ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL Instituto de Ciencias Matemáticas AUDITORÍA Y CONTROL DE GESTIÓN EL AUDITOR DE SISTEMAS Y SU PARTICIPACIÓN EN EL OUTSOURCING DE PROCESOS INFORMÁTICOS" TESIS DE GRADO Previa la obtención del título de: AUDITOR EN CONTROL DE GESTIÓN Presentada por: Jimmy Jefferson Andrade Mejía GUAYAQUIL- ECUADOR AÑO 2009
DEDICATORIA Dedico este trabajo a mi adorable familia, mis padres, hermanos y por supuesto mi esposa e hijo, ya que es por ellos que hoy me encuentro donde estoy.
AGRADECIMIENTO Agradezco a Dios por guiarme en este camino y ayudarme a realizar mis elecciones. A mis padres por la formación que de ellos recibí y su constante apoyo. A mi esposa y mi hijo por ser mi razón de querer ser mejor día a día. A la Directora de tesis por su apoyo para la culminación de la misma. A todos los profesores del ICM por impartir sus conocimientos sin egoísmos, por guiarnos por este camino académico y disipar las dudas que en el trayecto se presentan.
TRIBUNAL DE GRADUACIÓN Ing. Pablo Álvarez COORDINADOR DE AUDITORIA PRESIDENTE Ms. Alice Naranjo DIRECTORA DE TESIS Ing. Dalton Noboa VOCAL PRINCIPAL Ing. Soraya Solis VOCAL SUPLENTE
DECLARACIÓN EXPRESA La responsabilidad del contenido de esta Tesis de Grado, me corresponde; y el patrimonio intelectual de la misma a la Escuela Superior Politécnica del Litoral. Jimmy J. Andrade Mejía
RESUMEN En muchos países del mundo el outsourcing ha experimentado un gran crecimiento. Sin embargo existen muy pocos libros que abordan el tema del outsourcing informático. El outsourcing informático se impone en la mayoría de las empresas como una forma de mejorar la eficiencia de las operaciones, es una decisión estratégica que se toma a nivel directivo con la finalidad de contar con profesionales de experiencia en el desarrollo de soluciones informáticas Esta tesis aporta una visión completa de los aspectos del outsourcing, su problemática, la participación del auditor de sistemas en el outsourcing informático y entrega un manual con controles que incluye aspectos jurídicos a tener en cuenta en el outsourcing, esquemas de seguridad contractuales, controles específicos acorde al tipo de outsourcing que toda persona debe tener en cuenta en el outsourcing para garantizar acuerdos exitosos. El tema de tesis EL AUDITOR DE SISTEMAS Y SU PARTIPACIÓN EN EL OUTSOURCING DE PROCESOS INFORMÁTICOS, aporta con el establecimiento de los controles que se requieren en el proceso de
administración del outsourcing informático, los cuales se recogen en una manual que se describe en el capítulo IV de esta tesis. Este manual aporta información para auditores, usuarios de sistemas, profesionales informáticos, personal de seguridad Informática, abogados y en general aquellos profesionales que estén directa o indirectamente vinculados al outsourcing informático. La idea de escribir un manual fue de la Directora de tesis quien como auditora de sistemas profesional, después de la observación de muchos casos fallidos de outsourcing en empresas nacionales me indicó consideró necesario aportar con un proceso investigativo y generar como producto resultante un documento con controles para poder guiar a las empresas en la administración adecuada del outsourcing informático. Esa ardua tarea es la que me he propuesto y espero que este manual cumpla ese fin y sea un parte tangible para los empresarios en virtud de que podrán administrar mejor esos contratos de outsourcing informático y podrán disminuir los típicos problemas que se presentan por inexistencia de controles ya que el manual propone muchos controles preventivos, detectivos, correctivos, administrativos para garantizar un manejo adecuado del outsourcing de procesos informáticos.
ÍNDICE GENERAL DEDICATORIA...I AGRADECIMIENTOS.....II RESUMEN....III ÍNDICE GENERAL...IV ÍNDICE DE FIGURAS.....V ÍNDICE DE TABLAS...VI ABREVIATURAS...VII INTRODUCCIÓN...1 1. ANTECEDENTES.. 1 1.1. Contratación externa...2 1.1.1. Historia...4 1.1.2. Tipos de contratación externa 7 1.1.2.1. Contratación externa a corto plazo... 8 1.1.2.2. Contratación externa a largo plazo..12 1.1.3. Litigios...16 1.1.4. El recurso humano y la contratación externa.17
1.1.5. Privatización 22 1.1.6. Factores de éxito en la contratación externa...26 1.2. Outsourcing...31 1.2.1. Definición..32 1.2.2. Orígenes..34 1.2.3. Desarrollo en aéreas no informáticas....35 1.2.4. El outsourcing en las administraciones publicas..39 1.3. Pasos del outsourcing..42 1.3.1. identificar áreas/procesos claves del negocio 43 1.3.2. Evaluar las oportunidades.44 1.3.3. Seleccionar al proveedor del outsourcing...45 1.3.4. Proceso de transición. 46 1.3.5. Monitorear y evaluar el desempeño... 47 1.4. El auditor de sistemas..48 1.4.1. Concepto..48 1.5. La auditoria de sistemas informáticos 49 1.5.1. Concepto..49
1.5.2. Fases de la auditoria informática..50 1.5.2.1. Fase contractual..51 1.5.2.2. Fase preliminar 52 1.5.2.3. Fase final..54 2. MARCO TEÓRICO 55 2.1. Outsuorcing informático.55 2.1.1. Definición.55 2.1.2. Concepto..56 2.1.3. Ventajas y riesgos del outsourcing informático.57 2.1.3.1. Ventajas 57 2.1.3.2. Desventajas.59 2.1.3.3. Riesgos.61 2.1.3.3.1. Riesgo programático..61 2.1.3.3.2. Riesgo contractual.62 2.1.3.3.3. Riesgos en la seguridad de datos..63 2.1.3.3.4. Otros riesgos..64 2.2. Razones para adoptar outsourcing..66
2.3. Modelos de outsourcing informático...70 2.3.1. Outsourcing informático total 71 2.3.2. Outsourcing informático parcial...71 2.3.2.1. Out-tasking..72 2.3.2.2. Las 7 tendencias del outsourcing informático 73 2.3.3. El pseudo-outsourcing 75 2.3.4. El e-sourcing 75 2.3.5. Facilities management 76 2.4. Aspectos contractuales a tener en cuenta en el outsourcing.78 2.4.1. Los acuerdos de niveles de servicios..78 2.4.2. Tipos de servicios que debe incluir un contrato de outsourcing informático... 82 2.4.3. Contrato de mantenimiento de software.83 2.4.4. Prevención frente al outsourcing.84 3. FUNDAMENTACIÓN NORMATIVA Y/O ESTÁNDARES INTERNACIONALES..86 3.1. Mandato numero 8 de la asamblea constituyente...87 3.1.1. Disposiciones generales 87
3.1.2. Artículo 16 de la contratación civil de servicios técnicos especializados 89 3.2. Normas de control interno...89 3.2.1. Normas de control interno coso...90 3.2.1.1. Definición y objetivos.94 3.2.1.2. Componentes.95 3.2.1.2.1. Evaluación de riesgos 96 3.2.1.2.2. Actividades de control 99 3.2.1.2.3. Supervisión...101 3.3. Estándares internacionales...103 3.3.1. Estándar de control de sistemas COBIT..103 3.3.1.1. COBIT (objetivos de control para tecnología de información y tecnologías relacionadas)...104 3.3.1.2. Características..105 3.3.1.3. Principios...106 3.3.1.4. Requerimientos de la información del negocio 106 3.3.1.5. Dominios de relevancia de COBIT 107 3.3.2. Estándar ISO 17799 115 3.3.3. ITIL (information technology infrastructure library).149 3.3.3.1. Objetivo.150
3.3.3.2. Forma de uso de ITIL en managed services..151 3.3.3.3. Proceso de manejo de incidentes..152 3.3.3.4. Proceso de manejo de problemas.154 3.3.3.5. Proceso de manejo de configuraciones 157 3.3.3.6. Proceso de control de cambios..158 3.3.3.7. Proceso de manejo de entregas 160 4. MANUAL DE CONTROLES DEL OUTSOURCING INFORMÁTICO..162 4.1. Información preliminar 162 4.1.1. Introducción..162 4.1.2. Objetivos...164 4.1.3. Alcance..167 4.1.4. Responsables..167 4.2. Análisis de riesgos.168 4.2.1. Clasificación de los riesgos.... 174 4.2.1.1. Riesgos sin intención (RS).....174 4.2.1.2. Riesgos Dolosos (RD). 176 4.2.1.3. Riesgos de orden natural (RN)..177 4.3. Cuadro de riesgos según su clasificación.178 4.4. Políticas de control.183 4.4.1. Política de seguridad...183
4.4.2. Revisión y evaluación........185 4.4.3. Seguridad organizacional 187 4.4.4. Seguridad de acceso a terceros. 192 4.4.5. Abastecimiento externo...195 4.4.6. Clasificación y control de activos...197 4.4.7. Clasificación de la información..199 4.4.8. Seguridad personal..201 4.4.9. Seguridad física y ambiental...205 4.4.10. Seguridad de equipos..207 4.4.11. Comunicación y operaciones..209 4.4.12. Control de acceso.212 4.4.13. Desarrollo y mantenimiento de sistemas..215 4.4.14. Conformidad..218 4.4.15. Controles de contrato...220 4.4.16. Controles de auditoría..223 4.4.17. Seguimiento y control...227 4.4.18. Estandarización.230
CONCLUSIONES...231 RECOMENDACIONES.234 BIBLIOGRAFÍA.235
ÍNDICE DE FIGURAS Figura 1.1. Evolución del enfoque de auditoría..7 Figura 1.2. Evolución del outsourcing 38 Figura 1.3. Pasos del outsourcing..42 Figura 1.4. Identificar áreas/procesos claves del negocio.43 Figura 1.5. Evaluar oportunidades.44 Figura 1.6. Seleccionar al proveedor outsourcing...45 Figura 1.7. Proceso de transición..46 Figura 1.8. Monitorear y evaluar desempeño..47 Figura 3.1. Las tres dimensiones conceptuales del COBIT.107 Figura 3.2. Propiedad, monitoreo, evaluación y comunicación...154 Figura 3.3. Control de problemas y errores 156 Figura 3.4. Niveles de Control..158 Figura 3.5. Monitoreo de cambios 159 Figura 3.6. Entrega del servicio 161
INDICE DE TABLAS Tabla 2.1. Ejemplos de IT riesgos e impactos de la externalización 65 Tabla 3.1. Dominios del COBIT 108 Tabla 3.2. Objetivos de alto nivel (planeación y organización P05) 109 Tabla 3.3. Objetivos de alto nivel (planeación y organización po9) 110 Tabla 3.4. Objetivos de alto nivel (adquisición e implementación A11).111 Tabla 3.5. Objetivos de alto nivel (entrega de servicio y soporte DS2)..112 Tabla 3.6. Objetivos de alto nivel (entrega de servicio y soporte DS5)..113 Tabla 3.7. Objetivos de alto nivel (monitoreo M3).114 Tabla 4.1 Riesgos sin intención (RS)...179 Tabla 4.2 Riesgos dolosos (RD)..180 Tabla 4.3 Riesgos de orden natural (RN) 181
ABREVIATURAS COSO Comité de Organizaciones Patrocinadoras de la Comisión Treadway. ISO Organización Internacional de Normalización. TI Tecnología de Información AICPA Instituto Americano de Contadores Públicos Certificado. (American Institute of Certified Public Accountants) CISA Auditor Certificado de Sistemas de Información. (Certified Information Systems Auditor) IFAC Federación Internacional de Contadores. (International Federation of Accountants) IIA Instituto de Auditores Internos. (Institute of Internal Auditors) ISACA Asociación para la Auditoría y Control de Sistemas de Información. (Information Systems Audit and Control Foundation) ISACF Fundación para la Auditoría y Control de Sistemas de Información. (Information Systems Audit.and Control Foundation) ISO Organización de Estándares Internacionales. (International Standards Organisation) (Con oficinas en Génova, Suiza) ITIL Biblioteca de Infraestructura de Tecnología de Información. (Information Technology Infrastructure Library)
INTRODUCCIÓN Este siglo es el de la era de la información y está bien complementado con la existencia en el mundo de los contratos de outsourcing de procesos informáticos que surgen como resultado de una necesidad empresarial en muchos casos en PYMES que ven en el outsourcing informático una opción para poder desarrollar sus operaciones concentrándose en sus procesos principales y estratégicos. Existen los más variados tipos de contratos de outsourcing de procesos informáticos que se desarrollaron por las necesidades tecnológicas actuales, tales como los contratos sobre bases de datos, los contratos de procesamiento de datos, los contratos de desarrollo de sistemas de información, de seguridad, de restablecimiento de operaciones, entre otros. Es importante tratar la problemática de los contratos de outsourcing y establecer controles a tener en cuenta para una mejor coexistencia del outsourcing informático. La tesis propone controles en el ámbito de los contratos de outsourcing de procesos informáticos.
La tesis comienza con una breve introducción en la que se señalan los conceptos del outsourcing, tipos, sus elementos, y los principios generales más importantes. En el capitulo I se describen los antecedentes, la contratación externa, una breve historia del outsourcing, los tipos de contratación externa, los litigios, el outsourcing, sus definiciones y orígenes, el outsourcing informático, sus ventajas y riesgos, beneficios, características y por último trataremos del auditor de sistemas y la metodología para realizar auditorias de sistemas. En el Capítulo II se profundiza en el outsourcing informático, los modelos de outsourcing informático, los aspectos contractuales a tener en cuenta en el outsourcing, los acuerdos de niveles de servicios, los tipos de servicios que debe incluir un contrato de outsourcing informático, las ventajas e inconvenientes en este tipo de contratación, entre los principales aspectos En el Capítulo III se enfoca la fundamentación normativa y/o estándares internacionales, ente ellos se revisan aspectos legales como el mandato numero 8 de la asamblea constituyente, el ISO, COBIT e ITIL que son estándares internacionales que aportan con controles para el manual del Outsuorcing de
procesos informáticos. La norma ISO 17.799 de tecnología de la información es de gran utilidad en este tipo de contratos para brindar seguridad a quien transfiere datos o delega servicios informatizados. En el Capítulo IV se desarrolla el manual que detalla algunos temas entre ellos: introducción, objetivos, alcance, responsables, análisis de riesgos, políticas y controles que abarcan diversas temáticas para proteger el éxito de los contratos de outosurcing de proceso informáticos.