auditoría de outsourcing de ti
DESCRIPTION
TRANSCRIPT
AUDITORÍA DE OUTSOURCING DE TI
YESSICA GÓMEZ
Definición de Outsourcing
Esta definición difiere según el entorno que se encuentra, sin embargo, podemos establecer ciertas características para definirlo:
No es una simple contratación, sino más bien, una alianza entre el cliente y el tercero para alcanzar juntos las metas y compartir los riesgos
Las actividades del Outsourcing, muchas veces, no están consideradas dentro de las actividades esenciales del negocio del cliente pero aún así son vitales para su supervivencia
Los medios y activos entre el Outsourcing y el negocio son diferentes para cada actividad
Definición de Outsourcing
Implicaciones del proceso de Outsourcing La organización pasa a ceder o compartir los derechos
de propiedad del proceso y los activos asociados, lo que logra que ciertas fases de los procesos ya no se controlan totalmente.
La organización comienza a tener una dependencia a largo plazo por lo que los recursos se vuelven difícilmente intercambiables.
A partir de esto se empieza a considerar una serie de contratos donde se definen todos los servicios que serán requeridos en la cadena de valor, y estos servicios serán manejados de forma más eficiente ya que es el concepto real del Outsourcing.
El outsourcing de TI
El outsourcing de TI se puede ver involucrado en muchas áreas de alto y bajo riesgo dentro de la organización, por lo que podemos definir un mapa de servicios que se están llevando en la actualidad
Gestión de aplicaciones: esto comprende todos los procesos desde el desarrollo de aplicaciones hasta la gestión de proyectos, y esto se ha vuelto muy común en nuestros días, donde las empresas necesitan sacar nuevos paquetes de software y tiene que contratar terceros que tienen la experiencia para trabajar ese proyecto en forma rápida y eficiente. Sin embargo, se debe considerar que muchas veces sucede que al finalizar ese proyecto, el personal en calidad de tercero se tiene que retirar de la organización y se está perdiendo ese conocimiento adquirido a lo largo del proyecto.
Gestión y operación de la infraestructura: esto comprende el manejo de los elementos en la infraestructura y operación de TI, desde supervisión, control de errores y la gestión de cambios. Entre los ejemplos o casos que podemos encontrar en este tipo, se encuentran las comunicaciones y la redes de datos, servidores y sus actividades de respaldo y recuperación, elementos de integración de sistemas y de las bases de datos.
Servicios de Helpdesk: se ocupa normalmente de toda la parte de soporte a usuarios finales para resolver problemas, dudas, configuración de PC. Esto se puede realizar a través de herramientas de conectividad remota que permitan brindar soluciones de manera más ágil.
Aseguramiento de Calidad: asegurar la calidad dentro de un proceso de desarrollo o sobre las actividades o funciones de TI se puede ofrecer como un proceso independiente. Se debe considerar que el proveedor que ofrece servicios de aseguramiento de calidad sea diferente al proveedor que ofrece el servicio que desea asegurar, para evitar conflictos de intereses.
Gestión del centro de computo: muy frecuentemente usada donde ya existen estándares para el manejo de los data centers y empresas muy especializadas para eso.
Servicios de seguridad: que es la encargada de velar por toda la seguridad de la información tanto para TI como para otras áreas de negocio.
Investigación y desarrollo: es posible utilizar organizaciones externas con un alto conocimiento en ciertas tecnologías o mercados a innovar.
Tipos de Outsourcing
Outsourcing Informático tradicional: este es el soporte táctico que se presenta en la organización, donde el proveedor asume parte de los activos físicos o personal. Son actividades y activos gestionados por el proveedor. Ejemplos de ello son las gestiones de redes, de aplicaciones o de seguridad.
Outsourcing de Procesos de negocio: son los que pretende darle una transformación a la organización en lo que se refiere a los procesos de negocio. Si por ejemplo se tiene un sistema de nómina, se puede definir un contrato para que sea administrado en base a ciertos parámetros y lineamientos.
Proveedor Total o Parcial: el proveedor gestiona toda o una parte de los servicios informático, dependiendo del riesgo que se maneje. Si es parcial, es posible encontrar en un servicio informático varios proveedores.
Proveedor único: solo un proveedor se encarga de un servicio informático exclusivo y se contrata otro proveedor para los otros servicios en TI.
Pseudo-outsourcing: es más una estrategia de grupos empresariales, donde estos crean una empresa que se encargará de gestionar todos los procesos de todas las empresas del grupo.
Outsourcing de transición: los proveedores solucionan el problema o gestionan por un tiempo de transición, como por ejemplo, cuando se requiere realizar un cambio de sistema y se requiere personal ya sea para el sistema nuevo o el que va a salir.
Tipos de Outsourcing
Outsourcing extraterritorial: estrategia que contrata a personal de otro país donde se aprovecha la tecnología y las comunicaciones para poder disponer de centros de cómputo en varios usos horarios. Se podría considerar un problema de este modelo, la diversidad de culturas en términos de comunicación y coordinación.
Participación del capital: su uso es especial al momento de la creación de nuevas empresas donde el proveedor podría ofrecer recursos humanos y conocimiento experto mientras el cliente ofrece el musculo financiero para llevar a cabo sus proyectos.
Tipos de Outsourcing
Multi aprovisionamiento: comprende la contratación de varios proveedores de servicio para diferentes áreas para disponer un cierto grado de independencia del proveedor. Puede llegar a presentarse problemas de comunicación entre los recursos en su convivencia.
Outsourcing estratégico: es también denominado Business Process Management y pretende externalizar el proceso de negocio y todo lo que conlleva las estructuras de capital, financiación y sobre todo el éxito o fracaso de la empresa.
Tipos de Outsourcing
Ciclo de Vida del Outsourcing
Se debe entender que el outsourcing es un proceso, y como tal tiene un final, y que dependiendo de los resultados ese camino puede ser de ida y vuelta o solo de ida. Se presenta el modelo simplificado que se considera en todo proceso de outsourcing de TI:
Plan estrategico
Contratación Transición
Gestión y Optimizaci
ón
Finalización y
renegociación
Auditoría del Outsourcing de TI
Antes de iniciar una auditoría se debe conocer el entorno en el que se desarrolla el proceso y los posibles agentes que participan en el mismo.
El outsourcing es un acuerdo entre partes por la
prestación de un conjunto de servicios tecnológicos. Aunque pueden existir diferentes tipos de acuerdos de outsourcing, podemos observar elementos claves tales como: El contrato, SLAs, Participación activa de usuarios, Política Corporativa.
1. El contrato: acuerdo formal entre el proveedor del servicio y el cliente. Elemento de referencia principal.
2. SLA: medida objetiva de calidad objetiva sobre el servicio acordado, fija los mínimos niveles de calidad para cada uno de los servicios.
3. Participación activa de usuarios: el cliente dispone de canales para exigir y reclamar mejoras del nivel de servicio cuando este no se está cumpliendo.
4. Política Corporativa: define responsabilidades frente al outsourcing tanto de los usuarios como del personal propio de TI, desde la perspectiva de la supervisión y la comunicación.
El contrato de Outsourcing
No es más que un contrato profesional entre dos entidades donde cada clausula es importante y se debe de prestar mucha atención a cómo o por que se han generado en vista de que una falla podría afectar la calidad de los servicios que se esperaban recibir.
Desde la perspectiva del auditor se debe de garantizar que se haya involucrado al equipo jurídico y tener una participación activa y no actuar únicamente como elemento revisor.
El contrato de Outsourcing El contrato deberá recoger como mínimo los siguientes
aspectos: Responsabilidades y elementos de relación para gestionar
el proceso Modelo de gestión que evite controversias y permita la
revisión continua del contenido y alcance, además de su adaptación a las circunstancias del momento de forma fácil
Una descripción precisa de los productos que se esperan recibir y como se esperan recibir
Vínculos para proveedor con objetivos concretos y establecer clausulas de penalización para el supuesto de que no sean alcanzados
Mecanismos necesarios para asegurar la continuidad del servicio en caso de rescisión
Uno de los aspectos a destacar es el Plan de Retorno, donde establece que se debe “que se ha de hacer” y se convierte en la herramienta fiable con la que cuenta una organización para recuperar el control de sus sistemas de información bajo régimen de outsourcing.
Dos aspectos fundamentales a considerar durante la auditoria son el Modelo de Relación y los Informes de Gestión.
El Modelo de Relación articula la capacidad de hacer evolucionar el contrato en el tiempo para adaptarlo a las necesidades reales del negocio.
El informe de Gestión es la herramienta básica para comunicar los resultados del servicio.
El contrato de Outsourcing
Acuerdos de Nivel de Servicio
ANS/SLA es el conjunto de medidas de rendimiento mínimo usadas para aceptar como validos los servicios prestados.
El SLA debe ser un documento vivo y puede ser revisado a petición de cualquiera de las partes, adicionalmente se convierte en una herramienta con objetivos diferentes.
Los SLAs se consideran un elemento complementario al contrato ya que el mismo regula el servicio y en su contraparte el contrato regula todo el marco legal de la relación.
En un SLA podemos identificar dos tipos de elementos:
Los elementos del servicio: describen el contexto del servicio y los términos y condiciones de la entrega del servicio.
Los elementos de gestión: describen los pasos a dar para asegurar la efectividad del servicio y resolver cualquier problema que pudiera darse.
La manera de asegurarse el cumplimiento de estos SLAs es a través del análisis de indicadores de nivel de servicio.
Acuerdos de Nivel de Servicio
El sistema de penalizaciones
El sistema de penalizaciones se articula para regular la falta de cumplimiento del SLA y los efectos perjudiciales que el incumplimiento tiene para la empresa contratante.
Se debe verificar que por cada SLA existe un indicador de penalización. Y ante un incumplimiento de servicio se recoge la penalización, existe una menos-factura que reconoce el proveedor, y esta menos –factura queda registrada en la contabilidad del cliente.
Los informes de Gestión
Estos informes constituyen junto a los SLAs el núcleo de control efectivo sobre las actividades que desarrollan los proveedores. Proporcionan información estructurada sobre los servicios contratados, información que es valiosa para el seguimiento y funcionamiento no solo del servicio sino del negocio.
Como parte de las conclusiones que podemos apuntar, siempre existen determinadas acciones indispensables durante el proceso de auditoría de outsourcing:
1. Identificar si existe una política para la definición de SLAs entre sus proveedores de servicios
2. Identificar los contratos y SLAs y verificar la participación de los usuarios en la creación y modificación de los mismos
3. Identificar claramente la relación entre el tercero y el cliente
4. Identificar las personas con roles y responsabilidades sobre la gestión de contratos y SLAs
5. Validar la existencia de clausulas que permitan esta gestión alineado con la evolución del negocio
6. Identificar y validar el modelo de elaboración y aprobación de los SLAs y sus indicadores
7. Verificar si se llevan a cabo recalculos de los indicadores para su contraste con lo acordado
8. Identificar como se monitorean los SLAs y que reportes se generan para mostrar el desempeño
9. Identificar el proceso que considera las acciones a tomar en respuesta a un incumplimiento de SLA
10. Identificar como está articulada la obtención de la calidad percibida y las acciones que se toman tras su evaluación
Marcos de Referencia
Por la importancia que ha ganado el outsourcing de TI en los últimos tiempos se han creado modelos de referencia para la gestión y gobierno de TI destinados a terceros, y adicionalmente se ha involucrado ciertas regulaciones para el control de los procesos o funciones desarrolladas por los outsourcing. Podemos destaca SOX (Ley Sarbanes-Oxley), Directiva europea de protección de datos personales, HIPAA y GBLT (EEUU).
Modelo de Referencia Organización Enfoque SAS 70 AICPA Contable y gerencial COBIT ISACA/ITGI Gobierno, control y auditoria de TI ITIL UK Office of Goverment
Commerces Explotación de sistemas y servicios de telecomunicaciones
ISO 27001 / BS 7799 ISO / BS Seguridad de la información CMMI SEI (Carnegie Mellon Univ.) Desarrollo de software Systrust AICPA Y CICA Contable y gerencial
En la siguiente tabla se mencionan los diferentes modelos de referencia y en cual enfoque está representado:
CMMI (Capability Maturity Model Integration)
Este modelo está basado en el concepto de madurez de un proceso que se concreta a través de varios estados que CMMI define de forma acumulativa, o sea, que el nivel superior tiene características del nivel inferior ampliando ciertos aspectos. Los niveles son:
1. Inicial: en donde no se dispone de un ambiente estable para el desarrollo, más se confía en las habilidades del personal que en la seguridad de los procesos.
2. Gestionado (Repetible): el proceso es gestionado sin uniformidad donde dispone de ciertas técnicas propias de gestión que son utilizadas discrecionalmente. La relación con los subcontratistas y clientes es gestionada sistemáticamente.
3. Definido: la organización ha definido procesos formales para las diferentes actividades y que son utilizadas concurrentemente.
4. Gestionado de forma cuantitativa: la organización ha establecido métricas para los principales elementos que gobiernan el proceso.
5. Optimizado: se gestionan la mejora continua de los procesos y se hacen revisiones a las métricas.
CMMI se centra tanto en los procesos y las prácticas, políticas y procedimientos, donde cada nivel de madurez se observan diferentes elementos a gestionar para poder ser certificado.
ISO 27001 / BS 7799
Es el estándar de seguridad de la información, y está basado en la creación de sistemas de gestión de la seguridad de la información similar a los estándares de calidad.
La norma indica controles o grupos de controles codificados mediante un sistema numérico y organizado por secciones. Cada sección resalta los factores que se deben tener en cuenta para alcanzar un adecuado control, aunque no todos estos controles son obligatorios pero si son necesarios para gestionar la seguridad de la información. La norma establece la necesidad de evaluar los riesgos correspondientes cuando se utilicen servicios de outsourcing que puedan impactar en la seguridad de la información.
ITIL (IT infraestructura library)
El modelo de ITIL está basado en servicios y en la entrega de los mismos de manera efectiva, eficiente y controlada pero no deja de lado la necesidad de creación de políticas, procedimientos o controles directivos para la gestión de los servicios de TI.
Su filosofía para el control del outsourcing puede resumirse en los siguientes principios:
Implantar una política que regule como adquirir servicios y selección de proveedores
Estar alerta para mantener el know-how dentro de la empresa.
Documentar todas las actividades desarrolladas por outsourcing
Establecer mecanismos de comunicación para la correcta comprensión del servicio prestado.
Mantener una relación estrecha y comunicación continua con el proveedor para verificar las necesidades de servicio
Mantenimiento y monitoreo de los contratos con los proveedores, con la finalidad de identificar las posibles mejoras en todos los ámbitos.
Las principales herramientas de control que ITIL hace especial mención son los SLA (acuerdos de nivel de servicio) y los OLA (acuerdos de nivel de operación).
SLA: define la relación entre un proveedor de servicios y sus clientes. Este acuerdo describe los productos, servicios o ambos, que se recibirán junto con las responsabilidades de cada parte, las condiciones económicas, como será medido el servicio y el esquema de reporte.
OLA: define las relaciones interdependientes de los grupos de soporte interno de TI que trabajan para dar cobertura a los requerimientos de los SLA. Su objetivo es presentar la gestión interna que desarrolla el proveedor para cumplir con lo indicado en el contrato SLA. Este OLA tiende a ser más técnico que el SLA.