Escuela de Industrias

Ingeniera Industrial

GESTION DE OUTSOURCING DE
TECNOLOGIAS DE INFORMACION
Claudio Moreno V.
Ingeniero en Informacin y Control de Gestin y Contador
Auditor, Universidad de Chile.
Magister en Ingeniera Industrial, Universidad Andrs
Bello, Santiago, Chile

1
Introduccin
2
Principales riesgos que se asumen con motivo de externalizacin de
servicios
3
Condiciones que deben cumplirse en el outsourcing
4
Poltica de contratacin y gestin de actividades relacionadas con el
outsourcing
5
Continuidad del negocio
6
Seguridad de la informacin
7
Factores a considerar al externalizar servicios
8
Factores a considerar al externalizar servicios de procesamiento de datos

2016
Apuntes Riesgos Tecnolgicos V 1.0
Claudio Moreno V.

-1-

Escuela de Industrias
Ingeniera Industrial

Introduccin
Todas las organizaciones enfrentan cambios para adaptarse a un medioambiente
cada da ms incierto. Toda industria desarrolla y aplica estrategias particulares,
dependiendo de distintas variables tanto internas como externas. Tambin las
empresas tienen determinadas estrategias dependiendo de su tamao, y otras
variables de mercado. As algunas son lderes en precios, otras en tecnologas, otras
por el cuidado del medioambiente, etc. Pero tambin aplican estrategias de carcter
interno, pueden contratar a ejecutivo reconocido, adquirir nueva maquinaria, etc. Una
estrategia habitual, sobre todo en reas operacionales es el outsourcing o
externalizacin de servicios. Podemos definir este concepto como la ejecucin por un
proveedor externo de servicios o actividades en forma continua u ocasional, las que
normalmente podran ser realizadas por la entidad contratante1. Muy relacionado con
este concepto tenemos las siguientes definiciones:
1. Proveedor de servicios: entidad relacionada o no a la institucin contratante,
que preste servicios o provea bienes e instalaciones a ste.
2. Entidad relacionada: aquella vinculada a la propiedad o gestin de la
contratante.
3. Riesgo operacional: es el riesgo de perdidas resultantes de un falta de
adecuacin o de una falla de procesos, del personal y de los sistemas internos
o bien por causa de acontecimientos externos.2
4. Riesgo reputacional: se refiere a la posibilidad de un opinin publica negativa
respecto practicas institucionales, sea cierta o falsa, que deriva en una
disminucin de la base de clientes3

Principales riesgos que se asumen con motivo de externalizacin de servicios

La externalizacin de servicios genera riesgos operacionales, pero tambin puede
aumentar los riesgos estratgicos, reputacional, de cumplimiento, entre otros.
Una slida gestin de riesgos se basa en una adecuada estructura de gobierno
corporativo, un marco con polticas, normas y procedimientos as como un entorno
que permita identificar, evaluar, controlar, mitigar, monitorear y reportar riesgos ms
relevantes asociados al outsourcing de actividades.

Recopilacin actualizada de normas captulo 20-7, SBIF.

Recopilacin actualizada de normas captulo 1-13, SBIF
3
Riesgo operacional: conceptos y mediciones, David Pacheco L. SBIF.
2

2016
Apuntes Riesgos Tecnolgicos V 1.0
Claudio Moreno V.

-2-

Escuela de Industrias
Ingeniera Industrial

Medidas adicionales de mitigacin deben considerar la entidad contratante, cuando el

proveedor de servicios abarca un gran nmero de clientes. Ya que una ante una falla
del proveedor puede provocar una crisis a nivel de la industria. Estas medidas tambin
deben ser consideradas cuando se entreguen varias actividades significativas a un
mismo proveedor. Para esto cada entidad debe definir en sus manuales de riesgos los
criterios de concentracin.

Condiciones que deben cumplirse en el outsourcing

Toda entidad que decida externalizar alguna actividad debe dar cumplimento a las
siguientes condiciones:
a. Mantener clara poltica que regule las actividades asociadas a la
externalizacin, aprobadas por la alta administracin.
b. Establecer procedimientos formales para la seleccin, contratacin y monitoreo
de proveedores.
c. Controlar que proveedor y el personal a cargo de los servicios contratados
posean los conocimientos y experiencias adecuados. Como tambin deber
velar por el cumplimiento de todos los aspectos regulatorios y legales que
pudiesen afectar la provisin de los servicios contratados.
d. Mantener registro actualizado de todos los servicios contratados a empresas
externas, determinando aquellos que, segn sus criterios, son estratgicos y de
alto riesgo. Con el fin de establecer controles y seguimiento en forma
permanente de acuerdo a los niveles de importancia que se le asigne.
e. Establecer procedimientos que aseguren el cumplimiento oportuno e integral de
los compromisos que tienen con sus clientes.
f. Velar por que se realicen auditorias independientes al proceso de seleccin,
contratacin y seguimiento de proveedores.
g. Solicitar a proveedores de servicios que todos los procedimientos
operacionales, administrativos y tecnolgicos del servicio contratado, se
documenten, actualicen y estn permanentemente a disposicin para su
revisin por personal de la empresa o reguladores.
h. Considerar los riesgos que provienen de las cadenas de servicios
externalizados (hace referencia a terceros contratados por el proveedor inicial
de servicios para realizar parte importante de las actividades contratadas).
Todo reflejado en los respectivos contratos.

2016
Apuntes Riesgos Tecnolgicos V 1.0
Claudio Moreno V.

-3-

Escuela de Industrias
Ingeniera Industrial

i. La empresa debe preparar reportes de riesgos operacionales para la alta

administracin. La informacin debe referirse a la gestin de riesgos de
outsourcing.
j. Los datos, plataformas tecnolgicas y aplicaciones a utilizar en el proceso de
outsourcing deben encontrarse en sitio de procesamiento especficos y en caso
que el servicio sea prestado desde el exterior, en una jurisdiccin definida y
conocida.

Poltica de contratacin y gestin de actividades relacionadas con el outsourcing

La poltica relacionada a estos tipos de servicios debe ser conocida y aprobada por la
alta administracin, y debe contener a los menos las siguientes materias:
1. Definicin de estructura y procesos a seguir para autorizar y gestionar la
externalizacin de servicios.
2. Descripcin de las herramientas especficas de evaluacin de riesgos en esta
materia y de su utilizacin.
3. Criterios umbrales y tolerancias mximas al riego, as como instrumentos y
estrategias de mitigacin y monitoreo.
4. Criterios particulares de contratacin.
5. Elementos mnimos que deben ser considerados por la empresa para
determinar los servicios que se encuentren asociados a actividades
estratgicas.
6. La clara definicin de aquellas actividades que solo pueden externalizarse solo
con aprobacin de la alta administracin.
7. Revisin peridica de la poltica.
8. Los elementos mnimos que debe contener el contrato de prestacin de
servicios.

Continuidad del negocio

La entidad debe verificar que sus proveedores de servicios crticos cuenten con
planes que aseguren la continuidad de los servicios contratados. Estos planes deben
ser probados al menos una vez al ao, incluyendo cuando corresponda, el escenario
de desastre de sus diferentes sitios de contingencia, debiendo verificar los resultados
obtenidos.

2016
Apuntes Riesgos Tecnolgicos V 1.0
Claudio Moreno V.

-4-

Escuela de Industrias
Ingeniera Industrial

Seguridad de la informacin
La empresa debe tener la seguridad que el proveedor de los servicios mantiene un
programa de seguridad de la informacin que permita asegurar la:
1.
2.
3.
4.

Confidencialidad.
Integridad.
Trazabilidad.
Disponibilidad de sus activos de informacin y de sus clientes.

Estas condiciones deben ser consistentes con las polticas y estndares adoptados
por la entidad y quedar escritos en el contrato respectivo.
La informacin una vez procesada debe ser almacenada y transportada de manera
encriptada, manteniendo las llaves de desemcriptacion en poder del personal
correspondiente de la entidad. Piense en la informacin de una institucin financiera, y
lo relevante de mantener segura su informacin.
De igual modo deben definirse los procedimientos de intercambio de claves entre el
proveedor de servicios y la empresa cliente, tambin hay que establecer los roles y
responsabilidades de las personas vinculadas a la administracin de seguridad.
Si hay procesamiento de documentacin fsica, la empresa debe contar con
procedimientos de control que cumplan con los requerimientos establecidos en las
polticas respectivas. De igual manera hay que establecer procedimientos que
aseguren el traspaso de informacin a la empresa por parte del proveedor, y
asegurarse que en ninguna caso mantenga informacin en su poder despus de
terminada la relacin contractual.

Factores a considerar al externalizar servicios

a. Evaluacin del riesgo: antes de externalizar una actividad, hay que evaluar
todos los agentes involucrados respecto los riesgos que se incorporan a la
empresa por la externalizacin. Adems haya que tomar en cuenta: la relacin
entre riesgos y montos involucrados en outsourcing, volumen de transacciones
que procesaran, criticidad de servicio, concentracin de servicios en proveedor,
entre otro.
b. Seleccin de proveedor: la empresa debe evaluar cada propuesta recibida de
acuerdo a sus requerimientos y llevara a cabo proceso que sustente la opcin
elegida.

2016
Apuntes Riesgos Tecnolgicos V 1.0
Claudio Moreno V.

-5-

Escuela de Industrias
Ingeniera Industrial

c. Contrato: la empresa debe tener la seguridad que el contrato defina con

claridad los derechos y obligaciones de ambas partes, contenga los acuerdos
claros y sea posible medir los servicios, la fijacin y metodologa de pagos.
Tiene que haber clusulas de continuidad del negocio y de seguridad de la
informacin (relacionada con la propiedad y confidencialidad).
Es importante mantener clusulas de veto en la seleccin de subcontratados
por parte del proveedor. Debe quedar muy claro todo lo relacionado con la
idoneidad y responsabilidad del personal de la empresa proveedora de
servicios, as como tema legales y laborales aplicables a la situacin
especfica.
d. Control permanente: este control se debe aplicar tanto al proveedor como al
servicio que se recibe.
1. Proveedor: desempeo y los posibles cambios en los requerimientos
durante el contrato. Se debe solicitar el anlisis razonado del ltimo
estado financiero del proveedor como mnimo. Adems, de
antecedentes generales de la administracin.
2. Servicio: mantener controles del cumplimiento de las clausulas
estipuladas en contratos. Este monitoreo debe comprender: tipos de
servicios, gestin de riesgos operacional asociada a servicio, gestin de
los riesgos operacional, y posibles cambios del medio. Es necesario
cubrir los requerimientos de existencia y suficiencia de procesos de
traspaso a produccin y escalamiento de incidentes.

Factores a considerar al externalizar servicios de procesamiento de datos

Se puede dividir en dos tipos de informacin una de tipo general y otra ms detallada
acerca del proyecto mismo.
1. General: estructura de gobierno definida entre proveedor y cliente, identificando
el nivel, es decir estratgico, tacto u operacional. Adems, de una estructura
detallada de costos de procesamiento de datos actuales y posterior al servicio
de externalizacin.
2. Del proyecto:
a. Alcance del servicio de procesamiento externo.
b. Identificacin de plataformas y aplicaciones de negocios que se
procesaran externamente, y aquellas que seguirn con la institucin.
2016
Apuntes Riesgos Tecnolgicos V 1.0
Claudio Moreno V.

-6-

Escuela de Industrias
Ingeniera Industrial

c. Documentos de respaldos del proyecto de procesamiento externo.

d. Detalle del acuerdo econmico por los servicios.
e. Informes de anlisis y evaluacin de riesgo efectuado por una entidad
independiente.
f. Evaluacin tcnica y financiera de proyecto.
g. Evaluaciones efectuadas para elegir proveedor.
h. Detalle de traslados de hardware si corresponde.
i. Metodologa de certificacin de pruebas y simulacros.
j. Contratos de servicios, con sus anexos, y si los hay subcontratos con
terceros.
k. Polticas de seguridad de la informacin y continuidad del negocio del
proveedor.
l. Descripcin, antecedentes y caractersticas tcnicas detalladas del sitio
de produccin y contingencia del proveedor de servicios.
m. Carta Gantt del proyecto.
n. Herramientas que permitan a la empresa controlar la aplicacin de sus
polticas y buenas prcticas, en el proveedor.
o. Herramientas que permitan a la empresa controlar el cumplimento de
los niveles de servicios acordados en contrato.
p. Estructura organizacional que ser responsable de las mantenciones de
software, hardware y comunicaciones.
q. Polticas y procedimientos que se utilizaran para la mantencin de
software operativo y comercial.
r. Plan de continuidad del negocio que adoptara la institucin al
presentarse una contingencia que impida a proveedor prestar servicio.
s. Planes de contingencia previstos para mantener la continuidad
operacional.

Bibliografa:
Recopilacin
actualizada
de
normas
de
la
SBIF,
http://www.sbif.cl/sbifweb/servlet/LeyNorma?indice=3.1.2&LNAN=1
Auditora en Sistemas Computacionales. Carlos Muoz Razo, Captulo 6 Metodologa para realizar
auditoras computacionales.
Auditora Informtica un enfoque prctico. Mario Piattini V. 2 edicin, Captulo I La informtica como
herramienta del auditor financiero.

2016
Apuntes Riesgos Tecnolgicos V 1.0
Claudio Moreno V.

-7-