ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL
Instituto de Ciencias Matemáticas
AUDITORÍA Y CONTROL DE GESTIÓN
“EL AUDITOR DE SISTEMAS Y SU PARTICIPACIÓN EN EL
OUTSOURCING DE PROCESOS INFORMÁTICOS"
TESIS DE GRADO
Previa la obtención del título de:
AUDITOR EN CONTROL DE GESTIÓN
Presentada por:
Jimmy Jefferson Andrade Mejía
GUAYAQUIL- ECUADOR
AÑO 2009
DEDICATORIA
Dedico este trabajo a mi adorable familia, mis padres, hermanos y por
supuesto mi esposa e hijo, ya que es por ellos que hoy me encuentro donde
estoy.
AGRADECIMIENTO
Agradezco a Dios por guiarme en este camino y ayudarme a realizar mis
elecciones.
A mis padres por la formación que de ellos recibí y su constante apoyo.
A mi esposa y mi hijo por ser mi razón de querer ser mejor día a día.
A la Directora de tesis por su apoyo para la culminación de la misma.
A todos los profesores del ICM por impartir sus conocimientos sin egoísmos,
por guiarnos por este camino académico y disipar las dudas que en el
trayecto se presentan.
TRIBUNAL DE GRADUACIÓN
________________________ ________________________ Ing. Pablo Álvarez Ms. Alice Naranjo COORDINADOR DE AUDITORIA DIRECTORA DE TESIS PRESIDENTE ________________________ ________________________ Ing. Dalton Noboa Ing. Soraya Solis VOCAL PRINCIPAL VOCAL SUPLENTE
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de esta Tesis de Grado, me corresponde; y el
patrimonio intelectual de la misma a la Escuela Superior Politécnica del Litoral”.
______________________
Jimmy J. Andrade Mejía
RESUMEN
En muchos países del mundo el outsourcing ha experimentado un gran
crecimiento. Sin embargo existen muy pocos libros que abordan el tema del
outsourcing informático.
El outsourcing informático se impone en la mayoría de las empresas como una
forma de mejorar la eficiencia de las operaciones, es una decisión estratégica
que se toma a nivel directivo con la finalidad de contar con profesionales de
experiencia en el desarrollo de soluciones informáticas
Esta tesis aporta una visión completa de los aspectos del outsourcing, su
problemática, la participación del auditor de sistemas en el outsourcing
informático y entrega un manual con controles que incluye aspectos jurídicos a
tener en cuenta en el outsourcing, esquemas de seguridad contractuales,
controles específicos acorde al tipo de outsourcing que toda persona debe tener
en cuenta en el outsourcing para garantizar acuerdos exitosos.
El tema de tesis “EL AUDITOR DE SISTEMAS Y SU PARTIPACIÓN EN EL
OUTSOURCING DE PROCESOS INFORMÁTICOS”, aporta con el
establecimiento de los controles que se requieren en el proceso de
administración del outsourcing informático, los cuales se recogen en una manual
que se describe en el capítulo IV de esta tesis.
Este manual aporta información para auditores, usuarios de sistemas,
profesionales informáticos, personal de seguridad Informática, abogados y en
general aquellos profesionales que estén directa o indirectamente vinculados al
outsourcing informático.
La idea de escribir un manual fue de la Directora de tesis quien como auditora
de sistemas profesional, después de la observación de muchos casos fallidos de
outsourcing en empresas nacionales me indicó consideró necesario aportar con
un proceso investigativo y generar como producto resultante un documento con
controles para poder guiar a las empresas en la administración adecuada del
outsourcing informático. Esa ardua tarea es la que me he propuesto y espero
que este manual cumpla ese fin y sea un parte tangible para los empresarios en
virtud de que podrán administrar mejor esos contratos de outsourcing
informático y podrán disminuir los típicos problemas que se presentan por
inexistencia de controles ya que el manual propone muchos controles
preventivos, detectivos, correctivos, administrativos para garantizar un manejo
adecuado del outsourcing de procesos informáticos.
ÍNDICE GENERAL
DEDICATORIA.......................................................................................................I
AGRADECIMIENTOS…………………………………………………………...……..II
RESUMEN………………………………………………………………………...…….III
ÍNDICE GENERAL...............................................................................................IV
ÍNDICE DE FIGURAS……………………………………………………………..…...V
ÍNDICE DE TABLAS……………………………………………………………….....VI
ABREVIATURAS................................................................................................VII
INTRODUCCIÓN……………………………………………………………………......1
1. ANTECEDENTES………………………………………………………….…….…1
1.1. Contratación externa…………………………………………………………...2
1.1.1. Historia……………………………………………………………….......4
1.1.2. Tipos de contratación externa…………………………………………7
1.1.2.1. Contratación externa a corto plazo………………………...…8
1.1.2.2. Contratación externa a largo plazo…………………………..12
1.1.3. Litigios………………………………………………………………......16
1.1.4. El recurso humano y la contratación externa……………………….17
1.1.5. Privatización……………………………………………………………22
1.1.6. Factores de éxito en la contratación externa…………………........26
1.2. Outsourcing…………………………………………………………………....31
1.2.1. Definición………………………………………………………………..32
1.2.2. Orígenes………………………………………………………………..34
1.2.3. Desarrollo en aéreas no informáticas…………………………....….35
1.2.4. El outsourcing en las administraciones publicas…………………..39
1.3. Pasos del outsourcing………………………………………………………..42
1.3.1. identificar áreas/procesos claves del negocio………………………43
1.3.2. Evaluar las oportunidades…………………………………………….44
1.3.3. Seleccionar al proveedor del outsourcing…………………………...45
1.3.4. Proceso de transición……………………………………………….…46
1.3.5. Monitorear y evaluar el desempeño……………………………....…47
1.4. El auditor de sistemas………………………………………………………..48
1.4.1. Concepto………………………………………………………………..48
1.5. La auditoria de sistemas informáticos………………………………………49
1.5.1. Concepto………………………………………………………………..49
1.5.2. Fases de la auditoria informática……………………………………..50
1.5.2.1. Fase contractual………………………………………………..51
1.5.2.2. Fase preliminar…………………………………………………52
1.5.2.3. Fase final………………………………………………………..54
2. MARCO TEÓRICO………………………………………………………………55
2.1. Outsuorcing informático……………………………………………………….55
2.1.1. Definición……………………………………………………………….55
2.1.2. Concepto………………………………………………………………..56
2.1.3. Ventajas y riesgos del outsourcing informático…………………….57
2.1.3.1. Ventajas…………………………………………………………57
2.1.3.2. Desventajas…………………………………………………….59
2.1.3.3. Riesgos………………………………………………………….61
2.1.3.3.1. Riesgo programático…………………………………..61
2.1.3.3.2. Riesgo contractual…………………………………….62
2.1.3.3.3. Riesgos en la seguridad de datos…………………..63
2.1.3.3.4. Otros riesgos…………………………………………..64
2.2. Razones para adoptar outsourcing………………………………………..66
2.3. Modelos de outsourcing informático………………………………….........70
2.3.1. Outsourcing informático total…………………………………………71
2.3.2. Outsourcing informático parcial………………………………….......71
2.3.2.1. Out-tasking……………………………………………………..72
2.3.2.2. Las 7 tendencias del outsourcing informático………………73
2.3.3. El pseudo-outsourcing…………………………………………………75
2.3.4. El e-sourcing……………………………………………………………75
2.3.5. Facilities management…………………………………………………76
2.4. Aspectos contractuales a tener en cuenta en el outsourcing…………….78
2.4.1. Los acuerdos de niveles de servicios………………………………..78
2.4.2. Tipos de servicios que debe incluir un contrato de outsourcing
informático……………………………………………………………...…82
2.4.3. Contrato de mantenimiento de software…………………………….83
2.4.4. Prevención frente al outsourcing…………………………………….84
3. FUNDAMENTACIÓN NORMATIVA Y/O ESTÁNDARES
INTERNACIONALES……………………………………………………………..86
3.1. Mandato numero 8 de la asamblea constituyente…………………..........87
3.1.1. Disposiciones generales………………………………………………87
3.1.2. Artículo 16 de la contratación civil de servicios técnicos
especializados……………………………………………………………89
3.2. Normas de control interno…………………………………………………...89
3.2.1. Normas de control interno coso……………………………………...90
3.2.1.1. Definición y objetivos………………………………………….94
3.2.1.2. Componentes………………………………………………….95
3.2.1.2.1. Evaluación de riesgos…………………………………96
3.2.1.2.2. Actividades de control…………………………………99
3.2.1.2.3. Supervisión…………………………………………....101
3.3. Estándares internacionales………………………………………………...103
3.3.1. Estándar de control de sistemas COBIT…………………………..103
3.3.1.1. COBIT (objetivos de control para tecnología de información
y tecnologías relacionadas)……………………………………...104
3.3.1.2. Características………………………………………………..105
3.3.1.3. Principios……………………………………………………...106
3.3.1.4. Requerimientos de la información del negocio……………106
3.3.1.5. Dominios de relevancia de COBIT…………………………107
3.3.2. Estándar ISO 17799…………………………………………………115
3.3.3. ITIL (information technology infrastructure library)……………….149
3.3.3.1. Objetivo……………………………………………………….150
3.3.3.2. Forma de uso de ITIL en managed services……………..151
3.3.3.3. Proceso de manejo de incidentes…………………………..152
3.3.3.4. Proceso de manejo de problemas………………………….154
3.3.3.5. Proceso de manejo de configuraciones……………………157
3.3.3.6. Proceso de control de cambios……………………………..158
3.3.3.7. Proceso de manejo de entregas……………………………160
4. MANUAL DE CONTROLES DEL OUTSOURCING INFORMÁTICO……..162
4.1. Información preliminar………………………………………………………162
4.1.1. Introducción…………………………………………………………..162
4.1.2. Objetivos……………………………………………………………...164
4.1.3. Alcance………………………………………………………………..167
4.1.4. Responsables………………………………………………………..167
4.2. Análisis de riesgos………………………………………………………….168
4.2.1. Clasificación de los riesgos……………...……………………….…174
4.2.1.1. Riesgos sin intención (RS)………………...………………..174
4.2.1.2. Riesgos Dolosos (RD).………………………………………176
4.2.1.3. Riesgos de orden natural (RN)……………………………..177
4.3. Cuadro de riesgos según su clasificación……………………………….178
4.4. Políticas de control………………………………………………………….183
4.4.1. Política de seguridad………………………………………….……..183
4.4.2. Revisión y evaluación………………..………………....…………....185
4.4.3. Seguridad organizacional……………………………………………187
4.4.4. Seguridad de acceso a terceros……………………….……………192
4.4.5. Abastecimiento externo………………………………….…………..195
4.4.6. Clasificación y control de activos……………………….…………..197
4.4.7. Clasificación de la información……………………………………..199
4.4.8. Seguridad personal…………………………………………………..201
4.4.9. Seguridad física y ambiental………………………………………...205
4.4.10. Seguridad de equipos………………………………………..207
4.4.11. Comunicación y operaciones………………………………..209
4.4.12. Control de acceso…………………………………………….212
4.4.13. Desarrollo y mantenimiento de sistemas…………………..215
4.4.14. Conformidad…………………………………………………..218
4.4.15. Controles de contrato………………………………………...220
4.4.16. Controles de auditoría………………………………………..223
4.4.17. Seguimiento y control………………………………………...227
4.4.18. Estandarización……………………………………………….230
CONCLUSIONES…………………………………………………...231
RECOMENDACIONES……………………………………………….234
BIBLIOGRAFÍA……………………………………………………….235
ÍNDICE DE FIGURAS
Figura 1.1. Evolución del enfoque de auditoría……………………………………..7
Figura 1.2. Evolución del outsourcing………………………………………………38
Figura 1.3. Pasos del outsourcing…………………………………………………..42
Figura 1.4. Identificar áreas/procesos claves del negocio……………………….43
Figura 1.5. Evaluar oportunidades………………………………………………….44
Figura 1.6. Seleccionar al proveedor outsourcing………………………………...45
Figura 1.7. Proceso de transición…………………………………………………..46
Figura 1.8. Monitorear y evaluar desempeño……………………………………..47
Figura 3.1. Las tres dimensiones conceptuales del COBIT…………………….107
Figura 3.2. Propiedad, monitoreo, evaluación y comunicación………………...154
Figura 3.3. Control de problemas y errores………………………………………156
Figura 3.4. Niveles de Control……………………………………………………..158
Figura 3.5. Monitoreo de cambios…………………………………………………159
Figura 3.6. Entrega del servicio……………………………………………………161
INDICE DE TABLAS
Tabla 2.1. Ejemplos de IT riesgos e impactos de la externalización……………65
Tabla 3.1. Dominios del COBIT……………………………………………………108
Tabla 3.2. Objetivos de alto nivel (planeación y organización P05)……………109
Tabla 3.3. Objetivos de alto nivel (planeación y organización po9)……………110
Tabla 3.4. Objetivos de alto nivel (adquisición e implementación A11)……….111
Tabla 3.5. Objetivos de alto nivel (entrega de servicio y soporte DS2)………..112
Tabla 3.6. Objetivos de alto nivel (entrega de servicio y soporte DS5)………..113
Tabla 3.7. Objetivos de alto nivel (monitoreo M3)……………………………….114
Tabla 4.1 Riesgos sin intención (RS)…………………………………………....179
Tabla 4.2 Riesgos dolosos (RD)…………………………………………………..180
Tabla 4.3 Riesgos de orden natural (RN)…………………………………………181
ABREVIATURAS
COSO Comité de Organizaciones Patrocinadoras de la Comisión Treadway.
ISO Organización Internacional de Normalización.
TI Tecnología de Información
AICPA Instituto Americano de Contadores Públicos Certificado. (American
Institute of Certified Public
Accountants)
CISA Auditor Certificado de Sistemas de Información. (Certified Information
Systems Auditor)
IFAC Federación Internacional de Contadores. (International Federation of
Accountants)
IIA Instituto de Auditores Internos. (Institute of Internal Auditors)
ISACA Asociación para la Auditoría y Control de Sistemas de Información.
(Information Systems Audit and Control Foundation)
ISACF Fundación para la Auditoría y Control de Sistemas de Información.
(Information Systems Audit.and Control Foundation)
ISO Organización de Estándares Internacionales. (International Standards
Organisation) (Con oficinas en Génova, Suiza)
ITIL Biblioteca de Infraestructura de Tecnología de Información. (Information
Technology Infrastructure Library)
INTRODUCCIÓN
Este siglo es el de la “era de la información” y está bien complementado con la
existencia en el mundo de los contratos de outsourcing de procesos informáticos
que surgen como resultado de una necesidad empresarial en muchos casos en
PYMES que ven en el outsourcing informático una opción para poder desarrollar
sus operaciones concentrándose en sus procesos principales y estratégicos.
Existen los más variados tipos de contratos de outsourcing de procesos
informáticos que se desarrollaron por las necesidades tecnológicas actuales,
tales como los contratos sobre bases de datos, los contratos de procesamiento
de datos, los contratos de desarrollo de sistemas de información, de seguridad,
de restablecimiento de operaciones, entre otros.
Es importante tratar la problemática de los contratos de outsourcing y establecer
controles a tener en cuenta para una mejor coexistencia del outsourcing
informático.
La tesis propone controles en el ámbito de los contratos de outsourcing de
procesos informáticos.
La tesis comienza con una breve introducción en la que se señalan los
conceptos del outsourcing, tipos, sus elementos, y los principios generales más
importantes.
En el capitulo I se describen los antecedentes, la contratación externa, una
breve historia del outsourcing, los tipos de contratación externa, los litigios, el
outsourcing, sus definiciones y orígenes, el outsourcing informático, sus ventajas
y riesgos, beneficios, características y por último trataremos del auditor de
sistemas y la metodología para realizar auditorias de sistemas.
En el Capítulo II se profundiza en el outsourcing informático, los modelos de
outsourcing informático, los aspectos contractuales a tener en cuenta en el
outsourcing, los acuerdos de niveles de servicios, los tipos de servicios que
debe incluir un contrato de outsourcing informático, las ventajas e
inconvenientes en este tipo de contratación, entre los principales aspectos
En el Capítulo III se enfoca la fundamentación normativa y/o estándares
internacionales, ente ellos se revisan aspectos legales como el mandato numero
8 de la asamblea constituyente, el ISO, COBIT e ITIL que son estándares
internacionales que aportan con controles para el manual del Outsuorcing de
procesos informáticos. La norma ISO 17.799 de tecnología de la información es
de gran utilidad en este tipo de contratos para brindar seguridad a quien
transfiere datos o delega servicios informatizados.
En el Capítulo IV se desarrolla el manual que detalla algunos temas entre ellos:
introducción, objetivos, alcance, responsables, análisis de riesgos, políticas y
controles que abarcan diversas temáticas para proteger el éxito de los contratos
de outosurcing de proceso informáticos.