AUDITORA DE

OUTSOURCING DE TI
YESSICA GMEZ

Definicin de Outsourcing

Esta definicin difiere segn el entorno que se

encuentra, sin embargo, podemos establecer ciertas
caractersticas para definirlo:
No es una simple contratacin, sino ms bien, una
alianza entre el cliente y el tercero para alcanzar
juntos las metas y compartir los riesgos
Las actividades del Outsourcing, muchas veces, no
estn consideradas dentro de las actividades
esenciales del negocio del cliente pero an as son
vitales para su supervivencia
Los medios y activos entre el Outsourcing y el
negocio son diferentes para cada actividad

Definicin de Outsourcing

Implicaciones del proceso de Outsourcing

La organizacin pasa a ceder o compartir los derechos
de propiedad del proceso y los activos asociados, lo
que logra que ciertas fases de los procesos ya no se
controlan totalmente.
La organizacin comienza a tener una dependencia a
largo plazo por lo que los recursos se vuelven
difcilmente intercambiables.
A partir de esto se empieza a considerar una serie de
contratos donde se definen todos los servicios que
sern requeridos en la cadena de valor, y estos
servicios sern manejados de forma ms eficiente ya
que es el concepto real del Outsourcing.

El outsourcing de TI

El outsourcing de TI se puede ver involucrado en muchas reas de alto

y bajo riesgo dentro de la organizacin, por lo que podemos definir un
mapa de servicios que se estn llevando en la actualidad

Gestin de aplicaciones: esto comprende todos los procesos desde el

desarrollo de aplicaciones hasta la gestin de proyectos, y esto se ha vuelto
muy comn en nuestros das, donde las empresas necesitan sacar nuevos
paquetes de software y tiene que contratar terceros que tienen la experiencia
para trabajar ese proyecto en forma rpida y eficiente. Sin embargo, se debe
considerar que muchas veces sucede que al finalizar ese proyecto, el personal
en calidad de tercero se tiene que retirar de la organizacin y se est
perdiendo ese conocimiento adquirido a lo largo del proyecto.

Gestin y operacin de la infraestructura: esto comprende el manejo de

los elementos en la infraestructura y operacin de TI, desde supervisin,
control de errores y la gestin de cambios. Entre los ejemplos o casos que
podemos encontrar en este tipo, se encuentran las comunicaciones y la redes
de datos, servidores y sus actividades de respaldo y recuperacin, elementos
de integracin de sistemas y de las bases de datos.

Servicios de Helpdesk: se ocupa normalmente de toda la parte de

soporte a usuarios finales para resolver problemas, dudas,
configuracin de PC. Esto se puede realizar a travs de herramientas
de conectividad remota que permitan brindar soluciones de manera
ms gil.

Aseguramiento de Calidad: asegurar la calidad dentro de un

proceso de desarrollo o sobre las actividades o funciones de TI se
puede ofrecer como un proceso independiente. Se debe considerar
que el proveedor que ofrece servicios de aseguramiento de calidad
sea diferente al proveedor que ofrece el servicio que desea asegurar,
para evitar conflictos de intereses.

Gestin del centro de computo: muy frecuentemente usada

donde ya existen estndares para el manejo de los data centers y
empresas muy especializadas para eso.

Servicios de seguridad: que es la

encargada de velar por toda la seguridad
de la informacin tanto para TI como para
otras reas de negocio.

Investigacin y desarrollo: es posible

utilizar organizaciones externas con un alto
conocimiento en ciertas tecnologas o
mercados a innovar.

Tipos de Outsourcing

Outsourcing Informtico tradicional: este es el

soporte tctico que se presenta en la organizacin,
donde el proveedor asume parte de los activos fsicos o
personal. Son actividades y activos gestionados por el
proveedor. Ejemplos de ello son las gestiones de redes,
de aplicaciones o de seguridad.

Outsourcing de Procesos de negocio: son los que

pretende darle una transformacin a la organizacin en
lo que se refiere a los procesos de negocio. Si por
ejemplo se tiene un sistema de nmina, se puede
definir un contrato para que sea administrado en base
a ciertos parmetros y lineamientos.

Tipos de Outsourcing

Proveedor Total o Parcial: el proveedor gestiona toda o una parte de los

servicios informtico, dependiendo del riesgo que se maneje. Si es parcial,
es posible encontrar en un servicio informtico varios proveedores.

Proveedor nico: solo un proveedor se encarga de un servicio informtico

exclusivo y se contrata otro proveedor para los otros servicios en TI.

Pseudo-outsourcing: es ms una estrategia de grupos empresariales,

donde estos crean una empresa que se encargar de gestionar todos los
procesos de todas las empresas del grupo.

Outsourcing de transicin: los proveedores solucionan el problema o

gestionan por un tiempo de transicin, como por ejemplo, cuando se
requiere realizar un cambio de sistema y se requiere personal ya sea para el
sistema nuevo o el que va a salir.

Tipos de Outsourcing

Outsourcing
extraterritorial:
estrategia
que
contrata a personal de otro pas donde se aprovecha la
tecnologa y las comunicaciones para poder disponer
de centros de cmputo en varios usos horarios. Se
podra considerar un problema de este modelo, la
diversidad de culturas en trminos de comunicacin y
coordinacin.

Participacin del capital: su uso es especial

momento de la creacin de nuevas empresas donde
proveedor podra ofrecer recursos humanos
conocimiento experto mientras el cliente ofrece
musculo financiero para llevar a cabo sus proyectos.

al
el
y
el

Tipos de Outsourcing

Multi
aprovisionamiento:
comprende
la
contratacin de varios proveedores de servicio para
diferentes reas para disponer un cierto grado de
independencia del proveedor. Puede llegar a
presentarse problemas de comunicacin entre los
recursos en su convivencia.

Outsourcing estratgico: es tambin denominado

Business
Process
Management
y
pretende
externalizar el proceso de negocio y todo lo que
conlleva las estructuras de capital, financiacin y
sobre todo el xito o fracaso de la empresa.

Ciclo de Vida del Outsourcing

Se debe entender que el outsourcing es un proceso, y

como tal tiene un final, y que dependiendo de los
resultados ese camino puede ser de ida y vuelta o solo de
ida. Se presenta el modelo simplificado que se considera
en todo proceso de outsourcing de TI:

Plan
estrategico

Contrataci
n

Transicin

Gestin y
Optimizaci
n

Finalizaci
ny
renegociac
in

Auditora del Outsourcing de TI

Antes de iniciar una auditora se debe conocer

el entorno en el que se desarrolla el proceso y
los posibles agentes que participan en el mismo.

El outsourcing es un acuerdo entre partes por la

prestacin de un conjunto de servicios
tecnolgicos. Aunque pueden existir diferentes
tipos de acuerdos de outsourcing, podemos
observar elementos claves tales como: El
contrato, SLAs, Participacin activa de usuarios,
Poltica Corporativa.

1.

2.

3.

4.

El contrato: acuerdo formal entre el proveedor del

servicio y el cliente. Elemento de referencia principal.
SLA: medida objetiva de calidad objetiva sobre el
servicio acordado, fija los mnimos niveles de calidad
para cada uno de los servicios.
Participacin activa de usuarios: el cliente
dispone de canales para exigir y reclamar mejoras del
nivel de servicio cuando este no se est cumpliendo.
Poltica Corporativa: define responsabilidades
frente al outsourcing tanto de los usuarios como del
personal propio de TI, desde la perspectiva de la
supervisin y la comunicacin.

El contrato de Outsourcing

No es ms que un contrato profesional entre

dos entidades donde cada clausula es
importante y se debe de prestar mucha
atencin a cmo o por que se han generado
en vista de que una falla podra afectar la
calidad de los servicios que se esperaban
recibir.
Desde la perspectiva del auditor se debe de
garantizar que se haya involucrado al equipo
jurdico y tener una participacin activa y no
actuar nicamente como elemento revisor.

El contrato de
Outsourcing

El contrato deber recoger como mnimo los siguientes

aspectos:
Responsabilidades y elementos de relacin para gestionar el
proceso
Modelo de gestin que evite controversias y permita la
revisin continua del contenido y alcance, adems de su
adaptacin a las circunstancias del momento de forma fcil
Una descripcin precisa de los productos que se esperan
recibir y como se esperan recibir
Vnculos para proveedor con objetivos concretos y establecer
clausulas de penalizacin para el supuesto de que no sean
alcanzados
Mecanismos necesarios para asegurar la continuidad del
servicio en caso de rescisin

El contrato de
Outsourcing

Uno de los aspectos a destacar es el Plan de Retorno, donde

establece que se debe que se ha de hacer y se convierte en la
herramienta fiable con la que cuenta una organizacin para
recuperar el control de sus sistemas de informacin bajo rgimen
de outsourcing.

Dos aspectos fundamentales a considerar durante la auditoria son

el Modelo de Relacin y los Informes de Gestin.

El Modelo de Relacin articula la capacidad de hacer evolucionar el

contrato en el tiempo para adaptarlo a las necesidades reales del
negocio.
El informe de Gestin es la herramienta bsica para comunicar los
resultados del servicio.

Acuerdos de Nivel de Servicio

ANS/SLA es el conjunto de medidas de rendimiento

mnimo usadas para aceptar como validos los servicios
prestados.

El SLA debe ser un documento vivo y puede ser revisado

a peticin de cualquiera de las partes, adicionalmente se
convierte en una herramienta con objetivos diferentes.

Los SLAs se consideran un elemento complementario al

contrato ya que el mismo regula el servicio y en su
contraparte el contrato regula todo el marco legal de la
relacin.

Acuerdos de Nivel de Servicio

En un SLA podemos identificar dos tipos de elementos:

Los elementos del servicio: describen el contexto del
servicio y los trminos y condiciones de la entrega del
servicio.
Los elementos de gestin: describen los pasos a dar
para asegurar la efectividad del servicio y resolver
cualquier problema que pudiera darse.

La manera de asegurarse el cumplimiento de estos SLAs

es a travs del anlisis de indicadores de nivel de servicio.

El sistema de penalizaciones

El sistema de penalizaciones se articula para

regular la falta de cumplimiento del SLA y los
efectos perjudiciales que el incumplimiento
tiene para la empresa contratante.
Se debe verificar que por cada SLA existe un
indicador de penalizacin. Y ante un
incumplimiento de servicio se recoge la
penalizacin, existe una menos-factura que
reconoce el proveedor, y esta menos factura
queda registrada en la contabilidad del cliente.

Los informes de Gestin

Estos informes constituyen junto a los

SLAs el ncleo de control efectivo sobre
las actividades que desarrollan los
proveedores. Proporcionan informacin
estructurada
sobre
los
servicios
contratados, informacin que es valiosa
para el seguimiento y funcionamiento no
solo del servicio sino del negocio.

Como parte de las conclusiones que podemos apuntar,

siempre existen determinadas acciones indispensables
durante el proceso de auditora de outsourcing:
1.

2.

3.

4.

5.

Identificar si existe una poltica para la definicin de

SLAs entre sus proveedores de servicios
Identificar los contratos y SLAs y verificar la
participacin de los usuarios en la creacin y
modificacin de los mismos
Identificar claramente la relacin entre el tercero y
el cliente
Identificar las personas con roles y
responsabilidades sobre la gestin de contratos y
SLAs
Validar la existencia de clausulas que permitan esta
gestin alineado con la evolucin del negocio

6.

7.

8.

9.

10.

Identificar y validar el modelo de elaboracin y

aprobacin de los SLAs y sus indicadores
Verificar si se llevan a cabo recalculos de los
indicadores para su contraste con lo acordado
Identificar como se monitorean los SLAs y que
reportes se generan para mostrar el desempeo
Identificar el proceso que considera las acciones
a tomar en respuesta a un incumplimiento de SLA
Identificar como est articulada la obtencin de
la calidad percibida y las acciones que se toman
tras su evaluacin

Marcos de Referencia

Por la importancia que ha ganado el

outsourcing de TI en los ltimos tiempos
se han creado modelos de referencia
para la gestin y gobierno de TI
destinados a terceros, y adicionalmente
se ha involucrado ciertas regulaciones
para el control de los procesos o
funciones
desarrolladas
por
los
outsourcing. Podemos destaca SOX (Ley
Sarbanes-Oxley), Directiva europea de
proteccin de datos personales, HIPAA y

En la siguiente tabla se mencionan los diferentes modelos de

referencia y en cual enfoque est representado:

CMMI (Capability Maturity Model Integration)

Este modelo est basado en el concepto de madurez

de un proceso que se concreta a travs de varios
estados que CMMI define de forma acumulativa, o sea,
que el nivel superior tiene caractersticas del nivel
inferior ampliando ciertos aspectos. Los niveles son:

1.

2.

Inicial: en donde no se dispone de un ambiente estable

para el desarrollo, ms se confa en las habilidades del
personal que en la seguridad de los procesos.
Gestionado (Repetible): el proceso es gestionado sin
uniformidad donde dispone de ciertas tcnicas propias de
gestin que son utilizadas discrecionalmente. La relacin
con los subcontratistas y clientes es gestionada
sistemticamente.

Definido: la organizacin ha definido procesos

formales para las diferentes actividades y que
son utilizadas concurrentemente.
4.
Gestionado
de
forma
cuantitativa:
la
organizacin ha establecido mtricas para los
principales elementos que gobiernan el proceso.
5.
Optimizado: se gestionan la mejora continua de
los procesos y se hacen revisiones a las mtricas.

CMMI se centra tanto en los procesos y las

prcticas, polticas y procedimientos, donde cada
nivel de madurez se observan diferentes
elementos a gestionar para poder ser certificado.
3.

ISO 27001 / BS 7799

Es el estndar de seguridad de la informacin, y est basado

en la creacin de sistemas de gestin de la seguridad de la
informacin similar a los estndares de calidad.

La norma indica controles o grupos de controles codificados

mediante un sistema numrico y organizado por secciones.
Cada seccin resalta los factores que se deben tener en
cuenta para alcanzar un adecuado control, aunque no todos
estos controles son obligatorios pero si son necesarios para
gestionar la seguridad de la informacin. La norma establece
la necesidad de evaluar los riesgos correspondientes cuando
se utilicen servicios de outsourcing que puedan impactar en la
seguridad de la informacin.

ITIL (IT infraestructura library)

El modelo de ITIL est basado en servicios y en la
entrega de los mismos de manera efectiva, eficiente
y controlada pero no deja de lado la necesidad de
creacin de polticas, procedimientos o controles
directivos para la gestin de los servicios de TI.

Su filosofa para el control del outsourcing puede

resumirse en los siguientes principios:
Implantar una poltica que regule como adquirir servicios
y seleccin de proveedores
Estar alerta para mantener el know-how dentro de la
empresa.
Documentar todas las actividades desarrolladas por
outsourcing

Establecer mecanismos de comunicacin

para la correcta comprensin del servicio
prestado.
Mantener
una
relacin
estrecha
y
comunicacin continua con el proveedor
para verificar las necesidades de servicio
Mantenimiento
y
monitoreo
de
los
contratos con los proveedores, con la
finalidad de identificar las posibles mejoras
en todos los mbitos.

Las principales herramientas de control que ITIL hace

especial mencin son los SLA (acuerdos de nivel de
servicio) y los OLA (acuerdos de nivel de operacin).

SLA: define la relacin entre un proveedor de servicios y sus

clientes. Este acuerdo describe los productos, servicios o ambos,
que se recibirn junto con las responsabilidades de cada parte,
las condiciones econmicas, como ser medido el servicio y el
esquema de reporte.

OLA: define las relaciones interdependientes de los grupos de

soporte interno de TI que trabajan para dar cobertura a los
requerimientos de los SLA. Su objetivo es presentar la gestin
interna que desarrolla el proveedor para cumplir con lo indicado
en el contrato SLA. Este OLA tiende a ser ms tcnico que el
SLA.