Enlighten  your  software

Gobierno  de  Servicios  Tercerizados usando  COBIT  5

Massiel González  (mass.gogu@gmail.com)Gloria  Quintanilla  (gquintanillao@gmail.com)

Ruta  de  la  presentació

n

Uso  de  la  cascada  de  metas  para  la  definición  del  Cuadro  

de  Mando  Integral  de  TI

Mapeo  entre  metas  

empresariales  a  metas  de  TI

Marco  de  

procesos  de  COBIT  

5

Procesos para el gobierno de TIEvaluar,  dirigir  y  controlar

Procesos para la gestión de TI

Alinear,  planificar  y  organizar  

Construir,  adquirir  e  implementar  

Entregar,  servir  y  proveer  soporte  

Monitorear,  evaluar  y  valorar

EDM01Establecer y mantener el marco de gobierno de TI

EDM02 Asegurar la entrega de beneficios

EDM03  Asegurar la optimización de riesgos

EDM04  Asegurar la optimización de recursos

EDM05  Asegurar  la   transparencia

MEA01 Desempeño y cumplimiento

MEA02  Sistema  de  control  interno

MEA03  Cumplimiento de los requisitos externos

APO01 Gestionar el marco de TI

APO02    Gestionarla estrategia

APO03Gestionar la arquitectura empresarial

APO04Gestionarla innovación

APO05Gestionarel portafolio

APO06Gestionarel presupuesto y los costos

APO07  Gestionar los recursos humanos

APO08  Gestionarlas relaciones

APO09  Gestionar los acuerdos de servicio

APO10  Gestionarlos proveedores

APO11  Gestionar calidad

APO12  Gestionar el riesgo

APO13  Gestionar la seguridad

BAI01  Gestionar los programas y proyectos

BAI02  Gestionar la definición de requisitos

BAI03Gestionar la identificación de soluciones

BAI04  Gestionar la disponibilidad y capacidad

BAI05  Gestionar la habilitación del cambio organizacional

BAI06  Gestionar los cambios

BAI07  Gestionar la aceptación del cambio yla transición

BAI08  Gestionar el conocimiento

BAI09Gestionar los activos

BAI010Gestionar la configuración

DSS01  Gestionar operaciones

DSS02  Gestionar solicitudes de servicio e incidentes

DSS03  Gestionar los problemas

DSS04Gestionar continuidad

DSS05  Gestionar los servicios de seguridad

DSS06  Gestionar controles procesos del negocio

Se  diseño    un  marco  de  

procesos  basado  en  COBIT  5  +  

eSCM

Ejemplo  de  proceso  en  el  Marco  

Integral  de  Procesos

TES01 Gestionar la estrategia de tercerización de servicios

Importancia

“Dolores”  

Escenarios  de  riesgos Cascada  del  CMI  a  

procesos  TI

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

100 3.18 3.24

90 1.4 1.3 3.20 1.2

80 3.19 3,2 3.16 2.3 3,4 3.11 3.21 1.1

70 3.10 3.15 3,3 3,5 3,9 3.12

60 3.13 1.5 3,7 3,8

50 1.7 2.4 1.6 2.1 3,1 2.2

40 3,6 2.5

30 3.14 3.22 3.17

20 3.23

10

Mapa de Riesgos

Probabilidad de Ocurrencia

Grado

de Imp

acto P

otenci

al

DesempeñoEvaluación  de  

capacidad  actual  de  los  procesos  

Se  evaluaron  los  procesos  por  su  importancia  y  su  

desempeño

Se  identificaron  los  procesos  clave  para  la  mitigación  de  riesgos

La  cascada  permite  

identificar  a  los  procesos  

de  mayor  contribución  a  las  metas  de  TI  y  del  negocio

Mapeo  entre  metas  

empresariales  a  metas  de  TI Mapeo  

entre  metas  de  TI  a  procesos  

Evaluación  de  dolores

Evaluación  de  la  capacidad  de  

los  procesos

Importancia

“Dolores”  

Escenarios  de  riesgos Cascada  del  CMI  a  

procesos  TI

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

100 3.18 3.24

90 1.4 1.3 3.20 1.2

80 3.19 3,2 3.16 2.3 3,4 3.11 3.21 1.1

70 3.10 3.15 3,3 3,5 3,9 3.12

60 3.13 1.5 3,7 3,8

50 1.7 2.4 1.6 2.1 3,1 2.2

40 3,6 2.5

30 3.14 3.22 3.17

20 3.23

10

Mapa de Riesgos

Probabilidad de Ocurrencia

Grado

de Imp

acto P

otenci

al

DesempeñoEvaluación  de  

capacidad  actual  de  los  procesos  

Se  evaluaron  los  procesos  por  su  importancia  y  su  

desempeño

Con  base  a  la  evaluación  y  a  los  recursos  se  establecieron  y  priorizaron  iniciativas  de  

mejoras

Esquema  de  Operación  Tercerizado§ Diseña,  implementa  y  actualiza  los  procesos  tercerizados

§ Verifica  que  los  procesos  cross-­‐functional se  ejecuten  conforme  lo  acordado  con  el  negocio.

§ Integra  los  resultados  del  desempeño  e  integra  y  coordina  los  planes  de  mejora  continua

§ Adopta  y  opera  los  procesos§ Comunica    el  desempeño  de  los  procesos  e  implementa  

acciones  correctivas

§ Emite  el  marco  de  Gobierno  y  Gestión  de  TI§ Determina  los  procesos  que  serán  tercerizados§ Vigila  el  cumplimiento  de  los  objetivos  de  los  procesos§ Evalúa  el  desempeño,  autoriza  la  mejora  continua

Negocio

Proveedor  Integrador

Proveedores  Operación

DoloresIntegración  proveedores  con  prácticas  propias  que  genera  un  “caos”  en  la  operación.

Los  responsables  del  lado  del  negocio  sin  herramientas  para  gestionar  a  un  nivel  adecuado  …  “por  los  cielos  o  en  la  tierra”

No  se  habla  el  mismo   lenguaje

Conflictos  por  interpretaciones  sobre  términos  de  los  procesos  y  las  prácticas  esperadas

El  proveedor   integrador  trae  sus  procesos  y  al  salir  se  los  lleva…  “Adiós  a  los  procesos”

No  hay  responsabilidades  claramente  definidas  a  nivel  proceso

§ Definición  enfocada  en  actividades  clave  § Especificar  el  “qué”  y  los  criterios  claves  operativos

§ Establecimiento  de  puntos  de  control  y  evaluación  de  cumplimiento

§ Evaluaciones  independientes  y  retención  de  la  información  de  los  resultados

§ Definición  de  la  matriz  de  responsabilidad  y  el    modelo  de  operación  tercerizado.  

1

2

3

Principios  de  Diseño

Diseño  del  Marco  de  gestión  y  control  de  

proveedores

Identificador PolíticaTI-­‐SP-­‐CN-­‐CPIII  Acerca  del  manteniendo  y  control  de  los  elementos  de  configuración

1 Los  repositorios  de  configuración  (CMDB/CMS)  se  deben  mantener  actualizados  en  forma  coordinada  y  conforme  a  las  políticas  del  subproceso  Gestionar  los  cambios

1.1El  responsable  del  subproceso  debe  asegurar  que  se  cuenta  con  procedimientos  y  métodos  documentados  y  probados  para  identificar  los  cambios  a  los  CIs,  con  respecto  a  la  línea  base

1,2Los  cambios  propuestos  a  los  CIs,  deben  evaluarse  para  garantizar  la  integridad  y  precisión  con  respecto  de  la  línea  base.

1,3

Los  cambios  de  configuración  a  los  CIs  deben  ser  realizados  únicamente  con  peticiones  de  cambio  autorizadas.  Se  deben  realizar  revisiones  períodicas  al  estado  de  los  CIs,  para  identificar  cambios  no  autorizados  y  reportar  las  desviaciones  al  dueño  del  proceso  Transición

2La  creación  y  los  cambios  a  las  líneas  base  de  configuración,  deben  realizarse  conforme  a  procedimientos  documentados  y  aprobados  por  el  responsable  del  subproceso.

2.1Los  cambios  a  las  líneas  base  de  configuración  deben  ser  documentados  y  formalizados,  incluyendo  las  razones  e  implicaciones  de  los  mismos,  una  vez  que  la  petición  de  cambio  es  revisada,  aprobada  y  autorizada.

Marco  de  Procesos

Mejores  Prácticas Práctica  Actuales

Marco  de  Políticas

Definición  del  marco  de  gestión  y  control  de  

proveedoresIdentificación  de  Roles  Internos

Diseño  del  Marco  de  Gestión  y  control  

§ SME´s internos  especialistas  y  dueños   del  proceso  tercerizado

§ Definición  de  el  “qué”  y  “cuáles”  son  las  características  

§ Identificación  de    productos  clave  de  control  y  de  gestión

Definición  del  lenguaje  a  utilizar

§ Selección  de  marcos  de  referencia  y/o  estándares  de  trabajo

Acompañamiento  de  los  SME´s -­‐ Empoderamiento

Jerarquía  del  Marco  de  Control  y  Gestión

Procedimientos  y  Prácticas  del  Proveedor

Procedimientos Prácticas  de  trabajo

Plan  de  Abastecimiento  del  Proceso  (Sourcing)

Matriz  de  Autoridad Modelo  Operativo

Marco  de  Políticas  y  Procesos  de  Negocio

Políticas ProcesosMarco para el control y la gestión de los procesos de TI

Marco para el control y la gestión de los procesos tercerizados

Conformidad

Marco para el control y la gestión de los procedimientos de cada proveedor

Conformidad

“Ni  tanto  que  queme  al  santo,  ni  tanto  que  no  lo  alumbre”

Ejemplo  de  política  con  sus  reglas

Identificador PolíticaTI-­‐SP-­‐CN-­‐CPIII  Acerca  del  mantenimiento  y  control  de  los  elementos  de  configuración

1 Los  repositorios   de  configuración  (CMDB/CMS)   se  deben  mantener  actualizados  en  forma  coordinada  y  conforme  a  las  políticas   del  subproceso   Gestionar  los  cambios

1.1El  responsable   del  subproceso   debe  asegurar  que  se  cuenta  con  procedimientos   y  métodos  documentados   y  probados  para  identificar  los  cambios  a  los   CIs,  con  respecto  a  la  línea  base

1,2 Los  cambios  propuestos   a  los  CIs,   deben  evaluarse  para  garantizar  la  integridad  y  precisión  con  respecto  de  la  línea  base.

1,3

Los  cambios  de  configuración  a  los  CIs  deben  ser  realizados  únicamente  con  peticiones   de  cambio  autorizadas.  Se  deben  realizar  revisiones   períodicas   al  estado  de  los  CIs,   para  identificar  cambios  no  autorizados  y  reportar  las  desviaciones   al  dueño  del  proceso  Transición

2 La  creación  y  los  cambios  a  las  líneas  base  de  configuración,   deben  realizarse  conforme  a  procedimientos   documentados   y  aprobados  por  el  responsable   del  subproceso.

2.1Los  cambios  a  las  líneas  base  de  configuración  deben   ser  documentados   y  formalizados,  incluyendo   las  razones  e  implicaciones   de  los  mismos,   una  vez  que  la  petición  de  cambio  es  revisada,  aprobada  y  autorizada.

Implementación  del  Marco  de  Control  Aprobación  de  Políticas  por  el  

negocio Identificación  de  Brechas  con  el  proveedor  Integrador

Integración  de  proveedores  de  

Operación

Generación  de  planes

Medición  de  la  gestión  y  

desempeño§ Actividades   de  alineación  y  ajuste  a  los  procesos

§ Modificación  del  contrato

Ajuste  y  validación   de  practicas  del  proveedor

Mejora  Continua

Colaboración  Negocio  – Proveedor  Integrador Colaboración  Proveedor  Integrador  -­‐Proveedor  Operación

Supervisión  Negocio

Negocio  – Proveedor  Integrador

§ Definición  de    OLA’s

Indicadores  de  gestión  y  rendimiento

Matriz  de  responsabilidad  y  modelo  de  operación  tercerizado

Mecanismos  de  reporte  y  distribución  de  información

Actividades  de  revisión,  verificación  y  validación

Instalaciones,  herramientas,  aplicaciones

Gestión  del  rendimiento  

del  proveedor

Medición

Plan  de  Gestión

Abastecimiento

Calidad

Recursos

Comunicación

Integración  de  proveedores  nuevos  con  prácticas  especificas  para  el  negocio.  “integración  controlada”

Los  responsables  del  lado  del  negocio  con  las  herramientas  necesarias  para  gestionar  a  un  nivel  adecuado  …  “en  el  lugar  exacto”

Homologación   de  lenguaje…  comunicación  habilitada

No  más  conflictos  por  interpretaciones  sobre  términos  de  los  procesos  y  las  prácticas  esperadas

El  proveedor   integrador  utiliza  los  procesos  de  negocio  y  al  salir……  No  importa

Roles  y  responsabilidades  definidos   y  comunicados

Beneficios

¿Preguntas?Massiel González    (mass.gogu@gmail.com)Gloria  Quintanilla  (gquintanillao@gmail.com)