AUDITORÍA DE

OUTSOURCING DE TI

Ing. Darwin Marcelo Pillo

 Introducción:

 En los últimos años 70 años han sido la de transformar organizaciones

integradas en otras mucho mas atomizadas y flexibles.
 El outsourcing es una herramienta que esta relacionada con esta
tendencia y como tal hay que entenderla para comprender su
alcance y extensión.
 Durante las ultimas décadas se ha realizado el outsurcing de
diferentes funciones dentro de la compañías para dar servicio al
proceso productivo.
 En caso de outsourcing de TI, dado el se trata de productos y
servicios relativamente novedosos en comparación con otros. La
materialización de ciertos riesgos puede ser enorme. (Error en el ERP
puede ocasionar una interrupción de modelo de negocio de la
organización).
 Tecnología: Cuando un ERP falla
 Pesadilla de Halloween
 Otro error similar, otro fallo en la implementación del
software ERP, acabó con la campaña de Halloween de
1999 de la cadena de supermercados Hershey Foods.
Distintos problemas de instalación, integración y
configuración de sus aplicaciones SAP ERP, Siebel CRM
y Manugistics acabaron con un colapso que provocó
una caída del valor de esta firma de retail en Bolsa
del 8% al no poder comercializar caramelos
tradicionales de esta festividad por valor de 100
millones de dólares.
 Tecnología: Cuando un ERP falla
 En casa de herrero, cuchillo de palo
 El dicho reza que ‘en casa de herrero, cuchillo de palo’.
En este tema, podríamos traducirlo en una empresa
tecnológica (como HP) incapaz de llevar a cabo una
migración de un ERP de SAP de forma correcta. Eso es lo
que le ocurrió a la ya extinta compañía (sucedida por HP
Inc. y HPE) en 2004, cuando su unidad de servidores y
almacenamiento registró una caída del 5% en sus
beneficios a causa de los retrasos, sobrecostes e
ingresos perdidos a la hora de implementar un ERP
centralizado para toda la división.
 Introducción:

 La auditoria del outsourcing de TI se presenta como una

herramienta de especial utilidad para los gestores, accionistas y
otras partes interesadas a la hora de asegurar la continuidad del
negocio, la gestión del riesgos y la obtención de retornos de
forma sostenida en el tiempo.
 Introducción:

Outsourcing de TI:
“Revisar y evaluar los procesos de la compañía para monitorear la
calidad de las actividades del Outsourcing. Habrá que determinar
cómo se van a monitorear los cumplimientos de los SLA y otros
requisitos fundamentales del contrato. Es primordial definir en el
contrato las expectativas y los objetivos a cumplir, ya que serían
afectadas tanto la disponibilidad, eficiencia y eficacia de las
operaciones contratadas como la seguridad de los sistemas y de los
datos”.
[1] Chris Davis, Mike Sheller y Kevin Wheeler (IT Auditing Using Controls To Protect Information Assets 2nd edition, 2011), edicion PDF,
Capitulo 14
Definición de Outsourcing

Esta definición difiere según el entorno que se encuentra, sin

embargo, podemos establecer ciertas características para
definirlo:
 El outsorcing, no es una simple subcontratación de ciertas
actividades o tareas, sino más bien, una alianza entre el
cliente y el tercero para alcanzar juntos las metas y de igual
manera compartir los riesgos.
 Las actividades del Outsourcing, muchas veces no están
consideradas dentro de las actividades esenciales del modelo
de negocio, aunque si son vitales para su supervivencia.
 Los medios y activos entre el outsourcing y el negocio son
diferentes para cada actividad.
¿Outsourcing, para que?
 Definición de Outsourcing
 Implicaciones del proceso de Outsourcing
De manera gráfica podemos ver el antes y después de la contratación
del outsourcing.
 El outsourcing de TI
 El outsourcing de TI se puede ver involucrado en muchas áreas de
alto y bajo riesgo dentro de la organización, por lo que podemos
definir un mapa de servicios que se están llevando en la
actualidad
 Los servicios típicos de un outsorcing en TI son:
 Gestión de aplicaciones
 Gestión y operación de la infraestructura
 Servicio de Helpdesk
 Aseguramiento de la calidad
 Gestión de centros de cómputo
 Servicio de seguridad
 Investigación y desarrollo
 El outsourcing de TI
 Gestión de aplicaciones: esto comprende todos los procesos desde el
desarrollo de aplicaciones hasta la gestión de proyectos, y esto se ha
vuelto muy común en nuestros días, donde las empresas necesitan sacar
nuevos paquetes de software y tiene que contratar terceros que tienen la
experiencia para trabajar ese proyecto en forma rápida y eficiente. Sin
embargo, se debe considerar que muchas veces sucede que al finalizar ese
proyecto, el personal en calidad de tercero se tiene que retirar de la
organización y se está perdiendo ese conocimiento adquirido a lo largo
del proyecto.
 Gestión y operación de la infraestructura: esto comprende el manejo de
los elementos en la infraestructura y operación de TI, desde supervisión,
control de errores y la gestión de cambios. Entre los ejemplos o casos que
podemos encontrar en este tipo, se encuentran las comunicaciones y la
redes de datos, servidores y sus actividades de respaldo y recuperación,
elementos de integración de sistemas y de las bases de datos.
 El outsourcing de TI
 Servicios de Helpdesk: se ocupa normalmente de toda la parte de
soporte a usuarios finales para resolver problemas, dudas, configuración
de PC. Esto se puede realizar a través de herramientas de conectividad
remota que permitan brindar soluciones de manera más ágil.
 Aseguramiento de Calidad: asegurar la calidad dentro de un proceso
de desarrollo o sobre las actividades o funciones de TI se puede ofrecer
como un proceso independiente. Se debe considerar que el proveedor
que ofrece servicios de aseguramiento de calidad sea diferente al
proveedor que ofrece el servicio que desea asegurar, para evitar
conflictos de intereses.
 Gestión del centro de computo: muy frecuentemente usada donde ya
existen estándares para el manejo de los data centers y empresas muy
especializadas para eso.
El outsourcing de TI

 Servicios de seguridad: que es la encargada de velar por toda la

seguridad de la información tanto para TI como para otras áreas de
negocio.
 Investigación y desarrollo: es posible utilizar organizaciones externas
con un alto conocimiento en ciertas tecnologías o mercados a innovar.
 Tipos de Outsourcing
 Outsourcing Informático tradicional: este es el soporte
táctico que se presenta en la organización, donde el
proveedor asume parte de los activos físicos o personal. Son
actividades y activos gestionados por el proveedor.
Ejemplos de ello son las gestiones de redes, de aplicaciones
o de seguridad.
 Outsourcing de Procesos de negocio: También conocido
como outsourcing transformacional, son los que pretende
darle una transformación a la organización en lo que se
refiere a los procesos de negocio. Representa la delegación
de un o as procesos de negocio a un proveedor externo. Si
por ejemplo se tiene un sistema de nómina, se puede definir
un contrato para que las nominas sean administrados en
base a ciertos parámetros y lineamientos de servicio.
 Tipos de Outsourcing
 Proveedor Total y/o Parcial: el proveedor gestiona toda o una parte
de los servicios informático, dependiendo del riesgo que se maneje. Si
es parcial, es posible encontrar en un servicio informático varios
proveedores.
 Proveedor único: solo un proveedor se encarga de un servicio
informático exclusivo y se contrata otro proveedor para los otros
servicios en TI.
 Pseudo-outsourcing: es más una estrategia de grupos empresariales,
donde estos crean una empresa que se encargará de gestionar todos
los procesos informáticos de todas las empresas del grupo.
 Outsourcing de transición: los proveedores solucionan el problema o
lo gestionan por un tiempo de transición, como por ejemplo, cuando se
requiere realizar un cambio de sistema y se requiere personal ya sea
para el sistema nuevo o el que va a salir.
 Tipos de Outsourcing
 Outsourcing extraterritorial: estrategia que contrata a personal
de otro país donde se aprovecha la tecnología y las
comunicaciones para poder disponer de centros de cómputo en
varios usos horarios. Debido a los reducidos costes de los
recursos humanos, gran avance y abaratamientos de las
telecomunicaciones y tecnologías de virtualización. Se podría
considerar un problema de este modelo, la diversidad de
culturas en términos de comunicación y coordinación.
 Participación del capital: su uso es especial al momento de la
creación de nuevas empresas donde el proveedor podría
ofrecer recursos humanos y conocimiento experto mientras el
cliente ofrece el musculo financiero para llevar a cabo sus
proyectos.
 Tipos de Outsourcing
 Multi aprovisionamiento: comprende la contratación
de varios proveedores de servicio para diferentes
áreas para disponer un cierto grado de independencia
del proveedor. Puede llegar a presentarse problemas
de comunicación entre los recursos en su convivencia.
 Outsourcing estratégico: es también denominado
Business Process Management y pretende externalizar
el proceso de negocio y todo lo que conlleva las
estructuras de capital, financiación y sobre todo el
éxito o fracaso de la empresa.
 Ciclo de Vida del Outsourcing

 Se debe entender que el outsourcing es un proceso, y como tal

tiene un final, y que dependiendo de los resultados ese camino
puede ser de ida y vuelta o solo de ida. Se presenta el modelo
simplificado que se considera en todo proceso de outsourcing de
TI:
 Auditoría del Outsourcing de TI
 Antes de iniciar una auditoría se debe conocer el
entorno en el que se desarrolla el proceso y los
posibles agentes que participan en el mismo.
 El outsourcing es un acuerdo entre partes por la
prestación de un conjunto de servicios tecnológicos.
Aunque pueden existir diferentes tipos de acuerdos de
outsourcing, podemos observar elementos claves tales
como: El contrato, SLAs, Participación activa de usuarios,
Política Corporativa.
1. El contrato: acuerdo formal entre el proveedor del
servicio y el cliente. Elemento de referencia principal.
2. SLA: medida objetiva de calidad objetiva sobre el
servicio acordado, fija los mínimos niveles de calidad
para cada uno de los servicios.
3. Participación activa de usuarios: el cliente dispone
de canales para exigir y reclamar mejoras del nivel
de servicio cuando este no se está cumpliendo.
4. Política Corporativa: define responsabilidades frente
al outsourcing tanto de los usuarios como del personal
propio de TI, desde la perspectiva de la supervisión y
la comunicación.
 El contrato de Outsourcing
 No es más que un contrato profesional entre dos
entidades donde cada clausula es importante y se
debe de prestar mucha atención a cómo o por que se
han generado en vista de que una falla podría
afectar la calidad de los servicios que se esperaban
recibir.
 Desde la perspectiva del auditor se debe de
garantizar que se haya involucrado al equipo jurídico
y tener una participación activa y no actuar
únicamente como elemento revisor.
 El contrato de Outsourcing
 El contrato deberá recoger como mínimo los siguientes
aspectos:
 Responsabilidades y elementos de relación para gestionar el
proceso
 Modelo de gestión que evite controversias y permita la revisión
continua del contenido y alcance, además de su adaptación a las
circunstancias del momento de forma fácil
 Una descripción precisa de los productos que se esperan recibir
y como se esperan recibir
 Vínculos para proveedor con objetivos concretos y establecer
clausulas de penalización para el supuesto de que no sean
alcanzados
 Mecanismos necesarios para asegurar la continuidad del servicio
en caso de rescisión
 El contrato de Outsourcing
 Uno de los aspectos a destacar es el Plan de Retorno, donde
establece que se debe “que se ha de hacer” y se convierte
en la herramienta fiable con la que cuenta una organización
para recuperar el control de sus sistemas de información bajo
régimen de outsourcing.
 Dos aspectos fundamentales a considerar durante la
auditoria son el Modelo de Relación y los Informes de
Gestión.
 El Modelo de Relación articula la capacidad de hacer
evolucionar el contrato en el tiempo para adaptarlo a las
necesidades reales del negocio.
 El informe de Gestión es la herramienta básica para
comunicar los resultados del servicio.
Acuerdos de Nivel de Servicio SLA

 ANS/SLA es el conjunto de medidas de rendimiento

mínimo usadas para aceptar como validos los servicios
prestados.
 El SLA debe ser un documento vivo y puede ser
revisado a petición de cualquiera de las partes,
adicionalmente se convierte en una herramienta con
objetivos diferentes.
 Los SLAs se consideran un elemento complementario al
contrato ya que el mismo regula el servicio y en su
contraparte el contrato regula todo el marco legal de
la relación.
 Acuerdos de Nivel de Servicio
 En un SLA podemos identificar dos tipos de elementos:

Los elementos del servicio: describen el contexto del

servicio y los términos y condiciones de la entrega del
servicio.
Los elementos de gestión: describen los pasos a dar para
asegurar la efectividad del servicio y resolver cualquier
problema que pudiera darse.
 La manera de asegurarse el cumplimiento de estos SLAs
es a través del análisis de indicadores de nivel de
servicio.
 El sistema de penalizaciones
 El sistema de penalizaciones se articula para regular
la falta de cumplimiento del SLA y los efectos
perjudiciales que el incumplimiento tiene para la
empresa contratante.
 Se debe verificar que por cada SLA existe un
indicador de penalización. Y ante un incumplimiento
de servicio se recoge la penalización, existe una
menos-factura que reconoce el proveedor, y esta
menos – factura queda registrada en la contabilidad
del cliente.
 Los informes de Gestión
 Estos informes constituyen junto a los SLAs el núcleo de
control efectivo sobre las actividades que
desarrollan los proveedores.
 Proporcionan información estructurada sobre los
servicios contratados, información que es valiosa para
el seguimiento y funcionamiento no solo del servicio
sino del negocio.
Como parte de las conclusiones que podemos apuntar, siempre
existen determinadas acciones indispensables durante el proceso de
auditoría de outsourcing:

1. Identificar si existe una política para la definición de

SLAs entre sus proveedores de servicios
2. Identificar los contratos y SLAs y verificar la
participación de los usuarios en la creación y
modificación de los mismos
3. Identificar claramente la relación entre el tercero y el
cliente
4. Identificar las personas con roles y responsabilidades
sobre la gestión de contratos y SLAs
5. Validar la existencia de clausulas que permitan esta
gestión alineado con la evolución del negocio
6. Identificar y validar el modelo de elaboración y
aprobación de los SLAs y sus indicadores
7. Verificar si se llevan a cabo recalculos de los
indicadores para su contraste con lo acordado
8. Identificar como se monitorean los SLAs y que reportes
se generan para mostrar el desempeño
9. Identificar el proceso que considera las acciones a
tomar en respuesta a un incumplimiento de SLA
10. Identificar como está articulada la obtención de la
calidad percibida y las acciones que se toman tras su
evaluación
 Marcos de Referencia
 Por la importancia que ha ganado el outsourcing de TI
en los últimos tiempos se han creado modelos de
referencia para la gestión y gobierno de TI destinados
a terceros, y adicionalmente se ha involucrado ciertas
regulaciones para el control de los procesos o funciones
desarrolladas por los outsourcing.
 Podemos destaca SOX (Ley Sarbanes-Oxley), Directiva
europea de protección de datos personales, HIPAA y
GBLT (EEUU).
En la siguiente tabla se mencionan los diferentes modelos
de referencia y en cual enfoque está representado:
Modelo de Referencia Organización Enfoque
SAS 70 AICPA Contable y gerencial
COBIT ISACA/ITGI Gobierno, control y auditoria de TI
ITIL UK Office of Goverment Explotación de sistemas y servicios de
Commerces telecomunicaciones
ISO 27001 / BS 7799 ISO / BS Seguridad de la información
CMMI SEI (Carnegie Mellon Univ.) Desarrollo de software
Systrust AICPA Y CICA Contable y gerencial
 CMMI (Capability Maturity Model Integration)

 Este modelo está basado en el concepto de madurez de un

proceso que se concreta a través de varios estados que
CMMI define de forma acumulativa, o sea, que el nivel
superior tiene características del nivel inferior ampliando
ciertos aspectos. Los niveles son:
1. Inicial: en donde no se dispone de un ambiente estable para
el desarrollo, más se confía en las habilidades del personal
que en la seguridad de los procesos.
2. Gestionado (Repetible): el proceso es gestionado sin
uniformidad donde dispone de ciertas técnicas propias de
gestión que son utilizadas discrecionalmente. La relación con
los subcontratistas y clientes es gestionada sistemáticamente.
 3. Definido: la organización ha definido procesos formales
para las diferentes actividades y que son utilizadas
concurrentemente.
4. Gestionado de forma cuantitativa: la organización ha
establecido métricas para los principales elementos que
gobiernan el proceso.
5. Optimizado: se gestionan la mejora continua de los
procesos y se hacen revisiones a las métricas.
 CMMI se centra tanto en los procesos y las prácticas,
políticas y procedimientos, donde cada nivel de madurez se
observan diferentes elementos a gestionar para poder ser
certificado.
 ISO 27001 / BS 7799
 Es el estándar de seguridad de la información, y está
basado en la creación de sistemas de gestión de la
seguridad de la información similar a los estándares de
calidad.
 La norma indica controles o grupos de controles codificados
mediante un sistema numérico y organizado por secciones.
Cada sección resalta los factores que se deben tener en
cuenta para alcanzar un adecuado control, aunque no todos
estos controles son obligatorios pero si son necesarios para
gestionar la seguridad de la información. La norma
establece la necesidad de evaluar los riesgos
correspondientes cuando se utilicen servicios de outsourcing
que puedan impactar en la seguridad de la información.
 ITIL (IT infraestructura library)
 El modelo de ITIL está basado en servicios y en la entrega
de los mismos de manera efectiva, eficiente y controlada
pero no deja de lado la necesidad de creación de políticas,
procedimientos o controles directivos para la gestión de los
servicios de TI.
 Su filosofía para el control del outsourcing puede resumirse
en los siguientes principios:
 Implantar una política que regule como adquirir servicios y
selección de proveedores
 Estar alerta para mantener el know-how dentro de la empresa.

 Documentar todas las actividades desarrolladas por outsourcing

 Establecer mecanismos de comunicación para la
correcta comprensión del servicio prestado.
 Mantener una relación estrecha y comunicación
continua con el proveedor para verificar las
necesidades de servicio
 Mantenimiento y monitoreo de los contratos con
los proveedores, con la finalidad de identificar
las posibles mejoras en todos los ámbitos.
 Las principales herramientas de control que ITIL hace
especial mención son los SLA (acuerdos de nivel de servicio)
y los OLA (acuerdos de nivel de operación).
 SLA: define la relación entre un proveedor de servicios y sus
clientes. Este acuerdo describe los productos, servicios o ambos,
que se recibirán junto con las responsabilidades de cada parte,
las condiciones económicas, como será medido el servicio y el
esquema de reporte.
 OLA: define las relaciones interdependientes de los grupos de
soporte interno de TI que trabajan para dar cobertura a los
requerimientos de los SLA. Su objetivo es presentar la gestión
interna que desarrolla el proveedor para cumplir con lo
indicado en el contrato SLA. Este OLA tiende a ser más técnico
que el SLA.