Post on 14-Aug-2015
Enlighten your software
Gobierno de Servicios Tercerizados usando COBIT 5
Massiel González (mass.gogu@gmail.com)Gloria Quintanilla (gquintanillao@gmail.com)
Ruta de la presentació
n
Uso de la cascada de metas para la definición del Cuadro
de Mando Integral de TI
Mapeo entre metas
empresariales a metas de TI
Marco de
procesos de COBIT
5
Procesos para el gobierno de TIEvaluar, dirigir y controlar
Procesos para la gestión de TI
Alinear, planificar y organizar
Construir, adquirir e implementar
Entregar, servir y proveer soporte
Monitorear, evaluar y valorar
EDM01Establecer y mantener el marco de gobierno de TI
EDM02 Asegurar la entrega de beneficios
EDM03 Asegurar la optimización de riesgos
EDM04 Asegurar la optimización de recursos
EDM05 Asegurar la transparencia
MEA01 Desempeño y cumplimiento
MEA02 Sistema de control interno
MEA03 Cumplimiento de los requisitos externos
APO01 Gestionar el marco de TI
APO02 Gestionarla estrategia
APO03Gestionar la arquitectura empresarial
APO04Gestionarla innovación
APO05Gestionarel portafolio
APO06Gestionarel presupuesto y los costos
APO07 Gestionar los recursos humanos
APO08 Gestionarlas relaciones
APO09 Gestionar los acuerdos de servicio
APO10 Gestionarlos proveedores
APO11 Gestionar calidad
APO12 Gestionar el riesgo
APO13 Gestionar la seguridad
BAI01 Gestionar los programas y proyectos
BAI02 Gestionar la definición de requisitos
BAI03Gestionar la identificación de soluciones
BAI04 Gestionar la disponibilidad y capacidad
BAI05 Gestionar la habilitación del cambio organizacional
BAI06 Gestionar los cambios
BAI07 Gestionar la aceptación del cambio yla transición
BAI08 Gestionar el conocimiento
BAI09Gestionar los activos
BAI010Gestionar la configuración
DSS01 Gestionar operaciones
DSS02 Gestionar solicitudes de servicio e incidentes
DSS03 Gestionar los problemas
DSS04Gestionar continuidad
DSS05 Gestionar los servicios de seguridad
DSS06 Gestionar controles procesos del negocio
Se diseño un marco de
procesos basado en COBIT 5 +
eSCM
Ejemplo de proceso en el Marco
Integral de Procesos
TES01 Gestionar la estrategia de tercerización de servicios
Importancia
“Dolores”
Escenarios de riesgos Cascada del CMI a
procesos TI
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
100 3.18 3.24
90 1.4 1.3 3.20 1.2
80 3.19 3,2 3.16 2.3 3,4 3.11 3.21 1.1
70 3.10 3.15 3,3 3,5 3,9 3.12
60 3.13 1.5 3,7 3,8
50 1.7 2.4 1.6 2.1 3,1 2.2
40 3,6 2.5
30 3.14 3.22 3.17
20 3.23
10
Mapa de Riesgos
Probabilidad de Ocurrencia
Grado
de Imp
acto P
otenci
al
DesempeñoEvaluación de
capacidad actual de los procesos
Se evaluaron los procesos por su importancia y su
desempeño
Se identificaron los procesos clave para la mitigación de riesgos
La cascada permite
identificar a los procesos
de mayor contribución a las metas de TI y del negocio
Mapeo entre metas
empresariales a metas de TI Mapeo
entre metas de TI a procesos
Evaluación de dolores
Evaluación de la capacidad de
los procesos
Importancia
“Dolores”
Escenarios de riesgos Cascada del CMI a
procesos TI
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
100 3.18 3.24
90 1.4 1.3 3.20 1.2
80 3.19 3,2 3.16 2.3 3,4 3.11 3.21 1.1
70 3.10 3.15 3,3 3,5 3,9 3.12
60 3.13 1.5 3,7 3,8
50 1.7 2.4 1.6 2.1 3,1 2.2
40 3,6 2.5
30 3.14 3.22 3.17
20 3.23
10
Mapa de Riesgos
Probabilidad de Ocurrencia
Grado
de Imp
acto P
otenci
al
DesempeñoEvaluación de
capacidad actual de los procesos
Se evaluaron los procesos por su importancia y su
desempeño
Con base a la evaluación y a los recursos se establecieron y priorizaron iniciativas de
mejoras
Esquema de Operación Tercerizado§ Diseña, implementa y actualiza los procesos tercerizados
§ Verifica que los procesos cross-‐functional se ejecuten conforme lo acordado con el negocio.
§ Integra los resultados del desempeño e integra y coordina los planes de mejora continua
§ Adopta y opera los procesos§ Comunica el desempeño de los procesos e implementa
acciones correctivas
§ Emite el marco de Gobierno y Gestión de TI§ Determina los procesos que serán tercerizados§ Vigila el cumplimiento de los objetivos de los procesos§ Evalúa el desempeño, autoriza la mejora continua
Negocio
Proveedor Integrador
Proveedores Operación
DoloresIntegración proveedores con prácticas propias que genera un “caos” en la operación.
Los responsables del lado del negocio sin herramientas para gestionar a un nivel adecuado … “por los cielos o en la tierra”
No se habla el mismo lenguaje
Conflictos por interpretaciones sobre términos de los procesos y las prácticas esperadas
El proveedor integrador trae sus procesos y al salir se los lleva… “Adiós a los procesos”
No hay responsabilidades claramente definidas a nivel proceso
§ Definición enfocada en actividades clave § Especificar el “qué” y los criterios claves operativos
§ Establecimiento de puntos de control y evaluación de cumplimiento
§ Evaluaciones independientes y retención de la información de los resultados
§ Definición de la matriz de responsabilidad y el modelo de operación tercerizado.
1
2
3
Principios de Diseño
Diseño del Marco de gestión y control de
proveedores
Identificador PolíticaTI-‐SP-‐CN-‐CPIII Acerca del manteniendo y control de los elementos de configuración
1 Los repositorios de configuración (CMDB/CMS) se deben mantener actualizados en forma coordinada y conforme a las políticas del subproceso Gestionar los cambios
1.1El responsable del subproceso debe asegurar que se cuenta con procedimientos y métodos documentados y probados para identificar los cambios a los CIs, con respecto a la línea base
1,2Los cambios propuestos a los CIs, deben evaluarse para garantizar la integridad y precisión con respecto de la línea base.
1,3
Los cambios de configuración a los CIs deben ser realizados únicamente con peticiones de cambio autorizadas. Se deben realizar revisiones períodicas al estado de los CIs, para identificar cambios no autorizados y reportar las desviaciones al dueño del proceso Transición
2La creación y los cambios a las líneas base de configuración, deben realizarse conforme a procedimientos documentados y aprobados por el responsable del subproceso.
2.1Los cambios a las líneas base de configuración deben ser documentados y formalizados, incluyendo las razones e implicaciones de los mismos, una vez que la petición de cambio es revisada, aprobada y autorizada.
Marco de Procesos
Mejores Prácticas Práctica Actuales
Marco de Políticas
Definición del marco de gestión y control de
proveedoresIdentificación de Roles Internos
Diseño del Marco de Gestión y control
§ SME´s internos especialistas y dueños del proceso tercerizado
§ Definición de el “qué” y “cuáles” son las características
§ Identificación de productos clave de control y de gestión
Definición del lenguaje a utilizar
§ Selección de marcos de referencia y/o estándares de trabajo
Acompañamiento de los SME´s -‐ Empoderamiento
Jerarquía del Marco de Control y Gestión
Procedimientos y Prácticas del Proveedor
Procedimientos Prácticas de trabajo
Plan de Abastecimiento del Proceso (Sourcing)
Matriz de Autoridad Modelo Operativo
Marco de Políticas y Procesos de Negocio
Políticas ProcesosMarco para el control y la gestión de los procesos de TI
Marco para el control y la gestión de los procesos tercerizados
Conformidad
Marco para el control y la gestión de los procedimientos de cada proveedor
Conformidad
“Ni tanto que queme al santo, ni tanto que no lo alumbre”
Ejemplo de política con sus reglas
Identificador PolíticaTI-‐SP-‐CN-‐CPIII Acerca del mantenimiento y control de los elementos de configuración
1 Los repositorios de configuración (CMDB/CMS) se deben mantener actualizados en forma coordinada y conforme a las políticas del subproceso Gestionar los cambios
1.1El responsable del subproceso debe asegurar que se cuenta con procedimientos y métodos documentados y probados para identificar los cambios a los CIs, con respecto a la línea base
1,2 Los cambios propuestos a los CIs, deben evaluarse para garantizar la integridad y precisión con respecto de la línea base.
1,3
Los cambios de configuración a los CIs deben ser realizados únicamente con peticiones de cambio autorizadas. Se deben realizar revisiones períodicas al estado de los CIs, para identificar cambios no autorizados y reportar las desviaciones al dueño del proceso Transición
2 La creación y los cambios a las líneas base de configuración, deben realizarse conforme a procedimientos documentados y aprobados por el responsable del subproceso.
2.1Los cambios a las líneas base de configuración deben ser documentados y formalizados, incluyendo las razones e implicaciones de los mismos, una vez que la petición de cambio es revisada, aprobada y autorizada.
Implementación del Marco de Control Aprobación de Políticas por el
negocio Identificación de Brechas con el proveedor Integrador
Integración de proveedores de
Operación
Generación de planes
Medición de la gestión y
desempeño§ Actividades de alineación y ajuste a los procesos
§ Modificación del contrato
Ajuste y validación de practicas del proveedor
Mejora Continua
Colaboración Negocio – Proveedor Integrador Colaboración Proveedor Integrador -‐Proveedor Operación
Supervisión Negocio
Negocio – Proveedor Integrador
§ Definición de OLA’s
Indicadores de gestión y rendimiento
Matriz de responsabilidad y modelo de operación tercerizado
Mecanismos de reporte y distribución de información
Actividades de revisión, verificación y validación
Instalaciones, herramientas, aplicaciones
Gestión del rendimiento
del proveedor
Medición
Plan de Gestión
Abastecimiento
Calidad
Recursos
Comunicación
Integración de proveedores nuevos con prácticas especificas para el negocio. “integración controlada”
Los responsables del lado del negocio con las herramientas necesarias para gestionar a un nivel adecuado … “en el lugar exacto”
Homologación de lenguaje… comunicación habilitada
No más conflictos por interpretaciones sobre términos de los procesos y las prácticas esperadas
El proveedor integrador utiliza los procesos de negocio y al salir…… No importa
Roles y responsabilidades definidos y comunicados
Beneficios
¿Preguntas?Massiel González (mass.gogu@gmail.com)Gloria Quintanilla (gquintanillao@gmail.com)