Contenido

Auditora en Outsourcing de TI................................................................................... 3

Introduccin............................................................................................................ 3
Conceptos Relativos al Outsourcing de TI...............................................................3
Definicin del Outsourcing................................................................................... 3
Implicaciones del proceso de Outsourcing...........................................................3
El outsourcing de TI................................................................................................. 4
Tipos de Outsourcing............................................................................................ 4
Ciclo de Vida del Outsourcing...............................................................................5
Auditora del Outsourcing de TI............................................................................... 5
El contrato de Outsourcing................................................................................... 6
Acuerdos de Nivel de Servicio.............................................................................. 6
El sistema de penalizaciones...............................................................................7
Los informes de Gestin....................................................................................... 7
Marcos de Referencia.............................................................................................. 8
CMMI (Capability Maturity Model Integration)......................................................8
ISO 27001 / BS 7799............................................................................................ 9
ITIL (IT infraestructura library).............................................................................9

Auditora en Outsourcing de TI
Introduccin
Las empresas estn focalizando su visin hacia las actividades que les genera
ingresos y con el nacimiento del Outsourcing ha permitido que se logre esto, a
travs de dejar las actividades secundaras para que sean administradas por
empresas externas y lograr coordinar todas las fuerzas internas y externas para
alcanzar todos los objetivos estratgicos de la organizacin.
El Outsourcing involucra no solo un cambio en la estructura organizacional, sino es
tambin un cambio de paradigma de gestin, donde la empresa tiene que
involucrar a su personal tercerizado en todo lo que respecta a su administracin as
como ejercer un control para que no perder el rumbo especificado.
Por varios aos se ha realizado Outsourcing en varias reas de la empresa, sin
embargo, el Outsourcing de TI es muy diferente ya que es un servicio relativamente
novedoso en comparacin con los otros servicios, debido a los riesgos que puede
materializarse en cuanto a los sistemas. Todo esto hace que el control sobre el
Outsourcing de TI sea clave para la gestin y de ah nace la auditora de TI para
servir como una herramienta para asegurar que estos controles sean correctamente
implantados y asegurar la continuidad de negocio, la gestin del riesgo y la
obtencin de retornos de forma sostenible, adems de obtener toda la informacin
relevante y precisa sobre los factores que permiten crear valor en la organizacin.

Conceptos Relativos al Outsourcing de TI

Definicin del Outsourcing
Esta definicin difiere segn el entorno que se encuentra, sin embargo, podemos
establecer ciertas caractersticas para definirlo:
No es una simple contratacin, sino ms bien, una alianza entre el cliente y el
tercero para alcanzar juntos las metas y compartir los riesgos
Las actividades del Outsourcing, muchas veces, no estn consideradas dentro
de las actividades esenciales del negocio del cliente pero an as son vitales
para su supervivencia
Los medios y activos entre el Outsourcing y el negocio son diferentes para
cada actividad
Implicaciones del proceso de Outsourcing
La organizacin pasa a ceder o compartir los derechos de propiedad del
proceso y los activos asociados, lo que logra que ciertas fases de los procesos
ya no se controlan totalmente.
La organizacin comienza a tener una dependencia a largo plazo por lo que
los recursos se vuelven difcilmente intercambiables.

A partir de esto se empieza a considerar una serie de contratos donde se definen

todos los servicios que sern requeridos en la cadena de valor, y estos servicios
sern manejados de forma ms eficiente ya que es el concepto real del
Outsourcing.

El outsourcing de TI
El outsourcing de TI se puede ver involucrado en muchas reas de alto y bajo riesgo
dentro de la organizacin, por lo que podemos definir un mapa de servicios que se
estn llevando en la actualidad
Gestin de aplicaciones: esto comprende todos los procesos desde el
desarrollo de aplicaciones hasta la gestin de proyectos, y esto se ha vuelto
muy comn en nuestros das, donde las empresas necesitan sacar nuevos
paquetes de software y tiene que contratar terceros que tienen la experiencia
para trabajar ese proyecto en forma rpida y eficiente. Sin embargo, se debe
considerar que muchas veces sucede que al finalizar ese proyecto, el
personal en calidad de tercero se tiene que retirar de la organizacin y se
est perdiendo ese conocimiento adquirido a lo largo del proyecto.
Gestin y operacin de la infraestructura: esto comprende el manejo de los
elementos en la infraestructura y operacin de TI, desde supervisin, control
de errores y la gestin de cambios. Entre los ejemplos o casos que podemos
encontrar en este tipo, se encuentran las comunicaciones y la redes de datos,
servidores y sus actividades de respaldo y recuperacin, elementos de
integracin de sistemas y de las bases de datos.
Servicios de Helpdesk: se ocupa normalmente de toda la parte de soporte a
usuarios finales para resolver problemas, dudas, configuracin de PC. Esto se
puede realizar a travs de herramientas de conectividad remota que
permitan brindar soluciones de manera ms gil.
Aseguramiento de Calidad: asegurar la calidad dentro de un proceso de
desarrollo o sobre las actividades o funciones de TI se puede ofrecer como un
proceso independiente. Se debe considerar que el proveedor que ofrece
servicios de aseguramiento de calidad sea diferente al proveedor que ofrece
el servicio que desea asegurar, para evitar conflictos de intereses.
Gestin del centro de computo: muy frecuentemente usada donde ya existen
estndares para el manejo de los data centers y empresas muy
especializadas para eso.
Servicios de seguridad: que es la encargada de velar por toda la seguridad de
la informacin tanto para TI como para otras reas de negocio.
Investigacin y desarrollo: es posible utilizar organizaciones externas con un
alto conocimiento en ciertas tecnologas o mercados a innovar.
Tipos de Outsourcing
A la fecha se pueden encontrar algunos tipos de outsourcing que se pueden
observar en las organizaciones, aqu se resumen algunos de ellos:

 Outsourcing Informtico tradicional: este es el soporte tctico que se

presenta en la organizacin, donde el proveedor asume parte de los activos
fsicos o personal. Son actividades y activos gestionados por el proveedor.
Ejemplos de ello son las gestiones de redes, de aplicaciones o de seguridad.
Outsourcing de Procesos de negocio: son los que pretende darle una
transformacin a la organizacin en lo que se refiere a los procesos de
negocio. Si por ejemplo se tiene un sistema de nmina, se puede definir un
contrato para que sea administrado en base a ciertos parmetros y
lineamientos.
Proveedor Total o Parcial: el proveedor gestiona toda o una parte de los
servicios informtico, dependiendo del riesgo que se maneje. Si es parcial, es
posible encontrar en un servicio informtico varios proveedores.
Proveedor nico: solo un proveedor se encarga de un servicio informtico
exclusivo y se contrata otro proveedor para los otros servicios en TI.
Pseudo-outsourcing: es ms una estrategia de grupos empresariales, donde
estos crean una empresa que se encargar de gestionar todos los procesos
de todas las empresas del grupo.
Outsourcing de transicin: los proveedores solucionan el problema o
gestionan por un tiempo de transicin, como por ejemplo, cuando se requiere
realizar un cambio de sistema y se requiere personal ya sea para el sistema
nuevo o el que va a salir.
Outsourcing extraterritorial: estrategia que contrata a personal de otro pas
donde se aprovecha la tecnologa y las comunicaciones para poder disponer
de centros de cmputo en varios usos horarios. Se podra considerar un
problema de este modelo, la diversidad de culturas en trminos de
comunicacin y coordinacin.
Participacin del capital: su uso es especial al momento de la creacin de
nuevas empresas donde el proveedor podra ofrecer recursos humanos y
conocimiento experto mientras el cliente ofrece el musculo financiero para
llevar a cabo sus proyectos.
Multi aprovisionamiento: comprende la contratacin de varios proveedores de
servicio para diferentes reas para disponer un cierto grado de
independencia del proveedor. Puede llegar a presentarse problemas de
comunicacin entre los recursos en su convivencia.
Outsourcing estratgico: es tambin denominado Business Process
Management y pretende externalizar el proceso de negocio y todo lo que
conlleva las estructuras de capital, financiacin y sobre todo el xito o
fracaso de la empresa.
Ciclo de Vida del Outsourcing
Se debe entender que el outsourcing es un proceso, y como tal tiene un final, y que
dependiendo de los resultados ese camino puede ser de ida y vuelta o solo de ida.
Se presenta el modelo simplificado que se considera en todo proceso de

outsourcing de TI:

Plan
estrategico

Contrataci
n

Transicin

Gestin y
Optimizaci
n

Finalizacin
y
renegociaci
n

Auditora del Outsourcing de TI

Antes de iniciar una auditoria se debe conocer el entorno en el que se desarrolla el
proceso y los posibles agentes que participan en el mismo.
El outsourcing es un acuerdo entre partes por la prestacin de un conjunto de
servicios tecnolgicos. Aunque pueden existir diferentes tipos de acuerdos de
outsourcing, podemos observar elementos claves tales como: El contrato, SLAs,
Participacin activa de usuarios, Poltica Corporativa.
1. El contrato: acuerdo formal entre el proveedor del servicio y el cliente.
Elemento de referencia principal.
2. SLA: medida objetiva de calidad objetiva sobre el servicio acordado, fija los
mnimos niveles de calidad para cada uno de los servicios.
3. Participacin activa de usuarios: el cliente dispone de canales para exigir y
reclamar mejoras del nivel de servicio cuando este no se est cumpliendo.
4. Poltica Corporativa: define responsabilidades frente al outsourcing tanto de
los usuarios como del personal propio de TI, desde la perspectiva de la
supervisin y la comunicacin.
El contrato de Outsourcing
No es ms que un contrato profesional entre dos entidades donde cada clausula es
importante y se debe de prestar mucha atencin a cmo o por que se han generado
en vista de que una falla podra afectar la calidad de los servicios que se esperaban
recibir.
Desde la perspectiva del auditor se debe de garantizar que se haya involucrado al
equipo jurdico y tener una participacin activa y no actuar nicamente como
elemento revisor.
El contrato deber recoger como mnimo los siguientes aspectos:

Responsabilidades y elementos de relacin para gestionar el proceso

Modelo de gestin que evite controversias y permita la revisin continua del
contenido y alcance, adems de su adaptacin a las circunstancias del
momento de forma fcil
Una descripcin precisa de los productos que se esperan recibir y como se
esperan recibir

Vnculos para proveedor con objetivos concretos y establecer clausulas de

penalizacin para el supuesto de que no sean alcanzados
Mecanismos necesarios para asegurar la continuidad del servicio en caso de
rescisin

Uno de los aspectos a destacar es el Plan de Retorno, donde establece que se debe
que se ha de hacer y se convierte en la herramienta fiable con la que cuenta una
organizacin para recuperar el control de sus sistemas de informacin bajo rgimen
de outsourcing.
Dos aspectos fundamentales a considerar durante la auditoria son el Modelo de
Relacin y los Informes de Gestin.
El Modelo de Relacin articula la capacidad de hacer evolucionar el contrato en el
tiempo para adaptarlo a las necesidades reales del negocio.
El informe de Gestin es la herramienta bsica para comunicar los resultados del
servicio.
Acuerdos de Nivel de Servicio
ANS/SLA es el conjunto de medidas de rendimiento mnimo usadas para aceptar
como validos los servicios prestados
El SLA debe ser un documento vivo y puede ser revisado a peticin de cualquiera de
las partes, adicionalmente se convierte en una herramienta con objetivos
diferentes.
Los SLAs se consideran un elemento complementario al contrato ya que el mismo
regula el servicio y en su contraparte el contrato regula todo el marco legal de la
relacin.
En un SLA podemos identificar dos tipos de elementos:
Los elementos del servicio: describen el contexto del servicio y los trminos y
condiciones de la entrega del servicio.
Los elementos de gestin: describen los pasos a dar para asegurar la efectividad
del servicio y resolver cualquier problema que pudiera darse.
La manera de asegurarse el cumplimiento de estos SLAs es a travs del anlisis de
indicadores de nivel de servicio.
El sistema de penalizaciones
El sistema de penalizaciones se articula para regular la falta de cumplimiento del
SLA y los efectos perjudiciales que el incumplimiento tiene para la empresa
contratante.
Se debe verificar que por cada SLA existe un indicador de penalizacin. Y ante un
incumplimiento de servicio se recoge la penalizacin, existe una menos-factura que

reconoce el proveedor, y esta menos factura queda registrada en la contabilidad

del cliente.
Los informes de Gestin
Estos informes constituyen junto a los SLAs el ncleo de control efectivo sobre las
actividades que desarrollan los proveedores. Proporcionan informacin estructurada
sobre los servicios contratados, informacin que es valiosa para el seguimiento y
funcionamiento no solo del servicio sino del negocio.
Como parte de las conclusiones que podemos apuntar, siempre existen
determinadas acciones indispensables durante el proceso de auditora de
outsourcing:
1. Identificar si existe una poltica para la definicin de SLAs entre sus
proveedores de servicios
2. Identificar los contratos y SLAs y verificar la participacin de los usuarios en
la creacin y modificacin de los mismos
3. Identificar claramente la relacin entre el tercero y el cliente
4. Identificar las personas con roles y responsabilidades sobre la gestin de
contratos y SLAs
5. Validar la existencia de clausulas que permitan esta gestin alineado con la
evolucin del negocio
6. Identificar y validar el modelo de elaboracin y aprobacin de los SLAs y sus
indicadores
7. Verificar si se llevan a cabo recalculos de los indicadores para su contraste
con lo acordado
8. Identificar como se monitorean los SLAs y que reportes se generan para
mostrar el desempeo
9. Identificar el proceso que considera las acciones a tomar en respuesta a un
incumplimiento de SLA
10.Identificar como est articulada la obtencin de la calidad percibida y las
acciones que se toman tras su evaluacin

Marcos de Referencia
Por la importancia que ha ganado el outsourcing de TI en los ltimos tiempos se han
creado modelos de referencia para la gestin y gobierno de TI destinados a
terceros, y adicionalmente se ha involucrado ciertas regulaciones para el control de
los procesos o funciones desarrolladas por los outsourcing. Podemos destaca SOX
(Ley Sarbanes-Oxley), Directiva europea de proteccin de datos personales, HIPAA y
GBLT (EEUU).
En la siguiente tabla se mencionan los diferentes modelos de referencia y en cual
enfoque est representado:
Modelo de

Organizacin

Enfoque

Referencia
SAS 70
COBIT
ITIL

ISO 27001 / BS
7799
CMMI
Systrust

AICPA
ISACA/ITGI
UK Office of
Goverment
Commerces
ISO / BS

Contable y gerencial
Gobierno, control y auditoria de TI
Explotacin de sistemas y servicios
de telecomunicaciones

SEI (Carnegie Mellon

Univ.)
AICPA Y CICA

Desarrollo de software

Seguridad de la informacin

Contable y gerencial

De todos estos nos vamos a enfocar en tres donde se dar un breve resumen de los
ms significativos:
CMMI (Capability Maturity Model Integration)
Este modelo est basado en el concepto de madurez de un proceso que se concreta
a travs de varios estados que CMMI define de forma acumulativa, o sea, que el
nivel superior tiene caractersticas del nivel inferior ampliando ciertos aspectos. Los
niveles son:
1. Inicial: en donde no se dispone de un ambiente estable para el desarrollo,
ms se confa en las habilidades del personal que en la seguridad de los
procesos.
2. Gestionado (Repetible): el proceso es gestionado sin uniformidad donde
dispone de ciertas tcnicas propias de gestin que son utilizadas
discrecionalmente. La relacin con los subcontratistas y clientes es
gestionada sistemticamente.
3. Definido: la organizacin ha definido procesos formales para las diferentes
actividades y que son utilizadas concurrentemente.
4. Gestionado de forma cuantitativa: la organizacin ha establecido mtricas
para los principales elementos que gobiernan el proceso.
5. Optimizado: se gestionan la mejora continua de los procesos y se hacen
revisiones a las mtricas.
CMMI se centra tanto en los procesos y las prcticas, polticas y procedimientos,
donde cada nivel de madurez se observan diferentes elementos a gestionar para
poder ser certificado.

ISO 27001 / BS 7799

Es el estndar de seguridad de la informacin, y est basado en la creacin de
sistemas de gestin de la seguridad de la informacin similar a los estndares de
calidad.

La norma indica controles o grupos de controles codificados mediante un sistema

numrico y organizado por secciones. Cada seccin resalta los factores que se
deben tener en cuenta para alcanzar un adecuado control, aunque no todos estos
controles son obligatorios pero si son necesarios para gestionar la seguridad de la
informacin. La norma establece la necesidad de evaluar los riesgos
correspondientes cuando se utilicen servicios de outsourcing que puedan impactar
en la seguridad de la informacin.
ITIL (IT infraestructura library)
El modelo de ITIL est basado en servicios y en la entrega de los mismos de manera
efectiva, eficiente y controlada pero no deja de lado la necesidad de creacin de
polticas, procedimientos o controles directivos para la gestin de los servicios de TI.
Su filosofa para el control del outsourcing puede resumirse en los siguientes
principios:
Implantar una poltica que regule como adquirir servicios y seleccin de
proveedores
Estar alerta para mantener el know-how dentro de la empresa.
Documentar todas las actividades desarrolladas por outsourcing
Establecer mecanismos de comunicacin para la correcta comprensin del
servicio prestado.
Mantener una relacin estrecha y comunicacin continua con el proveedor
para verificar las necesidades de servicio
Mantenimiento y monitoreo de los contratos con los proveedores, con la
finalidad de identificar las posibles mejoras en todos los mbitos.
Las principales herramientas de control que ITIL hace especial mencin son los SLA
(acuerdos de nivel de servicio) y los OLA (acuerdos de nivel de operacin).
SLA: define la relacin entre un proveedor de servicios y sus clientes. Este
acuerdo describe los productos, servicios o ambos, que se recibirn junto con
las responsabilidades de cada parte, las condiciones econmicas, como ser
medido el servicio y el esquema de reporte.
OLA: define las relaciones interdependientes de los grupos de soporte interno
de TI que trabajan para dar cobertura a los requerimientos de los SLA. Su
objetivo es presentar la gestin interna que desarrolla el proveedor para
cumplir con lo indicado en el contrato SLA. Este OLA tiende a ser ms tcnico
que el SLA.