Contenido

Auditoría en Outsourcing de TI....................................................................................................................3

Introducción............................................................................................................................................3
Conceptos Relativos al Outsourcing de TI................................................................................................3
Definición del Outsourcing..................................................................................................................3
Implicaciones del proceso de Outsourcing..........................................................................................3
El outsourcing de TI.................................................................................................................................4
Tipos de Outsourcing...........................................................................................................................4
Ciclo de Vida del Outsourcing..............................................................................................................5
Auditoría del Outsourcing de TI...............................................................................................................5
El contrato de Outsourcing..................................................................................................................6
Acuerdos de Nivel de Servicio..............................................................................................................6
El sistema de penalizaciones...............................................................................................................7
Los informes de Gestión......................................................................................................................7
Marcos de Referencia..............................................................................................................................8
CMMI (Capability Maturity Model Integration)...................................................................................8
ISO 27001 / BS 7799............................................................................................................................9
ITIL (IT infraestructura library).............................................................................................................9
Auditoría en Outsourcing de TI
Introducción
Las empresas están focalizando su visión hacia las actividades que les genera ingresos y con el
nacimiento del Outsourcing ha permitido que se logre esto, a través de dejar las actividades secundarías
para que sean administradas por empresas externas y lograr coordinar todas las fuerzas internas y
externas para alcanzar todos los objetivos estratégicos de la organización.

El Outsourcing involucra no solo un cambio en la estructura organizacional, sino es también un cambio

de paradigma de gestión, donde la empresa tiene que involucrar a su personal tercerizado en todo lo
que respecta a su administración así como ejercer un control para que no perder el rumbo especificado.

Por varios años se ha realizado Outsourcing en varias áreas de la empresa, sin embargo, el Outsourcing
de TI es muy diferente ya que es un servicio relativamente novedoso en comparación con los otros
servicios, debido a los riesgos que puede materializarse en cuanto a los sistemas. Todo esto hace que el
control sobre el Outsourcing de TI sea clave para la gestión y de ahí nace la auditoría de TI para servir
como una herramienta para asegurar que estos controles sean correctamente implantados y asegurar la
continuidad de negocio, la gestión del riesgo y la obtención de retornos de forma sostenible, además de
obtener toda la información relevante y precisa sobre los factores que permiten crear valor en la
organización.

Conceptos Relativos al Outsourcing de TI

Definición del Outsourcing
Esta definición difiere según el entorno que se encuentra, sin embargo, podemos establecer ciertas
características para definirlo:

 No es una simple contratación, sino más bien, una alianza entre el cliente y el tercero para
alcanzar juntos las metas y compartir los riesgos
 Las actividades del Outsourcing, muchas veces, no están consideradas dentro de las actividades
esenciales del negocio del cliente pero aún así son vitales para su supervivencia
 Los medios y activos entre el Outsourcing y el negocio son diferentes para cada actividad

Implicaciones del proceso de Outsourcing

 La organización pasa a ceder o compartir los derechos de propiedad del proceso y los activos
asociados, lo que logra que ciertas fases de los procesos ya no se controlan totalmente.
 La organización comienza a tener una dependencia a largo plazo por lo que los recursos se
vuelven difícilmente intercambiables.

A partir de esto se empieza a considerar una serie de contratos donde se definen todos los servicios que
serán requeridos en la cadena de valor, y estos servicios serán manejados de forma más eficiente ya que
es el concepto real del Outsourcing.
El outsourcing de TI
El outsourcing de TI se puede ver involucrado en muchas áreas de alto y bajo riesgo dentro de la
organización, por lo que podemos definir un mapa de servicios que se están llevando en la actualidad

 Gestión de aplicaciones: esto comprende todos los procesos desde el desarrollo de aplicaciones
hasta la gestión de proyectos, y esto se ha vuelto muy común en nuestros días, donde las
empresas necesitan sacar nuevos paquetes de software y tiene que contratar terceros que
tienen la experiencia para trabajar ese proyecto en forma rápida y eficiente. Sin embargo, se
debe considerar que muchas veces sucede que al finalizar ese proyecto, el personal en calidad
de tercero se tiene que retirar de la organización y se está perdiendo ese conocimiento
adquirido a lo largo del proyecto.
 Gestión y operación de la infraestructura: esto comprende el manejo de los elementos en la
infraestructura y operación de TI, desde supervisión, control de errores y la gestión de cambios.
Entre los ejemplos o casos que podemos encontrar en este tipo, se encuentran las
comunicaciones y la redes de datos, servidores y sus actividades de respaldo y recuperación,
elementos de integración de sistemas y de las bases de datos.
 Servicios de Helpdesk: se ocupa normalmente de toda la parte de soporte a usuarios finales para
resolver problemas, dudas, configuración de PC. Esto se puede realizar a través de herramientas
de conectividad remota que permitan brindar soluciones de manera más ágil.
 Aseguramiento de Calidad: asegurar la calidad dentro de un proceso de desarrollo o sobre las
actividades o funciones de TI se puede ofrecer como un proceso independiente. Se debe
considerar que el proveedor que ofrece servicios de aseguramiento de calidad sea diferente al
proveedor que ofrece el servicio que desea asegurar, para evitar conflictos de intereses.
 Gestión del centro de computo: muy frecuentemente usada donde ya existen estándares para el
manejo de los data centers y empresas muy especializadas para eso.
 Servicios de seguridad: que es la encargada de velar por toda la seguridad de la información
tanto para TI como para otras áreas de negocio.
 Investigación y desarrollo: es posible utilizar organizaciones externas con un alto conocimiento
en ciertas tecnologías o mercados a innovar.

Tipos de Outsourcing
A la fecha se pueden encontrar algunos tipos de outsourcing que se pueden observar en las
organizaciones, aquí se resumen algunos de ellos:

 Outsourcing Informático tradicional: este es el soporte táctico que se presenta en la

organización, donde el proveedor asume parte de los activos físicos o personal. Son actividades
y activos gestionados por el proveedor. Ejemplos de ello son las gestiones de redes, de
aplicaciones o de seguridad.
 Outsourcing de Procesos de negocio: son los que pretende darle una transformación a la
organización en lo que se refiere a los procesos de negocio. Si por ejemplo se tiene un sistema
de nómina, se puede definir un contrato para que sea administrado en base a ciertos
parámetros y lineamientos.
  Proveedor Total o Parcial: el proveedor gestiona toda o una parte de los servicios informático,
dependiendo del riesgo que se maneje. Si es parcial, es posible encontrar en un servicio
informático varios proveedores.
 Proveedor único: solo un proveedor se encarga de un servicio informático exclusivo y se
contrata otro proveedor para los otros servicios en TI.
 Pseudo-outsourcing: es más una estrategia de grupos empresariales, donde estos crean una
empresa que se encargará de gestionar todos los procesos de todas las empresas del grupo.
 Outsourcing de transición: los proveedores solucionan el problema o gestionan por un tiempo
de transición, como por ejemplo, cuando se requiere realizar un cambio de sistema y se
requiere personal ya sea para el sistema nuevo o el que va a salir.
 Outsourcing extraterritorial: estrategia que contrata a personal de otro país donde se aprovecha
la tecnología y las comunicaciones para poder disponer de centros de cómputo en varios usos
horarios. Se podría considerar un problema de este modelo, la diversidad de culturas en
términos de comunicación y coordinación.
 Participación del capital: su uso es especial al momento de la creación de nuevas empresas
donde el proveedor podría ofrecer recursos humanos y conocimiento experto mientras el
cliente ofrece el musculo financiero para llevar a cabo sus proyectos.
 Multi aprovisionamiento: comprende la contratación de varios proveedores de servicio para
diferentes áreas para disponer un cierto grado de independencia del proveedor. Puede llegar a
presentarse problemas de comunicación entre los recursos en su convivencia.
 Outsourcing estratégico: es también denominado Business Process Management y pretende
externalizar el proceso de negocio y todo lo que conlleva las estructuras de capital, financiación
y sobre todo el éxito o fracaso de la empresa.

Ciclo de Vida del Outsourcing

Se debe entender que el outsourcing es un proceso, y como tal tiene un final, y que dependiendo de los
resultados ese camino puede ser de ida y vuelta o solo de ida. Se presenta el modelo simplificado que se
considera en todo proceso de outsourcing de TI:

Plan Gestión y Finalización y

Contratación Transición
estrategico Optimización renegociación

Auditoría del Outsourcing de TI

Antes de iniciar una auditoria se debe conocer el entorno en el que se desarrolla el proceso y los
posibles agentes que participan en el mismo.

El outsourcing es un acuerdo entre partes por la prestación de un conjunto de servicios tecnológicos.

Aunque pueden existir diferentes tipos de acuerdos de outsourcing, podemos observar elementos
claves tales como: El contrato, SLAs, Participación activa de usuarios, Política Corporativa.
 1. El contrato: acuerdo formal entre el proveedor del servicio y el cliente. Elemento de referencia
principal.
2. SLA: medida objetiva de calidad objetiva sobre el servicio acordado, fija los mínimos niveles de
calidad para cada uno de los servicios.
3. Participación activa de usuarios: el cliente dispone de canales para exigir y reclamar mejoras del
nivel de servicio cuando este no se está cumpliendo.
4. Política Corporativa: define responsabilidades frente al outsourcing tanto de los usuarios como
del personal propio de TI, desde la perspectiva de la supervisión y la comunicación.

El contrato de Outsourcing
No es más que un contrato profesional entre dos entidades donde cada clausula es importante y se
debe de prestar mucha atención a cómo o por que se han generado en vista de que una falla podría
afectar la calidad de los servicios que se esperaban recibir.

Desde la perspectiva del auditor se debe de garantizar que se haya involucrado al equipo jurídico y tener
una participación activa y no actuar únicamente como elemento revisor.

El contrato deberá recoger como mínimo los siguientes aspectos:

 Responsabilidades y elementos de relación para gestionar el proceso

 Modelo de gestión que evite controversias y permita la revisión continua del contenido y
alcance, además de su adaptación a las circunstancias del momento de forma fácil
 Una descripción precisa de los productos que se esperan recibir y como se esperan recibir
 Vínculos para proveedor con objetivos concretos y establecer clausulas de penalización para el
supuesto de que no sean alcanzados
 Mecanismos necesarios para asegurar la continuidad del servicio en caso de rescisión

Uno de los aspectos a destacar es el Plan de Retorno, donde establece que se debe “que se ha de hacer”
y se convierte en la herramienta fiable con la que cuenta una organización para recuperar el control de
sus sistemas de información bajo régimen de outsourcing.

Dos aspectos fundamentales a considerar durante la auditoria son el Modelo de Relación y los Informes
de Gestión.

El Modelo de Relación articula la capacidad de hacer evolucionar el contrato en el tiempo para adaptarlo
a las necesidades reales del negocio.
El informe de Gestión es la herramienta básica para comunicar los resultados del servicio.

Acuerdos de Nivel de Servicio

ANS/SLA es el conjunto de medidas de rendimiento mínimo usadas para aceptar como validos los
servicios prestados

El SLA debe ser un documento vivo y puede ser revisado a petición de cualquiera de las partes,
adicionalmente se convierte en una herramienta con objetivos diferentes.
Los SLAs se consideran un elemento complementario al contrato ya que el mismo regula el servicio y en
su contraparte el contrato regula todo el marco legal de la relación.

En un SLA podemos identificar dos tipos de elementos:

Los elementos del servicio: describen el contexto del servicio y los términos y condiciones de la entrega
del servicio.
Los elementos de gestión: describen los pasos a dar para asegurar la efectividad del servicio y resolver
cualquier problema que pudiera darse.

La manera de asegurarse el cumplimiento de estos SLAs es a través del análisis de indicadores de nivel
de servicio.

El sistema de penalizaciones
El sistema de penalizaciones se articula para regular la falta de cumplimiento del SLA y los efectos
perjudiciales que el incumplimiento tiene para la empresa contratante.
Se debe verificar que por cada SLA existe un indicador de penalización. Y ante un incumplimiento de
servicio se recoge la penalización, existe una menos-factura que reconoce el proveedor, y esta menos –
factura queda registrada en la contabilidad del cliente.

Los informes de Gestión

Estos informes constituyen junto a los SLAs el núcleo de control efectivo sobre las actividades que
desarrollan los proveedores. Proporcionan información estructurada sobre los servicios contratados,
información que es valiosa para el seguimiento y funcionamiento no solo del servicio sino del negocio.

Como parte de las conclusiones que podemos apuntar, siempre existen determinadas acciones
indispensables durante el proceso de auditoría de outsourcing:

1. Identificar si existe una política para la definición de SLAs entre sus proveedores de servicios
2. Identificar los contratos y SLAs y verificar la participación de los usuarios en la creación y
modificación de los mismos
3. Identificar claramente la relación entre el tercero y el cliente
4. Identificar las personas con roles y responsabilidades sobre la gestión de contratos y SLAs
5. Validar la existencia de clausulas que permitan esta gestión alineado con la evolución del
negocio
6. Identificar y validar el modelo de elaboración y aprobación de los SLAs y sus indicadores
7. Verificar si se llevan a cabo recalculos de los indicadores para su contraste con lo acordado
8. Identificar como se monitorean los SLAs y que reportes se generan para mostrar el desempeño
9. Identificar el proceso que considera las acciones a tomar en respuesta a un incumplimiento de
SLA
10. Identificar como está articulada la obtención de la calidad percibida y las acciones que se toman
tras su evaluación
Marcos de Referencia
Por la importancia que ha ganado el outsourcing de TI en los últimos tiempos se han creado modelos de
referencia para la gestión y gobierno de TI destinados a terceros, y adicionalmente se ha involucrado
ciertas regulaciones para el control de los procesos o funciones desarrolladas por los outsourcing.
Podemos destaca SOX (Ley Sarbanes-Oxley), Directiva europea de protección de datos personales,
HIPAA y GBLT (EEUU).

En la siguiente tabla se mencionan los diferentes modelos de referencia y en cual enfoque está
representado:

Modelo de Referencia Organización Enfoque

SAS 70 AICPA Contable y gerencial
COBIT ISACA/ITGI Gobierno, control y auditoria de TI
ITIL UK Office of Goverment Explotación de sistemas y servicios de
Commerces telecomunicaciones
ISO 27001 / BS 7799 ISO / BS Seguridad de la información
CMMI SEI (Carnegie Mellon Univ.) Desarrollo de software
Systrust AICPA Y CICA Contable y gerencial

De todos estos nos vamos a enfocar en tres donde se dará un breve resumen de los más significativos:

CMMI (Capability Maturity Model Integration)

Este modelo está basado en el concepto de madurez de un proceso que se concreta a través de varios
estados que CMMI define de forma acumulativa, o sea, que el nivel superior tiene características del
nivel inferior ampliando ciertos aspectos. Los niveles son:

1. Inicial: en donde no se dispone de un ambiente estable para el desarrollo, más se confía en las
habilidades del personal que en la seguridad de los procesos.
2. Gestionado (Repetible): el proceso es gestionado sin uniformidad donde dispone de ciertas
técnicas propias de gestión que son utilizadas discrecionalmente. La relación con los
subcontratistas y clientes es gestionada sistemáticamente.
3. Definido: la organización ha definido procesos formales para las diferentes actividades y que son
utilizadas concurrentemente.
4. Gestionado de forma cuantitativa: la organización ha establecido métricas para los principales
elementos que gobiernan el proceso.
5. Optimizado: se gestionan la mejora continua de los procesos y se hacen revisiones a las
métricas.

CMMI se centra tanto en los procesos y las prácticas, políticas y procedimientos, donde cada nivel de
madurez se observan diferentes elementos a gestionar para poder ser certificado.
ISO 27001 / BS 7799
Es el estándar de seguridad de la información, y está basado en la creación de sistemas de gestión de la
seguridad de la información similar a los estándares de calidad.

La norma indica controles o grupos de controles codificados mediante un sistema numérico y

organizado por secciones. Cada sección resalta los factores que se deben tener en cuenta para alcanzar
un adecuado control, aunque no todos estos controles son obligatorios pero si son necesarios para
gestionar la seguridad de la información. La norma establece la necesidad de evaluar los riesgos
correspondientes cuando se utilicen servicios de outsourcing que puedan impactar en la seguridad de la
información.

ITIL (IT infraestructura library)

El modelo de ITIL está basado en servicios y en la entrega de los mismos de manera efectiva, eficiente y
controlada pero no deja de lado la necesidad de creación de políticas, procedimientos o controles
directivos para la gestión de los servicios de TI.

Su filosofía para el control del outsourcing puede resumirse en los siguientes principios:

 Implantar una política que regule como adquirir servicios y selección de proveedores
 Estar alerta para mantener el know-how dentro de la empresa.
 Documentar todas las actividades desarrolladas por outsourcing
 Establecer mecanismos de comunicación para la correcta comprensión del servicio prestado.
 Mantener una relación estrecha y comunicación continua con el proveedor para verificar las
necesidades de servicio
 Mantenimiento y monitoreo de los contratos con los proveedores, con la finalidad de identificar
las posibles mejoras en todos los ámbitos.

Las principales herramientas de control que ITIL hace especial mención son los SLA (acuerdos de nivel de
servicio) y los OLA (acuerdos de nivel de operación).

 SLA: define la relación entre un proveedor de servicios y sus clientes. Este acuerdo describe los
productos, servicios o ambos, que se recibirán junto con las responsabilidades de cada parte, las
condiciones económicas, como será medido el servicio y el esquema de reporte.
 OLA: define las relaciones interdependientes de los grupos de soporte interno de TI que trabajan
para dar cobertura a los requerimientos de los SLA. Su objetivo es presentar la gestión interna
que desarrolla el proveedor para cumplir con lo indicado en el contrato SLA. Este OLA tiende a
ser más técnico que el SLA.