es decir, buscar el camino para ser líderes y adoptar nuevos procesos, pasar exámenes como el SAS 70, sin perder flexibilidad ni la capacidad de rapidez, lo cual ha matado a muchos corporativos grandes a lo largo de la historia de las empresas, ya que una vez que han crecido y hecho multinacionales, dejan de ser eficientes porque ya no son flexibles ni ágiles. Para nosotros la innovación es muy importante, estar buscando en el mercado qué hay de nuevo.
Finalmente, ¿algo que quieras agregar para nuestros lectores?
En México nos hace falta gente empresarial e innovadora. Creo, y lo he hecho a lo largo de muchos años, en el control y en los temas de apego a los procesos y en seguir mejores prácticas; pero, también creo que esto no debe coartar la capacidad que tenemos como seres humanos de estar innovando y tratar de diferenciarnos en el mercado, precisamente con el espíritu de emprendedores.
Desde mi punto de vista, el activo más importante que tiene nuestro vecino del Norte, que es un pueblo cien por ciento empresarial, es pensar qué hacer de nuevo, qué negocio fomentar, con qué innovación o con qué ventaja competitiva va a salir al mercado, estoy seguro de que sí se pueden conjuntar las dos cosas; es decir, los temas de apego a los procesos y ser lo suficientemente ágiles y flexibles para adoptar los procesos que mejor convengan a nuestras organizaciones, cumpliendo con lo que establecen los estándares y marcos de referencia, y así diferenciarnos en el mercado.
Jorge, muchas gracias por tu tiempo, hasta la próxima.