AUDITORA DE OUTSOURCING DE TI

AUDITORA DE OUTSOURCING DE TIDefinicin de OutsourcingEsta definicin difiere segn el entorno que se encuentra, sin embargo, podemos establecer ciertas caractersticas para definirlo:No es una simple contratacin, sino ms bien, una alianza entre el cliente y el tercero para alcanzar juntos las metas y compartir los riesgosLas actividades del Outsourcing, muchas veces, no estn consideradas dentro de las actividades esenciales del negocio del cliente pero an as son vitales para su supervivenciaLos medios y activos entre el Outsourcing y el negocio son diferentes para cada actividad

Definicin de OutsourcingImplicaciones del proceso de OutsourcingLa organizacin pasa a ceder o compartir los derechos de propiedad del proceso y los activos asociados, lo que logra que ciertas fases de los procesos ya no se controlan totalmente.La organizacin comienza a tener una dependencia a largo plazo por lo que los recursos se vuelven difcilmente intercambiables.A partir de esto se empieza a considerar una serie de contratos donde se definen todos los servicios que sern requeridos en la cadena de valor, y estos servicios sern manejados de forma ms eficiente ya que es el concepto real del Outsourcing.

El outsourcing de TI

El outsourcing de TI se puede ver involucrado en muchas reas de alto y bajo riesgo dentro de la organizacin, por lo que podemos definir un mapa de servicios que se estn llevando en la actualidad

Gestin de aplicaciones: esto comprende todos los procesos desde el desarrollo de aplicaciones hasta la gestin de proyectos, y esto se ha vuelto muy comn en nuestros das, donde las empresas necesitan sacar nuevos paquetes de software y tiene que contratar terceros que tienen la experiencia para trabajar ese proyecto en forma rpida y eficiente. Sin embargo, se debe considerar que muchas veces sucede que al finalizar ese proyecto, el personal en calidad de tercero se tiene que retirar de la organizacin y se est perdiendo ese conocimiento adquirido a lo largo del proyecto.

Gestin y operacin de la infraestructura: esto comprende el manejo de los elementos en la infraestructura y operacin de TI, desde supervisin, control de errores y la gestin de cambios. Entre los ejemplos o casos que podemos encontrar en este tipo, se encuentran las comunicaciones y la redes de datos, servidores y sus actividades de respaldo y recuperacin, elementos de integracin de sistemas y de las bases de datos.

Servicios de Helpdesk: se ocupa normalmente de toda la parte de soporte a usuarios finales para resolver problemas, dudas, configuracin de PC. Esto se puede realizar a travs de herramientas de conectividad remota que permitan brindar soluciones de manera ms gil.

Aseguramiento de Calidad: asegurar la calidad dentro de un proceso de desarrollo o sobre las actividades o funciones de TI se puede ofrecer como un proceso independiente. Se debe considerar que el proveedor que ofrece servicios de aseguramiento de calidad sea diferente al proveedor que ofrece el servicio que desea asegurar, para evitar conflictos de intereses.

Gestin del centro de computo: muy frecuentemente usada donde ya existen estndares para el manejo de los data centers y empresas muy especializadas para eso.

Servicios de seguridad: que es la encargada de velar por toda la seguridad de la informacin tanto para TI como para otras reas de negocio.

Investigacin y desarrollo: es posible utilizar organizaciones externas con un alto conocimiento en ciertas tecnologas o mercados a innovar.

Tipos de OutsourcingOutsourcing Informtico tradicional: este es el soporte tctico que se presenta en la organizacin, donde el proveedor asume parte de los activos fsicos o personal. Son actividades y activos gestionados por el proveedor. Ejemplos de ello son las gestiones de redes, de aplicaciones o de seguridad.

Outsourcing de Procesos de negocio: son los que pretende darle una transformacin a la organizacin en lo que se refiere a los procesos de negocio. Si por ejemplo se tiene un sistema de nmina, se puede definir un contrato para que sea administrado en base a ciertos parmetros y lineamientos.

Tipos de OutsourcingProveedor Total o Parcial: el proveedor gestiona toda o una parte de los servicios informtico, dependiendo del riesgo que se maneje. Si es parcial, es posible encontrar en un servicio informtico varios proveedores.

Proveedor nico: solo un proveedor se encarga de un servicio informtico exclusivo y se contrata otro proveedor para los otros servicios en TI.

Pseudo-outsourcing: es ms una estrategia de grupos empresariales, donde estos crean una empresa que se encargar de gestionar todos los procesos de todas las empresas del grupo.

Outsourcing de transicin: los proveedores solucionan el problema o gestionan por un tiempo de transicin, como por ejemplo, cuando se requiere realizar un cambio de sistema y se requiere personal ya sea para el sistema nuevo o el que va a salir.

Tipos de OutsourcingOutsourcing extraterritorial: estrategia que contrata a personal de otro pas donde se aprovecha la tecnologa y las comunicaciones para poder disponer de centros de cmputo en varios usos horarios. Se podra considerar un problema de este modelo, la diversidad de culturas en trminos de comunicacin y coordinacin.

Participacin del capital: su uso es especial al momento de la creacin de nuevas empresas donde el proveedor podra ofrecer recursos humanos y conocimiento experto mientras el cliente ofrece el musculo financiero para llevar a cabo sus proyectos.

Tipos de OutsourcingMulti aprovisionamiento: comprende la contratacin de varios proveedores de servicio para diferentes reas para disponer un cierto grado de independencia del proveedor. Puede llegar a presentarse problemas de comunicacin entre los recursos en su convivencia.

Outsourcing estratgico: es tambin denominado Business Process Management y pretende externalizar el proceso de negocio y todo lo que conlleva las estructuras de capital, financiacin y sobre todo el xito o fracaso de la empresa.

Ciclo de Vida del OutsourcingSe debe entender que el outsourcing es un proceso, y como tal tiene un final, y que dependiendo de los resultados ese camino puede ser de ida y vuelta o solo de ida. Se presenta el modelo simplificado que se considera en todo proceso de outsourcing de TI:

Auditora del Outsourcing de TIAntes de iniciar una auditora se debe conocer el entorno en el que se desarrolla el proceso y los posibles agentes que participan en el mismo. El outsourcing es un acuerdo entre partes por la prestacin de un conjunto de servicios tecnolgicos. Aunque pueden existir diferentes tipos de acuerdos de outsourcing, podemos observar elementos claves tales como: El contrato, SLAs, Participacin activa de usuarios, Poltica Corporativa.

El contrato: acuerdo formal entre el proveedor del servicio y el cliente. Elemento de referencia principal.SLA: medida objetiva de calidad objetiva sobre el servicio acordado, fija los mnimos niveles de calidad para cada uno de los servicios.Participacin activa de usuarios: el cliente dispone de canales para exigir y reclamar mejoras del nivel de servicio cuando este no se est cumpliendo.Poltica Corporativa: define responsabilidades frente al outsourcing tanto de los usuarios como del personal propio de TI, desde la perspectiva de la supervisin y la comunicacin.

El contrato de OutsourcingNo es ms que un contrato profesional entre dos entidades donde cada clausula es importante y se debe de prestar mucha atencin a cmo o por que se han generado en vista de que una falla podra afectar la calidad de los servicios que se esperaban recibir.Desde la perspectiva del auditor se debe de garantizar que se haya involucrado al equipo jurdico y tener una participacin activa y no actuar nicamente como elemento revisor.

El contrato de OutsourcingEl contrato deber recoger como mnimo los siguientes aspectos:Responsabilidades y elementos de relacin para gestionar el procesoModelo de gestin que evite controversias y permita la revisin continua del contenido y alcance, adems de su adaptacin a las circunstancias del momento de forma fcilUna descripcin precisa de los productos que se esperan recibir y como se esperan recibirVnculos para proveedor con objetivos concretos y establecer clausulas de penalizacin para el supuesto de que no sean alcanzadosMecanismos necesarios para asegurar la continuidad del servicio en caso de rescisin

El contrato de OutsourcingUno de los aspectos a destacar es el Plan de Retorno, donde establece que se debe que se ha de hacer y se convierte en la herramienta fiable con la que cuenta una organizacin para recuperar el control de sus sistemas de informacin bajo rgimen de outsourcing.Dos aspectos fundamentales a considerar durante la auditoria son el Modelo de Relacin y los Informes de Gestin.El Modelo de Relacin articula la capacidad de hacer evolucionar el contrato en el tiempo para adaptarlo a las necesidades reales del negocio.

El informe de Gestin es la herramienta bsica para comunicar los resultados del servicio.

Acuerdos de Nivel de ServicioANS/SLA es el conjunto de medidas de rendimiento mnimo usadas para aceptar como validos los servicios prestados.El SLA debe ser un documento vivo y puede ser revisado a peticin de cualquiera de las partes, adicionalmente se convierte en una herramienta con objetivos diferentes.Los SLAs se consideran un elemento complementario al contrato ya que el mismo regula el servicio y en su contraparte el contrato regula todo el marco legal de la relacin.Acuerdos de Nivel de ServicioEn un SLA podemos identificar dos tipos de elementos:

Los elementos del servicio: describen el contexto del servicio y los trminos y condiciones de la entrega del servicio.Los elementos de gestin: describen los pasos a dar para asegurar la efectividad del servicio y resolver cualquier problema que pudiera darse.La manera de asegurarse el cumplimiento de estos SLAs es a travs del anlisis de indicadores de nivel de servicio.

El sistema de penalizacionesEl sistema de penalizaciones se articula para regular la falta de cumplimiento del SLA y los efectos perjudiciales que el incumplimiento tiene para la empresa contratante.

Se debe verificar que por cada SLA existe un indicador de penalizacin. Y ante un incumplimiento de servicio se recoge la penalizacin, existe una menos-factura que reconoce el proveedor, y esta menos factura queda registrada en la contabilidad del cliente.

Los informes de GestinEstos informes constituyen junto a los SLAs el ncleo de control efectivo sobre las actividades que desarrollan los proveedores. Proporcionan informacin estructurada sobre los servicios contratados, informacin que es valiosa para el seguimiento y funcionamiento no solo del servicio sino del negocio.

Como parte de las conclusiones que podemos apuntar, siempre existen determinadas acciones indispensables durante el proceso de auditora de outsourcing:Identificar si existe una poltica para la definicin de SLAs entre sus proveedores de serviciosIdentificar los contratos y SLAs y verificar la participacin de los usuarios en la creacin y modificacin de los mismosIdentificar claramente la relacin entre el tercero y el clienteIdentificar las personas con roles y responsabilidades sobre la gestin de contratos y SLAsValidar la existencia de clausulas que permitan esta gestin alineado con la evolucin del negocio

Identificar y validar el modelo de elaboracin y aprobacin de los SLAs y sus indicadoresVerificar si se llevan a cabo recalculos de los indicadores para su contraste con lo acordadoIdentificar como se monitorean los SLAs y que reportes se generan para mostrar el desempeoIdentificar el proceso que considera las acciones a tomar en respuesta a un incumplimiento de SLAIdentificar como est articulada la obtencin de la calidad percibida y las acciones que se toman tras su evaluacin

Marcos de ReferenciaPor la importancia que ha ganado el outsourcing de TI en los ltimos tiempos se han creado modelos de referencia para la gestin y gobierno de TI destinados a terceros, y adicionalmente se ha involucrado ciertas regulaciones para el control de los procesos o funciones desarrolladas por los outsourcing. Podemos destaca SOX (Ley Sarbanes-Oxley), Directiva europea de proteccin de datos personales, HIPAA y GBLT (EEUU).

En la siguiente tabla se mencionan los diferentes modelos de referencia y en cual enfoque est representado:

CMMI (Capability Maturity Model Integration)

Este modelo est basado en el concepto de madurez de un proceso que se concreta a travs de varios estados que CMMI define de forma acumulativa, o sea, que el nivel superior tiene caractersticas del nivel inferior ampliando ciertos aspectos. Los niveles son:Inicial: en donde no se dispone de un ambiente estable para el desarrollo, ms se confa en las habilidades del personal que en la seguridad de los procesos.Gestionado (Repetible): el proceso es gestionado sin uniformidad donde dispone de ciertas tcnicas propias de gestin que son utilizadas discrecionalmente. La relacin con los subcontratistas y clientes es gestionada sistemticamente.

Definido: la organizacin ha definido procesos formales para las diferentes actividades y que son utilizadas concurrentemente. Gestionado de forma cuantitativa: la organizacin ha establecido mtricas para los principales elementos que gobiernan el proceso. Optimizado: se gestionan la mejora continua de los procesos y se hacen revisiones a las mtricas.CMMI se centra tanto en los procesos y las prcticas, polticas y procedimientos, donde cada nivel de madurez se observan diferentes elementos a gestionar para poder ser certificado.

ISO 27001 / BS 7799Es el estndar de seguridad de la informacin, y est basado en la creacin de sistemas de gestin de la seguridad de la informacin similar a los estndares de calidad.

La norma indica controles o grupos de controles codificados mediante un sistema numrico y organizado por secciones. Cada seccin resalta los factores que se deben tener en cuenta para alcanzar un adecuado control, aunque no todos estos controles son obligatorios pero si son necesarios para gestionar la seguridad de la informacin. La norma establece la necesidad de evaluar los riesgos correspondientes cuando se utilicen servicios de outsourcing que puedan impactar en la seguridad de la informacin.

ITIL (IT infraestructura library)El modelo de ITIL est basado en servicios y en la entrega de los mismos de manera efectiva, eficiente y controlada pero no deja de lado la necesidad de creacin de polticas, procedimientos o controles directivos para la gestin de los servicios de TI.Su filosofa para el control del outsourcing puede resumirse en los siguientes principios:Implantar una poltica que regule como adquirir servicios y seleccin de proveedoresEstar alerta para mantener el know-how dentro de la empresa.Documentar todas las actividades desarrolladas por outsourcing

Establecer mecanismos de comunicacin para la correcta comprensin del servicio prestado.Mantener una relacin estrecha y comunicacin continua con el proveedor para verificar las necesidades de servicioMantenimiento y monitoreo de los contratos con los proveedores, con la finalidad de identificar las posibles mejoras en todos los mbitos.

Las principales herramientas de control que ITIL hace especial mencin son los SLA (acuerdos de nivel de servicio) y los OLA (acuerdos de nivel de operacin).SLA: define la relacin entre un proveedor de servicios y sus clientes. Este acuerdo describe los productos, servicios o ambos, que se recibirn junto con las responsabilidades de cada parte, las condiciones econmicas, como ser medido el servicio y el esquema de reporte.

OLA: define las relaciones interdependientes de los grupos de soporte interno de TI que trabajan para dar cobertura a los requerimientos de los SLA. Su objetivo es presentar la gestin interna que desarrolla el proveedor para cumplir con lo indicado en el contrato SLA. Este OLA tiende a ser ms tcnico que el SLA.