Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Por varios años se ha realizado Outsourcing en varias áreas de la empresa, sin embargo, el Outsourcing
de TI es muy diferente ya que es un servicio relativamente novedoso en comparación con los otros
servicios, debido a los riesgos que puede materializarse en cuanto a los sistemas. Todo esto hace que el
control sobre el Outsourcing de TI sea clave para la gestión y de ahí nace la auditoría de TI para servir
como una herramienta para asegurar que estos controles sean correctamente implantados y asegurar la
continuidad de negocio, la gestión del riesgo y la obtención de retornos de forma sostenible, además de
obtener toda la información relevante y precisa sobre los factores que permiten crear valor en la
organización.
No es una simple contratación, sino más bien, una alianza entre el cliente y el tercero para
alcanzar juntos las metas y compartir los riesgos
Las actividades del Outsourcing, muchas veces, no están consideradas dentro de las actividades
esenciales del negocio del cliente pero aún así son vitales para su supervivencia
Los medios y activos entre el Outsourcing y el negocio son diferentes para cada actividad
A partir de esto se empieza a considerar una serie de contratos donde se definen todos los servicios que
serán requeridos en la cadena de valor, y estos servicios serán manejados de forma más eficiente ya que
es el concepto real del Outsourcing.
El outsourcing de TI
El outsourcing de TI se puede ver involucrado en muchas áreas de alto y bajo riesgo dentro de la
organización, por lo que podemos definir un mapa de servicios que se están llevando en la actualidad
Gestión de aplicaciones: esto comprende todos los procesos desde el desarrollo de aplicaciones
hasta la gestión de proyectos, y esto se ha vuelto muy común en nuestros días, donde las
empresas necesitan sacar nuevos paquetes de software y tiene que contratar terceros que
tienen la experiencia para trabajar ese proyecto en forma rápida y eficiente. Sin embargo, se
debe considerar que muchas veces sucede que al finalizar ese proyecto, el personal en calidad
de tercero se tiene que retirar de la organización y se está perdiendo ese conocimiento
adquirido a lo largo del proyecto.
Gestión y operación de la infraestructura: esto comprende el manejo de los elementos en la
infraestructura y operación de TI, desde supervisión, control de errores y la gestión de cambios.
Entre los ejemplos o casos que podemos encontrar en este tipo, se encuentran las
comunicaciones y la redes de datos, servidores y sus actividades de respaldo y recuperación,
elementos de integración de sistemas y de las bases de datos.
Servicios de Helpdesk: se ocupa normalmente de toda la parte de soporte a usuarios finales para
resolver problemas, dudas, configuración de PC. Esto se puede realizar a través de herramientas
de conectividad remota que permitan brindar soluciones de manera más ágil.
Aseguramiento de Calidad: asegurar la calidad dentro de un proceso de desarrollo o sobre las
actividades o funciones de TI se puede ofrecer como un proceso independiente. Se debe
considerar que el proveedor que ofrece servicios de aseguramiento de calidad sea diferente al
proveedor que ofrece el servicio que desea asegurar, para evitar conflictos de intereses.
Gestión del centro de computo: muy frecuentemente usada donde ya existen estándares para el
manejo de los data centers y empresas muy especializadas para eso.
Servicios de seguridad: que es la encargada de velar por toda la seguridad de la información
tanto para TI como para otras áreas de negocio.
Investigación y desarrollo: es posible utilizar organizaciones externas con un alto conocimiento
en ciertas tecnologías o mercados a innovar.
Tipos de Outsourcing
A la fecha se pueden encontrar algunos tipos de outsourcing que se pueden observar en las
organizaciones, aquí se resumen algunos de ellos:
El contrato de Outsourcing
No es más que un contrato profesional entre dos entidades donde cada clausula es importante y se
debe de prestar mucha atención a cómo o por que se han generado en vista de que una falla podría
afectar la calidad de los servicios que se esperaban recibir.
Desde la perspectiva del auditor se debe de garantizar que se haya involucrado al equipo jurídico y tener
una participación activa y no actuar únicamente como elemento revisor.
Uno de los aspectos a destacar es el Plan de Retorno, donde establece que se debe “que se ha de hacer”
y se convierte en la herramienta fiable con la que cuenta una organización para recuperar el control de
sus sistemas de información bajo régimen de outsourcing.
Dos aspectos fundamentales a considerar durante la auditoria son el Modelo de Relación y los Informes
de Gestión.
El Modelo de Relación articula la capacidad de hacer evolucionar el contrato en el tiempo para adaptarlo
a las necesidades reales del negocio.
El informe de Gestión es la herramienta básica para comunicar los resultados del servicio.
El SLA debe ser un documento vivo y puede ser revisado a petición de cualquiera de las partes,
adicionalmente se convierte en una herramienta con objetivos diferentes.
Los SLAs se consideran un elemento complementario al contrato ya que el mismo regula el servicio y en
su contraparte el contrato regula todo el marco legal de la relación.
La manera de asegurarse el cumplimiento de estos SLAs es a través del análisis de indicadores de nivel
de servicio.
El sistema de penalizaciones
El sistema de penalizaciones se articula para regular la falta de cumplimiento del SLA y los efectos
perjudiciales que el incumplimiento tiene para la empresa contratante.
Se debe verificar que por cada SLA existe un indicador de penalización. Y ante un incumplimiento de
servicio se recoge la penalización, existe una menos-factura que reconoce el proveedor, y esta menos –
factura queda registrada en la contabilidad del cliente.
Como parte de las conclusiones que podemos apuntar, siempre existen determinadas acciones
indispensables durante el proceso de auditoría de outsourcing:
1. Identificar si existe una política para la definición de SLAs entre sus proveedores de servicios
2. Identificar los contratos y SLAs y verificar la participación de los usuarios en la creación y
modificación de los mismos
3. Identificar claramente la relación entre el tercero y el cliente
4. Identificar las personas con roles y responsabilidades sobre la gestión de contratos y SLAs
5. Validar la existencia de clausulas que permitan esta gestión alineado con la evolución del
negocio
6. Identificar y validar el modelo de elaboración y aprobación de los SLAs y sus indicadores
7. Verificar si se llevan a cabo recalculos de los indicadores para su contraste con lo acordado
8. Identificar como se monitorean los SLAs y que reportes se generan para mostrar el desempeño
9. Identificar el proceso que considera las acciones a tomar en respuesta a un incumplimiento de
SLA
10. Identificar como está articulada la obtención de la calidad percibida y las acciones que se toman
tras su evaluación
Marcos de Referencia
Por la importancia que ha ganado el outsourcing de TI en los últimos tiempos se han creado modelos de
referencia para la gestión y gobierno de TI destinados a terceros, y adicionalmente se ha involucrado
ciertas regulaciones para el control de los procesos o funciones desarrolladas por los outsourcing.
Podemos destaca SOX (Ley Sarbanes-Oxley), Directiva europea de protección de datos personales,
HIPAA y GBLT (EEUU).
En la siguiente tabla se mencionan los diferentes modelos de referencia y en cual enfoque está
representado:
De todos estos nos vamos a enfocar en tres donde se dará un breve resumen de los más significativos:
1. Inicial: en donde no se dispone de un ambiente estable para el desarrollo, más se confía en las
habilidades del personal que en la seguridad de los procesos.
2. Gestionado (Repetible): el proceso es gestionado sin uniformidad donde dispone de ciertas
técnicas propias de gestión que son utilizadas discrecionalmente. La relación con los
subcontratistas y clientes es gestionada sistemáticamente.
3. Definido: la organización ha definido procesos formales para las diferentes actividades y que son
utilizadas concurrentemente.
4. Gestionado de forma cuantitativa: la organización ha establecido métricas para los principales
elementos que gobiernan el proceso.
5. Optimizado: se gestionan la mejora continua de los procesos y se hacen revisiones a las
métricas.
CMMI se centra tanto en los procesos y las prácticas, políticas y procedimientos, donde cada nivel de
madurez se observan diferentes elementos a gestionar para poder ser certificado.
ISO 27001 / BS 7799
Es el estándar de seguridad de la información, y está basado en la creación de sistemas de gestión de la
seguridad de la información similar a los estándares de calidad.
Su filosofía para el control del outsourcing puede resumirse en los siguientes principios:
Implantar una política que regule como adquirir servicios y selección de proveedores
Estar alerta para mantener el know-how dentro de la empresa.
Documentar todas las actividades desarrolladas por outsourcing
Establecer mecanismos de comunicación para la correcta comprensión del servicio prestado.
Mantener una relación estrecha y comunicación continua con el proveedor para verificar las
necesidades de servicio
Mantenimiento y monitoreo de los contratos con los proveedores, con la finalidad de identificar
las posibles mejoras en todos los ámbitos.
Las principales herramientas de control que ITIL hace especial mención son los SLA (acuerdos de nivel de
servicio) y los OLA (acuerdos de nivel de operación).
SLA: define la relación entre un proveedor de servicios y sus clientes. Este acuerdo describe los
productos, servicios o ambos, que se recibirán junto con las responsabilidades de cada parte, las
condiciones económicas, como será medido el servicio y el esquema de reporte.
OLA: define las relaciones interdependientes de los grupos de soporte interno de TI que trabajan
para dar cobertura a los requerimientos de los SLA. Su objetivo es presentar la gestión interna
que desarrolla el proveedor para cumplir con lo indicado en el contrato SLA. Este OLA tiende a
ser más técnico que el SLA.