Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoria en Outsourcing de TI
Auditoria en Outsourcing de TI
Auditora en Outsourcing de TI
Introduccin
Las empresas estn focalizando su visin hacia las actividades que les genera
ingresos y con el nacimiento del Outsourcing ha permitido que se logre esto, a
travs de dejar las actividades secundaras para que sean administradas por
empresas externas y lograr coordinar todas las fuerzas internas y externas para
alcanzar todos los objetivos estratgicos de la organizacin.
El Outsourcing involucra no solo un cambio en la estructura organizacional, sino es
tambin un cambio de paradigma de gestin, donde la empresa tiene que
involucrar a su personal tercerizado en todo lo que respecta a su administracin as
como ejercer un control para que no perder el rumbo especificado.
Por varios aos se ha realizado Outsourcing en varias reas de la empresa, sin
embargo, el Outsourcing de TI es muy diferente ya que es un servicio relativamente
novedoso en comparacin con los otros servicios, debido a los riesgos que puede
materializarse en cuanto a los sistemas. Todo esto hace que el control sobre el
Outsourcing de TI sea clave para la gestin y de ah nace la auditora de TI para
servir como una herramienta para asegurar que estos controles sean correctamente
implantados y asegurar la continuidad de negocio, la gestin del riesgo y la
obtencin de retornos de forma sostenible, adems de obtener toda la informacin
relevante y precisa sobre los factores que permiten crear valor en la organizacin.
El outsourcing de TI
El outsourcing de TI se puede ver involucrado en muchas reas de alto y bajo riesgo
dentro de la organizacin, por lo que podemos definir un mapa de servicios que se
estn llevando en la actualidad
Gestin de aplicaciones: esto comprende todos los procesos desde el
desarrollo de aplicaciones hasta la gestin de proyectos, y esto se ha vuelto
muy comn en nuestros das, donde las empresas necesitan sacar nuevos
paquetes de software y tiene que contratar terceros que tienen la experiencia
para trabajar ese proyecto en forma rpida y eficiente. Sin embargo, se debe
considerar que muchas veces sucede que al finalizar ese proyecto, el
personal en calidad de tercero se tiene que retirar de la organizacin y se
est perdiendo ese conocimiento adquirido a lo largo del proyecto.
Gestin y operacin de la infraestructura: esto comprende el manejo de los
elementos en la infraestructura y operacin de TI, desde supervisin, control
de errores y la gestin de cambios. Entre los ejemplos o casos que podemos
encontrar en este tipo, se encuentran las comunicaciones y la redes de datos,
servidores y sus actividades de respaldo y recuperacin, elementos de
integracin de sistemas y de las bases de datos.
Servicios de Helpdesk: se ocupa normalmente de toda la parte de soporte a
usuarios finales para resolver problemas, dudas, configuracin de PC. Esto se
puede realizar a travs de herramientas de conectividad remota que
permitan brindar soluciones de manera ms gil.
Aseguramiento de Calidad: asegurar la calidad dentro de un proceso de
desarrollo o sobre las actividades o funciones de TI se puede ofrecer como un
proceso independiente. Se debe considerar que el proveedor que ofrece
servicios de aseguramiento de calidad sea diferente al proveedor que ofrece
el servicio que desea asegurar, para evitar conflictos de intereses.
Gestin del centro de computo: muy frecuentemente usada donde ya existen
estndares para el manejo de los data centers y empresas muy
especializadas para eso.
Servicios de seguridad: que es la encargada de velar por toda la seguridad de
la informacin tanto para TI como para otras reas de negocio.
Investigacin y desarrollo: es posible utilizar organizaciones externas con un
alto conocimiento en ciertas tecnologas o mercados a innovar.
Tipos de Outsourcing
A la fecha se pueden encontrar algunos tipos de outsourcing que se pueden
observar en las organizaciones, aqu se resumen algunos de ellos:
outsourcing de TI:
Plan
estrategico
Contrataci
n
Transicin
Gestin y
Optimizaci
n
Finalizacin
y
renegociaci
n
Uno de los aspectos a destacar es el Plan de Retorno, donde establece que se debe
que se ha de hacer y se convierte en la herramienta fiable con la que cuenta una
organizacin para recuperar el control de sus sistemas de informacin bajo rgimen
de outsourcing.
Dos aspectos fundamentales a considerar durante la auditoria son el Modelo de
Relacin y los Informes de Gestin.
El Modelo de Relacin articula la capacidad de hacer evolucionar el contrato en el
tiempo para adaptarlo a las necesidades reales del negocio.
El informe de Gestin es la herramienta bsica para comunicar los resultados del
servicio.
Acuerdos de Nivel de Servicio
ANS/SLA es el conjunto de medidas de rendimiento mnimo usadas para aceptar
como validos los servicios prestados
El SLA debe ser un documento vivo y puede ser revisado a peticin de cualquiera de
las partes, adicionalmente se convierte en una herramienta con objetivos
diferentes.
Los SLAs se consideran un elemento complementario al contrato ya que el mismo
regula el servicio y en su contraparte el contrato regula todo el marco legal de la
relacin.
En un SLA podemos identificar dos tipos de elementos:
Los elementos del servicio: describen el contexto del servicio y los trminos y
condiciones de la entrega del servicio.
Los elementos de gestin: describen los pasos a dar para asegurar la efectividad
del servicio y resolver cualquier problema que pudiera darse.
La manera de asegurarse el cumplimiento de estos SLAs es a travs del anlisis de
indicadores de nivel de servicio.
El sistema de penalizaciones
El sistema de penalizaciones se articula para regular la falta de cumplimiento del
SLA y los efectos perjudiciales que el incumplimiento tiene para la empresa
contratante.
Se debe verificar que por cada SLA existe un indicador de penalizacin. Y ante un
incumplimiento de servicio se recoge la penalizacin, existe una menos-factura que
Marcos de Referencia
Por la importancia que ha ganado el outsourcing de TI en los ltimos tiempos se han
creado modelos de referencia para la gestin y gobierno de TI destinados a
terceros, y adicionalmente se ha involucrado ciertas regulaciones para el control de
los procesos o funciones desarrolladas por los outsourcing. Podemos destaca SOX
(Ley Sarbanes-Oxley), Directiva europea de proteccin de datos personales, HIPAA y
GBLT (EEUU).
En la siguiente tabla se mencionan los diferentes modelos de referencia y en cual
enfoque est representado:
Modelo de
Organizacin
Enfoque
Referencia
SAS 70
COBIT
ITIL
ISO 27001 / BS
7799
CMMI
Systrust
AICPA
ISACA/ITGI
UK Office of
Goverment
Commerces
ISO / BS
Contable y gerencial
Gobierno, control y auditoria de TI
Explotacin de sistemas y servicios
de telecomunicaciones
Desarrollo de software
Seguridad de la informacin
Contable y gerencial
De todos estos nos vamos a enfocar en tres donde se dar un breve resumen de los
ms significativos:
CMMI (Capability Maturity Model Integration)
Este modelo est basado en el concepto de madurez de un proceso que se concreta
a travs de varios estados que CMMI define de forma acumulativa, o sea, que el
nivel superior tiene caractersticas del nivel inferior ampliando ciertos aspectos. Los
niveles son:
1. Inicial: en donde no se dispone de un ambiente estable para el desarrollo,
ms se confa en las habilidades del personal que en la seguridad de los
procesos.
2. Gestionado (Repetible): el proceso es gestionado sin uniformidad donde
dispone de ciertas tcnicas propias de gestin que son utilizadas
discrecionalmente. La relacin con los subcontratistas y clientes es
gestionada sistemticamente.
3. Definido: la organizacin ha definido procesos formales para las diferentes
actividades y que son utilizadas concurrentemente.
4. Gestionado de forma cuantitativa: la organizacin ha establecido mtricas
para los principales elementos que gobiernan el proceso.
5. Optimizado: se gestionan la mejora continua de los procesos y se hacen
revisiones a las mtricas.
CMMI se centra tanto en los procesos y las prcticas, polticas y procedimientos,
donde cada nivel de madurez se observan diferentes elementos a gestionar para
poder ser certificado.