ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL. Instituto de Ciencias Matemáticas AUDITORÍA Y CONTROL DE GESTIÓN

Transcripción

1 ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL Instituto de Ciencias Matemáticas AUDITORÍA Y CONTROL DE GESTIÓN EL AUDITOR DE SISTEMAS Y SU PARTICIPACIÓN EN EL OUTSOURCING DE PROCESOS INFORMÁTICOS" TESIS DE GRADO Previa la obtención del título de: AUDITOR EN CONTROL DE GESTIÓN Presentada por: Jimmy Jefferson Andrade Mejía GUAYAQUIL- ECUADOR AÑO 2009

2 DEDICATORIA Dedico este trabajo a mi adorable familia, mis padres, hermanos y por supuesto mi esposa e hijo, ya que es por ellos que hoy me encuentro donde estoy.

3 AGRADECIMIENTO Agradezco a Dios por guiarme en este camino y ayudarme a realizar mis elecciones. A mis padres por la formación que de ellos recibí y su constante apoyo. A mi esposa y mi hijo por ser mi razón de querer ser mejor día a día. A la Directora de tesis por su apoyo para la culminación de la misma. A todos los profesores del ICM por impartir sus conocimientos sin egoísmos, por guiarnos por este camino académico y disipar las dudas que en el trayecto se presentan.

4 TRIBUNAL DE GRADUACIÓN Ing. Pablo Álvarez COORDINADOR DE AUDITORIA PRESIDENTE Ms. Alice Naranjo DIRECTORA DE TESIS Ing. Dalton Noboa VOCAL PRINCIPAL Ing. Soraya Solis VOCAL SUPLENTE

5 DECLARACIÓN EXPRESA La responsabilidad del contenido de esta Tesis de Grado, me corresponde; y el patrimonio intelectual de la misma a la Escuela Superior Politécnica del Litoral. Jimmy J. Andrade Mejía

6 RESUMEN En muchos países del mundo el outsourcing ha experimentado un gran crecimiento. Sin embargo existen muy pocos libros que abordan el tema del outsourcing informático. El outsourcing informático se impone en la mayoría de las empresas como una forma de mejorar la eficiencia de las operaciones, es una decisión estratégica que se toma a nivel directivo con la finalidad de contar con profesionales de experiencia en el desarrollo de soluciones informáticas Esta tesis aporta una visión completa de los aspectos del outsourcing, su problemática, la participación del auditor de sistemas en el outsourcing informático y entrega un manual con controles que incluye aspectos jurídicos a tener en cuenta en el outsourcing, esquemas de seguridad contractuales, controles específicos acorde al tipo de outsourcing que toda persona debe tener en cuenta en el outsourcing para garantizar acuerdos exitosos. El tema de tesis EL AUDITOR DE SISTEMAS Y SU PARTIPACIÓN EN EL OUTSOURCING DE PROCESOS INFORMÁTICOS, aporta con el establecimiento de los controles que se requieren en el proceso de

7 administración del outsourcing informático, los cuales se recogen en una manual que se describe en el capítulo IV de esta tesis. Este manual aporta información para auditores, usuarios de sistemas, profesionales informáticos, personal de seguridad Informática, abogados y en general aquellos profesionales que estén directa o indirectamente vinculados al outsourcing informático. La idea de escribir un manual fue de la Directora de tesis quien como auditora de sistemas profesional, después de la observación de muchos casos fallidos de outsourcing en empresas nacionales me indicó consideró necesario aportar con un proceso investigativo y generar como producto resultante un documento con controles para poder guiar a las empresas en la administración adecuada del outsourcing informático. Esa ardua tarea es la que me he propuesto y espero que este manual cumpla ese fin y sea un parte tangible para los empresarios en virtud de que podrán administrar mejor esos contratos de outsourcing informático y podrán disminuir los típicos problemas que se presentan por inexistencia de controles ya que el manual propone muchos controles preventivos, detectivos, correctivos, administrativos para garantizar un manejo adecuado del outsourcing de procesos informáticos.

8 ÍNDICE GENERAL DEDICATORIA...I AGRADECIMIENTOS.....II RESUMEN....III ÍNDICE GENERAL...IV ÍNDICE DE FIGURAS.....V ÍNDICE DE TABLAS...VI ABREVIATURAS...VII INTRODUCCIÓN ANTECEDENTES Contratación externa Historia Tipos de contratación externa Contratación externa a corto plazo Contratación externa a largo plazo Litigios El recurso humano y la contratación externa.17

9 Privatización Factores de éxito en la contratación externa Outsourcing Definición Orígenes Desarrollo en aéreas no informáticas El outsourcing en las administraciones publicas Pasos del outsourcing identificar áreas/procesos claves del negocio Evaluar las oportunidades Seleccionar al proveedor del outsourcing Proceso de transición Monitorear y evaluar el desempeño El auditor de sistemas Concepto La auditoria de sistemas informáticos Concepto..49

10 Fases de la auditoria informática Fase contractual Fase preliminar Fase final MARCO TEÓRICO Outsuorcing informático Definición Concepto Ventajas y riesgos del outsourcing informático Ventajas Desventajas Riesgos Riesgo programático Riesgo contractual Riesgos en la seguridad de datos Otros riesgos Razones para adoptar outsourcing..66

11 2.3. Modelos de outsourcing informático Outsourcing informático total Outsourcing informático parcial Out-tasking Las 7 tendencias del outsourcing informático El pseudo-outsourcing El e-sourcing Facilities management Aspectos contractuales a tener en cuenta en el outsourcing Los acuerdos de niveles de servicios Tipos de servicios que debe incluir un contrato de outsourcing informático Contrato de mantenimiento de software Prevención frente al outsourcing FUNDAMENTACIÓN NORMATIVA Y/O ESTÁNDARES INTERNACIONALES Mandato numero 8 de la asamblea constituyente Disposiciones generales 87

12 Artículo 16 de la contratación civil de servicios técnicos especializados Normas de control interno Normas de control interno coso Definición y objetivos Componentes Evaluación de riesgos Actividades de control Supervisión Estándares internacionales Estándar de control de sistemas COBIT COBIT (objetivos de control para tecnología de información y tecnologías relacionadas) Características Principios Requerimientos de la información del negocio Dominios de relevancia de COBIT Estándar ISO ITIL (information technology infrastructure library) Objetivo.150

13 Forma de uso de ITIL en managed services Proceso de manejo de incidentes Proceso de manejo de problemas Proceso de manejo de configuraciones Proceso de control de cambios Proceso de manejo de entregas MANUAL DE CONTROLES DEL OUTSOURCING INFORMÁTICO Información preliminar Introducción Objetivos Alcance Responsables Análisis de riesgos Clasificación de los riesgos Riesgos sin intención (RS) Riesgos Dolosos (RD) Riesgos de orden natural (RN) Cuadro de riesgos según su clasificación Políticas de control Política de seguridad...183

14 Revisión y evaluación Seguridad organizacional Seguridad de acceso a terceros Abastecimiento externo Clasificación y control de activos Clasificación de la información Seguridad personal Seguridad física y ambiental Seguridad de equipos Comunicación y operaciones Control de acceso Desarrollo y mantenimiento de sistemas Conformidad Controles de contrato Controles de auditoría Seguimiento y control Estandarización.230

15 CONCLUSIONES RECOMENDACIONES.234 BIBLIOGRAFÍA.235

16 ÍNDICE DE FIGURAS Figura 1.1. Evolución del enfoque de auditoría..7 Figura 1.2. Evolución del outsourcing 38 Figura 1.3. Pasos del outsourcing..42 Figura 1.4. Identificar áreas/procesos claves del negocio.43 Figura 1.5. Evaluar oportunidades.44 Figura 1.6. Seleccionar al proveedor outsourcing...45 Figura 1.7. Proceso de transición..46 Figura 1.8. Monitorear y evaluar desempeño..47 Figura 3.1. Las tres dimensiones conceptuales del COBIT.107 Figura 3.2. Propiedad, monitoreo, evaluación y comunicación Figura 3.3. Control de problemas y errores 156 Figura 3.4. Niveles de Control..158 Figura 3.5. Monitoreo de cambios 159 Figura 3.6. Entrega del servicio 161

17 INDICE DE TABLAS Tabla 2.1. Ejemplos de IT riesgos e impactos de la externalización 65 Tabla 3.1. Dominios del COBIT 108 Tabla 3.2. Objetivos de alto nivel (planeación y organización P05) 109 Tabla 3.3. Objetivos de alto nivel (planeación y organización po9) 110 Tabla 3.4. Objetivos de alto nivel (adquisición e implementación A11).111 Tabla 3.5. Objetivos de alto nivel (entrega de servicio y soporte DS2)..112 Tabla 3.6. Objetivos de alto nivel (entrega de servicio y soporte DS5)..113 Tabla 3.7. Objetivos de alto nivel (monitoreo M3).114 Tabla 4.1 Riesgos sin intención (RS) Tabla 4.2 Riesgos dolosos (RD)..180 Tabla 4.3 Riesgos de orden natural (RN) 181

18 ABREVIATURAS COSO Comité de Organizaciones Patrocinadoras de la Comisión Treadway. ISO Organización Internacional de Normalización. TI Tecnología de Información AICPA Instituto Americano de Contadores Públicos Certificado. (American Institute of Certified Public Accountants) CISA Auditor Certificado de Sistemas de Información. (Certified Information Systems Auditor) IFAC Federación Internacional de Contadores. (International Federation of Accountants) IIA Instituto de Auditores Internos. (Institute of Internal Auditors) ISACA Asociación para la Auditoría y Control de Sistemas de Información. (Information Systems Audit and Control Foundation) ISACF Fundación para la Auditoría y Control de Sistemas de Información. (Information Systems Audit.and Control Foundation) ISO Organización de Estándares Internacionales. (International Standards Organisation) (Con oficinas en Génova, Suiza) ITIL Biblioteca de Infraestructura de Tecnología de Información. (Information Technology Infrastructure Library)

19 INTRODUCCIÓN Este siglo es el de la era de la información y está bien complementado con la existencia en el mundo de los contratos de outsourcing de procesos informáticos que surgen como resultado de una necesidad empresarial en muchos casos en PYMES que ven en el outsourcing informático una opción para poder desarrollar sus operaciones concentrándose en sus procesos principales y estratégicos. Existen los más variados tipos de contratos de outsourcing de procesos informáticos que se desarrollaron por las necesidades tecnológicas actuales, tales como los contratos sobre bases de datos, los contratos de procesamiento de datos, los contratos de desarrollo de sistemas de información, de seguridad, de restablecimiento de operaciones, entre otros. Es importante tratar la problemática de los contratos de outsourcing y establecer controles a tener en cuenta para una mejor coexistencia del outsourcing informático. La tesis propone controles en el ámbito de los contratos de outsourcing de procesos informáticos.

20 La tesis comienza con una breve introducción en la que se señalan los conceptos del outsourcing, tipos, sus elementos, y los principios generales más importantes. En el capitulo I se describen los antecedentes, la contratación externa, una breve historia del outsourcing, los tipos de contratación externa, los litigios, el outsourcing, sus definiciones y orígenes, el outsourcing informático, sus ventajas y riesgos, beneficios, características y por último trataremos del auditor de sistemas y la metodología para realizar auditorias de sistemas. En el Capítulo II se profundiza en el outsourcing informático, los modelos de outsourcing informático, los aspectos contractuales a tener en cuenta en el outsourcing, los acuerdos de niveles de servicios, los tipos de servicios que debe incluir un contrato de outsourcing informático, las ventajas e inconvenientes en este tipo de contratación, entre los principales aspectos En el Capítulo III se enfoca la fundamentación normativa y/o estándares internacionales, ente ellos se revisan aspectos legales como el mandato numero 8 de la asamblea constituyente, el ISO, COBIT e ITIL que son estándares internacionales que aportan con controles para el manual del Outsuorcing de

21 procesos informáticos. La norma ISO de tecnología de la información es de gran utilidad en este tipo de contratos para brindar seguridad a quien transfiere datos o delega servicios informatizados. En el Capítulo IV se desarrolla el manual que detalla algunos temas entre ellos: introducción, objetivos, alcance, responsables, análisis de riesgos, políticas y controles que abarcan diversas temáticas para proteger el éxito de los contratos de outosurcing de proceso informáticos.