ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL

Instituto de Ciencias Matemáticas

AUDITORÍA Y CONTROL DE GESTIÓN

“EL AUDITOR DE SISTEMAS Y SU PARTICIPACIÓN EN EL

OUTSOURCING DE PROCESOS INFORMÁTICOS"

TESIS DE GRADO

Previa la obtención del título de:

AUDITOR EN CONTROL DE GESTIÓN

Presentada por:

Jimmy Jefferson Andrade Mejía

GUAYAQUIL- ECUADOR

AÑO 2009

DEDICATORIA

Dedico este trabajo a mi adorable familia, mis padres, hermanos y por

supuesto mi esposa e hijo, ya que es por ellos que hoy me encuentro donde

estoy.

AGRADECIMIENTO

Agradezco a Dios por guiarme en este camino y ayudarme a realizar mis

elecciones.

A mis padres por la formación que de ellos recibí y su constante apoyo.

A mi esposa y mi hijo por ser mi razón de querer ser mejor día a día.

A la Directora de tesis por su apoyo para la culminación de la misma.

A todos los profesores del ICM por impartir sus conocimientos sin egoísmos,

por guiarnos por este camino académico y disipar las dudas que en el

trayecto se presentan.

TRIBUNAL DE GRADUACIÓN

________________________ ________________________ Ing. Pablo Álvarez Ms. Alice Naranjo COORDINADOR DE AUDITORIA DIRECTORA DE TESIS PRESIDENTE ________________________ ________________________ Ing. Dalton Noboa Ing. Soraya Solis VOCAL PRINCIPAL VOCAL SUPLENTE

DECLARACIÓN EXPRESA

“La responsabilidad del contenido de esta Tesis de Grado, me corresponde; y el

patrimonio intelectual de la misma a la Escuela Superior Politécnica del Litoral”.

______________________

Jimmy J. Andrade Mejía

RESUMEN

En muchos países del mundo el outsourcing ha experimentado un gran

crecimiento. Sin embargo existen muy pocos libros que abordan el tema del

outsourcing informático.

El outsourcing informático se impone en la mayoría de las empresas como una

forma de mejorar la eficiencia de las operaciones, es una decisión estratégica

que se toma a nivel directivo con la finalidad de contar con profesionales de

experiencia en el desarrollo de soluciones informáticas

Esta tesis aporta una visión completa de los aspectos del outsourcing, su

problemática, la participación del auditor de sistemas en el outsourcing

informático y entrega un manual con controles que incluye aspectos jurídicos a

tener en cuenta en el outsourcing, esquemas de seguridad contractuales,

controles específicos acorde al tipo de outsourcing que toda persona debe tener

en cuenta en el outsourcing para garantizar acuerdos exitosos.

El tema de tesis “EL AUDITOR DE SISTEMAS Y SU PARTIPACIÓN EN EL

OUTSOURCING DE PROCESOS INFORMÁTICOS”, aporta con el

establecimiento de los controles que se requieren en el proceso de

administración del outsourcing informático, los cuales se recogen en una manual

que se describe en el capítulo IV de esta tesis.

Este manual aporta información para auditores, usuarios de sistemas,

profesionales informáticos, personal de seguridad Informática, abogados y en

general aquellos profesionales que estén directa o indirectamente vinculados al

outsourcing informático.

La idea de escribir un manual fue de la Directora de tesis quien como auditora

de sistemas profesional, después de la observación de muchos casos fallidos de

outsourcing en empresas nacionales me indicó consideró necesario aportar con

un proceso investigativo y generar como producto resultante un documento con

controles para poder guiar a las empresas en la administración adecuada del

outsourcing informático. Esa ardua tarea es la que me he propuesto y espero

que este manual cumpla ese fin y sea un parte tangible para los empresarios en

virtud de que podrán administrar mejor esos contratos de outsourcing

informático y podrán disminuir los típicos problemas que se presentan por

inexistencia de controles ya que el manual propone muchos controles

preventivos, detectivos, correctivos, administrativos para garantizar un manejo

adecuado del outsourcing de procesos informáticos.

ÍNDICE GENERAL

DEDICATORIA.......................................................................................................I

AGRADECIMIENTOS…………………………………………………………...……..II

RESUMEN………………………………………………………………………...…….III

ÍNDICE GENERAL...............................................................................................IV

ÍNDICE DE FIGURAS……………………………………………………………..…...V

ÍNDICE DE TABLAS……………………………………………………………….....VI

ABREVIATURAS................................................................................................VII

INTRODUCCIÓN……………………………………………………………………......1

1. ANTECEDENTES………………………………………………………….…….…1

1.1. Contratación externa…………………………………………………………...2

1.1.1. Historia……………………………………………………………….......4

1.1.2. Tipos de contratación externa…………………………………………7

1.1.2.1. Contratación externa a corto plazo………………………...…8

1.1.2.2. Contratación externa a largo plazo…………………………..12

1.1.3. Litigios………………………………………………………………......16

1.1.4. El recurso humano y la contratación externa……………………….17

1.1.5. Privatización……………………………………………………………22

1.1.6. Factores de éxito en la contratación externa…………………........26

1.2. Outsourcing…………………………………………………………………....31

1.2.1. Definición………………………………………………………………..32

1.2.2. Orígenes………………………………………………………………..34

1.2.3. Desarrollo en aéreas no informáticas…………………………....….35

1.2.4. El outsourcing en las administraciones publicas…………………..39

1.3. Pasos del outsourcing………………………………………………………..42

1.3.1. identificar áreas/procesos claves del negocio………………………43

1.3.2. Evaluar las oportunidades…………………………………………….44

1.3.3. Seleccionar al proveedor del outsourcing…………………………...45

1.3.4. Proceso de transición……………………………………………….…46

1.3.5. Monitorear y evaluar el desempeño……………………………....…47

1.4. El auditor de sistemas………………………………………………………..48

1.4.1. Concepto………………………………………………………………..48

1.5. La auditoria de sistemas informáticos………………………………………49

1.5.1. Concepto………………………………………………………………..49

1.5.2. Fases de la auditoria informática……………………………………..50

1.5.2.1. Fase contractual………………………………………………..51

1.5.2.2. Fase preliminar…………………………………………………52

1.5.2.3. Fase final………………………………………………………..54

2. MARCO TEÓRICO………………………………………………………………55

2.1. Outsuorcing informático……………………………………………………….55

2.1.1. Definición……………………………………………………………….55

2.1.2. Concepto………………………………………………………………..56

2.1.3. Ventajas y riesgos del outsourcing informático…………………….57

2.1.3.1. Ventajas…………………………………………………………57

2.1.3.2. Desventajas…………………………………………………….59

2.1.3.3. Riesgos………………………………………………………….61

2.1.3.3.1. Riesgo programático…………………………………..61

2.1.3.3.2. Riesgo contractual…………………………………….62

2.1.3.3.3. Riesgos en la seguridad de datos…………………..63

2.1.3.3.4. Otros riesgos…………………………………………..64

2.2. Razones para adoptar outsourcing………………………………………..66

2.3. Modelos de outsourcing informático………………………………….........70

2.3.1. Outsourcing informático total…………………………………………71

2.3.2. Outsourcing informático parcial………………………………….......71

2.3.2.1. Out-tasking……………………………………………………..72

2.3.2.2. Las 7 tendencias del outsourcing informático………………73

2.3.3. El pseudo-outsourcing…………………………………………………75

2.3.4. El e-sourcing……………………………………………………………75

2.3.5. Facilities management…………………………………………………76

2.4. Aspectos contractuales a tener en cuenta en el outsourcing…………….78

2.4.1. Los acuerdos de niveles de servicios………………………………..78

2.4.2. Tipos de servicios que debe incluir un contrato de outsourcing

informático……………………………………………………………...…82

2.4.3. Contrato de mantenimiento de software…………………………….83

2.4.4. Prevención frente al outsourcing…………………………………….84

3. FUNDAMENTACIÓN NORMATIVA Y/O ESTÁNDARES

INTERNACIONALES……………………………………………………………..86

3.1. Mandato numero 8 de la asamblea constituyente…………………..........87

3.1.1. Disposiciones generales………………………………………………87

3.1.2. Artículo 16 de la contratación civil de servicios técnicos

especializados……………………………………………………………89

3.2. Normas de control interno…………………………………………………...89

3.2.1. Normas de control interno coso……………………………………...90

3.2.1.1. Definición y objetivos………………………………………….94

3.2.1.2. Componentes………………………………………………….95

3.2.1.2.1. Evaluación de riesgos…………………………………96

3.2.1.2.2. Actividades de control…………………………………99

3.2.1.2.3. Supervisión…………………………………………....101

3.3. Estándares internacionales………………………………………………...103

3.3.1. Estándar de control de sistemas COBIT…………………………..103

3.3.1.1. COBIT (objetivos de control para tecnología de información

y tecnologías relacionadas)……………………………………...104

3.3.1.2. Características………………………………………………..105

3.3.1.3. Principios……………………………………………………...106

3.3.1.4. Requerimientos de la información del negocio……………106

3.3.1.5. Dominios de relevancia de COBIT…………………………107

3.3.2. Estándar ISO 17799…………………………………………………115

3.3.3. ITIL (information technology infrastructure library)……………….149

3.3.3.1. Objetivo……………………………………………………….150

3.3.3.2. Forma de uso de ITIL en managed services……………..151

3.3.3.3. Proceso de manejo de incidentes…………………………..152

3.3.3.4. Proceso de manejo de problemas………………………….154

3.3.3.5. Proceso de manejo de configuraciones……………………157

3.3.3.6. Proceso de control de cambios……………………………..158

3.3.3.7. Proceso de manejo de entregas……………………………160

4. MANUAL DE CONTROLES DEL OUTSOURCING INFORMÁTICO……..162

4.1. Información preliminar………………………………………………………162

4.1.1. Introducción…………………………………………………………..162

4.1.2. Objetivos……………………………………………………………...164

4.1.3. Alcance………………………………………………………………..167

4.1.4. Responsables………………………………………………………..167

4.2. Análisis de riesgos………………………………………………………….168

4.2.1. Clasificación de los riesgos……………...……………………….…174

4.2.1.1. Riesgos sin intención (RS)………………...………………..174

4.2.1.2. Riesgos Dolosos (RD).………………………………………176

4.2.1.3. Riesgos de orden natural (RN)……………………………..177

4.3. Cuadro de riesgos según su clasificación……………………………….178

4.4. Políticas de control………………………………………………………….183

4.4.1. Política de seguridad………………………………………….……..183

4.4.2. Revisión y evaluación………………..………………....…………....185

4.4.3. Seguridad organizacional……………………………………………187

4.4.4. Seguridad de acceso a terceros……………………….……………192

4.4.5. Abastecimiento externo………………………………….…………..195

4.4.6. Clasificación y control de activos……………………….…………..197

4.4.7. Clasificación de la información……………………………………..199

4.4.8. Seguridad personal…………………………………………………..201

4.4.9. Seguridad física y ambiental………………………………………...205

4.4.10. Seguridad de equipos………………………………………..207

4.4.11. Comunicación y operaciones………………………………..209

4.4.12. Control de acceso…………………………………………….212

4.4.13. Desarrollo y mantenimiento de sistemas…………………..215

4.4.14. Conformidad…………………………………………………..218

4.4.15. Controles de contrato………………………………………...220

4.4.16. Controles de auditoría………………………………………..223

4.4.17. Seguimiento y control………………………………………...227

4.4.18. Estandarización……………………………………………….230

CONCLUSIONES…………………………………………………...231

RECOMENDACIONES……………………………………………….234

BIBLIOGRAFÍA……………………………………………………….235

ÍNDICE DE FIGURAS

Figura 1.1. Evolución del enfoque de auditoría……………………………………..7

Figura 1.2. Evolución del outsourcing………………………………………………38

Figura 1.3. Pasos del outsourcing…………………………………………………..42

Figura 1.4. Identificar áreas/procesos claves del negocio……………………….43

Figura 1.5. Evaluar oportunidades………………………………………………….44

Figura 1.6. Seleccionar al proveedor outsourcing………………………………...45

Figura 1.7. Proceso de transición…………………………………………………..46

Figura 1.8. Monitorear y evaluar desempeño……………………………………..47

Figura 3.1. Las tres dimensiones conceptuales del COBIT…………………….107

Figura 3.2. Propiedad, monitoreo, evaluación y comunicación………………...154

Figura 3.3. Control de problemas y errores………………………………………156

Figura 3.4. Niveles de Control……………………………………………………..158

Figura 3.5. Monitoreo de cambios…………………………………………………159

Figura 3.6. Entrega del servicio……………………………………………………161

INDICE DE TABLAS

Tabla 2.1. Ejemplos de IT riesgos e impactos de la externalización……………65

Tabla 3.1. Dominios del COBIT……………………………………………………108

Tabla 3.2. Objetivos de alto nivel (planeación y organización P05)……………109

Tabla 3.3. Objetivos de alto nivel (planeación y organización po9)……………110

Tabla 3.4. Objetivos de alto nivel (adquisición e implementación A11)……….111

Tabla 3.5. Objetivos de alto nivel (entrega de servicio y soporte DS2)………..112

Tabla 3.6. Objetivos de alto nivel (entrega de servicio y soporte DS5)………..113

Tabla 3.7. Objetivos de alto nivel (monitoreo M3)……………………………….114

Tabla 4.1 Riesgos sin intención (RS)…………………………………………....179

Tabla 4.2 Riesgos dolosos (RD)…………………………………………………..180

Tabla 4.3 Riesgos de orden natural (RN)…………………………………………181

ABREVIATURAS

COSO Comité de Organizaciones Patrocinadoras de la Comisión Treadway.

ISO Organización Internacional de Normalización.

TI Tecnología de Información

AICPA Instituto Americano de Contadores Públicos Certificado. (American

Institute of Certified Public

Accountants)

CISA Auditor Certificado de Sistemas de Información. (Certified Information

Systems Auditor)

IFAC Federación Internacional de Contadores. (International Federation of

Accountants)

IIA Instituto de Auditores Internos. (Institute of Internal Auditors)

ISACA Asociación para la Auditoría y Control de Sistemas de Información.

(Information Systems Audit and Control Foundation)

ISACF Fundación para la Auditoría y Control de Sistemas de Información.

(Information Systems Audit.and Control Foundation)

ISO Organización de Estándares Internacionales. (International Standards

Organisation) (Con oficinas en Génova, Suiza)

ITIL Biblioteca de Infraestructura de Tecnología de Información. (Information

Technology Infrastructure Library)

INTRODUCCIÓN

Este siglo es el de la “era de la información” y está bien complementado con la

existencia en el mundo de los contratos de outsourcing de procesos informáticos

que surgen como resultado de una necesidad empresarial en muchos casos en

PYMES que ven en el outsourcing informático una opción para poder desarrollar

sus operaciones concentrándose en sus procesos principales y estratégicos.

Existen los más variados tipos de contratos de outsourcing de procesos

informáticos que se desarrollaron por las necesidades tecnológicas actuales,

tales como los contratos sobre bases de datos, los contratos de procesamiento

de datos, los contratos de desarrollo de sistemas de información, de seguridad,

de restablecimiento de operaciones, entre otros.

Es importante tratar la problemática de los contratos de outsourcing y establecer

controles a tener en cuenta para una mejor coexistencia del outsourcing

informático.

La tesis propone controles en el ámbito de los contratos de outsourcing de

procesos informáticos.

La tesis comienza con una breve introducción en la que se señalan los

conceptos del outsourcing, tipos, sus elementos, y los principios generales más

importantes.

En el capitulo I se describen los antecedentes, la contratación externa, una

breve historia del outsourcing, los tipos de contratación externa, los litigios, el

outsourcing, sus definiciones y orígenes, el outsourcing informático, sus ventajas

y riesgos, beneficios, características y por último trataremos del auditor de

sistemas y la metodología para realizar auditorias de sistemas.

En el Capítulo II se profundiza en el outsourcing informático, los modelos de

outsourcing informático, los aspectos contractuales a tener en cuenta en el

outsourcing, los acuerdos de niveles de servicios, los tipos de servicios que

debe incluir un contrato de outsourcing informático, las ventajas e

inconvenientes en este tipo de contratación, entre los principales aspectos

En el Capítulo III se enfoca la fundamentación normativa y/o estándares

internacionales, ente ellos se revisan aspectos legales como el mandato numero

8 de la asamblea constituyente, el ISO, COBIT e ITIL que son estándares

internacionales que aportan con controles para el manual del Outsuorcing de

procesos informáticos. La norma ISO 17.799 de tecnología de la información es

de gran utilidad en este tipo de contratos para brindar seguridad a quien

transfiere datos o delega servicios informatizados.

En el Capítulo IV se desarrolla el manual que detalla algunos temas entre ellos:

introducción, objetivos, alcance, responsables, análisis de riesgos, políticas y

controles que abarcan diversas temáticas para proteger el éxito de los contratos

de outosurcing de proceso informáticos.