Auditoría de Procesos Práctica.v0

Introduccin a la Auditora de Procesos de Sistemas de Informacin
Ejercicios
Introduccin a la Auditora de
Procesos de Sistemas de Informacin
Ejercicios
Damin Ruiz Soriano (CISA, CISSP, 27001 Lead Auditor)
Departamento de Auditora de Produccin (rea de Auditora de Sistemas). Bankia
fruizs@bankia.com

Noviembre de 2012

4
4.1

Marco de Trabajo
Objetivos de Control
Directrices Gerenciales
Modelos de Madurez
Extracto de
Procesos y Descripciones

PLANEAR Y ORGANIZAR

P
L
A
N
E
A
R

Y

O
R
G
A
N
I
Z
A
R

PO1 Definir un Plan Estratgico de TI
PO2 Definir la Arquitectura de la Informacin
PO3 Determinar la Direccin Tecnolgica
PO4 Definir los Procesos, Organizacin y Relaciones de TI
PO5 Administrar la Inversin en TI
PO6 Comunicar las Aspiraciones y la Direccin de la Gerencia
PO7 Administrar Recursos Humanos de TI
PO8 Administrar la Calidad
PO9 Evaluar y Administrar los Riesgos de TI
PO10 Administrar Proyectos
Planear y Organizar
Definir un Plan Estratgico de TI
PO1
2007 IT Governance Institute. All rights reserved. www.itgi.org
DESCRIPCIN DEL PROCESO.
P01 Definir un Plan Estratgico de TI.
La planeacin estratgica de TI es necesaria para gestionar y dirigir todos los recursos de TI en lnea con la estrategia y prioridades
del negocio. La funcin de TI y los interesados del negocio son responsables de asegurar que el valor ptimo se consigue desde los
proyectos y el portafolio de servicios. El plan estratgico mejora la comprensin de los interesados clave de las oportunidades y
limitaciones de TI, evala el desempeo actual, identifica la capacidad y los requerimientos de recursos humanos, y clarifica el nivel
de investigacin requerido. La estrategia de negocio y prioridades se reflejarn en portafolios y se ejecutarn por los planes
estratgicos de TI, que especifican objetivos concisos, planes de accin y tareas que estn comprendidas y aceptadas tanto por el
negocio como por TI.
Planear y
Organizar
Adquirir e
Implementar
Entregar y Dar
Soporte
Monitorear y
Evaluar

Control sobre el proceso TI de
Definir un plan estratgico para TI
Que satisface el requerimiento del negocio de TI para
Sostener o extender los requerimientos de gobierno y de la estrategia del negocio, al mismo tiempo que se mantiene la
transparencia sobre los beneficios, costos y riesgos
Enfocndose en
La incorporacin de TI y de la gerencia del negocio en la traduccin de los requerimientos del negocio a ofertas de
servicio, y el desarrollo de estrategias para entregar estos servicios de una forma transparente y rentable
Se logra con
El compromiso con la alta gerencia y con la gerencia del negocio para alinear la planeacin
estratgica de TI con las necesidades del negocio actuales y futuras
El entendimiento de las capacidades actuales de TI
La aplicacin de un esquema de prioridades para los objetivos del negocio que cuantifique los
requerimientos del negocio
Y se mide con
El porcentaje de objetivos de TI en el plan estratgico de TI, que dan soporte al plan
estratgico del negocio
El porcentaje de proyectos TI en el portafolio de proyectos que se pueden rastrear hacia el
plan tctico de TI
El retraso entre las actualizaciones del plan estratgico de TI y las actualizaciones de los
planes tcticos de TI

29
Planear y Organizar
Definir la Arquitectura de la Informacin
PO2
33

DE .
acin.
los
ue
los datos de la organizacin, el esquema de clasificacin de datos y los niveles de seguridad. Este
d de la toma de decisiones gerenciales asegurndose que se proporciona informacin confiable y segura, y
licaciones y de las entidades.
eso TI de
El aseguramiento de la exactitud de la arquitectura de la informacin y del modelo de datos

La frecuencia de actividades de validacin de datos

SCRIPCIN DEL PROCESO
P02. Definir la Arquitectura de la Inform
La funcin de sistemas de informacin debe crear y actualizar de forma regular un modelo de informacin del negocio y definir
sistemas apropiados para optimizar el uso de esta informacin. Esto incluye el desarrollo de un diccionario corporativo de datos q
contiene las reglas de sintaxis de
proceso mejora la calida
permite racionalizar los recursos de los sistemas de informacin para igualarse con las estrategias del negocio. Este proceso de TI
tambin es necesario para incrementar la responsabilidad sobre la integridad y seguridad de los datos y para mejorar la efectividad y
control de la informacin compartida a lo largo de las ap

Planear y
Organizar

Adquirir e
Implementar

Entregar y Dar
Soporte
Control sobre el proc
Definir la arquitectura de la informacin
Agilizar la respuesta a los requerimientos, proporcionar informacin confiable y consistente, para integrar de forma
transparente las aplicaciones dentro de los procesos del negocio
Monitorear y
Evaluar
Enfocndose en
El establecimiento de un modelo de datos empresarial que incluya un esquema de clasificacin de informacin
que garantice la integridad y consistencia de todos los datos
Se logra con
La asignacin de propiedad de datos
La clasificacin de la informacin usando un esquema de clasificacin acordado
Y se mide con
El porcentaje de elementos de datos redundantes / duplicados
El porcentaje de aplicaciones que no cumplen con la metodologa de arquitectura de la
informacin usada por la empresa

Planear y Organizar
Determinar la Direccin Tecnolgica
PO3
37

DE O.
listas y
rminos de productos, servicios y mecanismos de aplicacin. El plan se debe
r y abarca aspectos tales como arquitectura de sistemas, direccin tecnolgica, planes de adquisicin,

requerimientos.
La definicin de estndares de infraestructura tecnolgica basados en requerimientos de

SCRIPCIN DEL PROCES
P03. Determinar la Direccin Tecnolgica.
La funcin de servicios de informacin debe determinar la direccin tecnolgica para dar soporte al negocio. Esto requiere de la
creacin de un plan de infraestructura tecnolgica y de un comit de arquitectura que establezca y administre expectativas rea
claras de lo que la tecnologa puede ofrecer en t
actualizar de forma regula
estndares, estrategias de migracin y contingencias. Esto permite contar con respuestas oportunas a cambios en el ambiente
competitivo, economas de escala para consecucin de personal de sistemas de informacin e inversiones, as como una
interoperabilidad mejorada de las plataformas y de las aplicaciones.

Planear y
Organizar

Adquirir e
Implementar
Entregar y Dar
Soporte
Determinar la direccin tecnolgica
Contar con sistemas aplicativos estndares, bien integrados, rentables y estables, as como recursos y capacidades que
satisfagan requerimientos de negocio, actuales y futuros
Monitorear y
Evaluar
Enfocndose en
La definicin e implementacin de un plan de infraestructura tecnolgica, una arquitectura y estndares que
tomen en cuenta y aprovechen las oportunidades tecnolgicas
Se logra con
El establecimiento de un foro para dirigir la arquitectura y verificar el cumplimiento
El establecimiento de un plan de infraestructura tecnolgica equilibrado versus costos, riesgos y
arquitectura de informacin
Y se mide con
El nmero y tipo de desviaciones con respecto al plan de infraestructura tecnolgica
Frecuencia de las revisiones /actualizaciones del plan de infraestructura tecnolgica
Nmero de plataformas de tecnologa por funcin a travs de toda la empresa

Planear y Organizar
Definir los Procesos, Organizacin y Relaciones de TI
PO4
41

DE O.
laciones de TI.
ntrol, as como el involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comit
ar la vigilancia del consejo directivo sobre TI, y uno ms comits de direccin, en los cuales participen
io, TI se debe involucrar en los
ecisin.
eso TI de
en
os y competentes
efinicin
La definicin de un marco de trabajo de procesos de TI
El establecimiento de un cuerpo y una estructura organizacional apropiada

ctividades clave de TI fuera de la organizacin de TI que no son aprobadas y que
no estn sujetas a los estndares organizacionales de TI

SCRIPCIN DEL PROCES
P04. Definir los Procesos, Organizacin y Re
Una organizacin de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, rendicin de cuentas,
autoridad, roles, responsabilidades y supervisin. La organizacin est embebida en un marco de trabajo de procesos de TI que
asegure la transparencia y el co
estratgico debe garantiz
tanto el negocio como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del negocio. Deben
existir procesos, polticas de administracin y procedimientos para todas las funciones, con atencin especfica en el control, el
aseguramiento de la calidad, la administracin de riesgos, la seguridad de la informacin, la propiedad de datos y de sistemas y la
segregacin de funciones. Para garantizar el soporte oportuno de los requerimientos del negoc
procesos importantes de d

Planear y
Organizar
Adquirir e
Implementar
Entregar y Dar
Soporte
Control sobre el proc
Definir los procesos, organizacin y relaciones de TI
Agilizar la respuesta a las estrategias del negocio mientras se cumplen los requerimientos de gobierno y se establec
Monitorear y
Evaluar
puntos de contacto definid
Enfocndose en
El establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables, y en la d
e implementacin de procesos de TI con dueos, y en la integracin de roles y responsabilidades hacia los
procesos de negocio y de decisin
Se logra con
La definicin de roles y responsabilidades
Y se mide con
El porcentaje de roles con descripciones de puestos y autoridad documentados
El nmero de unidades/procesos de negocio que no reciben soporte de TI y que deberan
recibirlo, de acuerdo con la estrategia
Nmero de a

Planear y Organizar
Administrar la Inversin en TI
PO5

47

P05. Administrar la Inversin en TI.
Establecer y mantener un marco de trabajo para administrar los programas de inversin en TI que abarquen costos, beneficios,
prioridades dentro del presupuesto, un proceso presupuestal formal y administracin contra ese presupuesto. Los interesados
(stakeholders) son consultados para identificar y controlar los costos y beneficios totales dentro del contexto de los planes
estratgicos y tcticos de TI, y tomar medidas correctivas segn sean necesarias. El proceso fomenta la asociacin entre TI y los
interesados del negocio, facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y responsabilidad dentro del costo
total de la propiedad, la materializacin de los beneficios del negocio y el retorno sobre las inversiones en TI.

Administrar la Inversin en TI
Mejorar de forma continua y demostrable la rentabilidad de TI y su contribucin a la rentabilidad del negocio con servicios
integrados y estandarizados que satisfagan las expectativas del usuario.
Enfocndose en
Decisiones de portafolio e inversin en TI efectivas y eficientes, y el establecimiento y seguimiento de presupuestos
de TI de acuerdo a la estrategia de TI y a las decisiones de inversin.
Se logra con
El pronstico y la asignacin de presupuestos
La definicin de criterios formales de inversin (retorno de inversin -ROI, periodo de reintegro, valor
presente neto -NPV)
La medicin y evaluacin del valor del negocio en comparacin con el pronstico
Y se mide con
El porcentaje de reduccin en el costo unitario del servicio de TI
Porcentaje del valor de la desviacin respecto al presupuesto en comparacin con el
presupuesto total
Porcentaje de gasto de TI expresado en impulsores de valor del negocio (Ej. Incremento en
ventas / servicios debidos a la mejora en conectividad

Planear y
Organizar
Adquirir e
Implementar
Entregar y Dar
Soporte
Monitorear y
Evaluar

Planear y Organizar
Comunicar las Aspiraciones y la Direccin de la Gerencia
PO6
51

D
Direccin de la Gerencia.
L laborar un marco de trabajo de control empr ra TI, y definir y comunicar las polticas. Un programa de
c ica ar la m e servic po s ie etc.,
aprobados y apoyados por la direccin. La comunicacin apoya e los objetivos de TI y asegura la concienciacin y el
entendim y de TI. El proceso debe limiento de las leye y reglamentos relevant s.

ontrol sobre el proceso TI de
omunicar las aspiraciones y la direccin de la gerencia
Una informacin precisa y oportuna sobre los servicios de TI actuales y futuros, los riesgos asociados y las responsabilidades
Enfocndose en
Proporcionar polticas, procedimientos, directrices y otra documentacin aprobada, de forma precisa y entendible y
que se encuentre dentro del marco de trabajo de control de TI a los interesados
Se logra con
La definicin de un marco de trabajo de control para TI
La elaboracin e implantacin de polticas para TI
El refuerzo de polticas de TI
Y se mide con
El nmero de interrupciones en el negocio debidas a interrupciones en el servicio de TI
Porcentaje de interesados que entienden el marco de trabajo de control de TI de la empresa
Porcentaje de interesados que no cumple las polticas

ESCRIPCIN DEL PROCESO.
P06. Comunicar las Aspiraciones y la
a direccin debe e esarial pa
omun cin continua se debe implementar para articul isin, los objetivos d
l logro de
io, las ltica y procedim ntos,
iento de los riesgos de negocio garantizar el cump s e
Planear y
Organizar
Adquirir e
Implementar

Entregar y Dar
Soporte
C
Monitorear y
Evaluar
C

Planear y Organizar
Administrar Recursos Humanos de TI
PO7
55

D
A var una fuerza de trabajo para la creaci ega de servicios ra el negocio. Esto se logra
si d el recluta iento, la evaluacin del desempeo, la promocin
la termin es crtico, ya que las personas son , y el ambiente de gobierno y de control interno
d de el person

trol sobre el proceso TI de
dministrar los recursos humanos de TI
mpetente y motivada para crear y entregar servicios de TI
Enfocndose en
La contratacin y entrenamiento del personal, la motivacin por medio de planes de carrera claros, la asignacin
de roles que correspondan a las habilidades, el establecimiento de procesos de revisin definidos, la creacin de
descripcin de puestos y el aseguramiento de la conciencia de la dependencia sobre los individuos
Se logra con
La revisin del desempeo del personal
La contratacin y entrenamiento de personal de TI para apoyar los planes tcticos de TI
La mitigacin del riesgo de sobre-dependencia de recursos clave
Y se mide con
El nivel de satisfaccin de los interesados respecto a la experiencia y habilidades del personal
La rotacin de personal de TI
Porcentaje de personal de TI certificado de acuerdo a las necesidades del negocio

P07. Administrar los Recursos Humanos de TI.
dquirir, mantener y moti n y entr de TI pa
guien o prcticas definidas y aprobadas que apoyan
acin. Este proceso
miento, entrenam
activos importantes
y
epen fuertemente de la motivacin y competencia d al.
Planear y
Organizar

Adquirir e
Implementar
Entregar y Dar
Soporte

Monitorear y
Evaluar
Con
A
Adquirir gente co

Planear y Organizar
Administrar la Calidad
PO8
59

D
Se debe elaborar y mantener un sistema de administracin de c cual incluya procesos y estndares probados de desarrollo y
d u la planeacin, impla de ma administ cin de cali ad
proporci mientos y polticas clara ientos de calidad se deben manifestar y
d e bles. La me m e an e mo itoreo in
sultados a los intere de d es sen al pa garantizar u TI
st dando valor al negocio, mejora continua y transparencia par

dministrar la calidad
La mejora continua y medible de la calidad de los servicios prestados por TI
Enfocndose en
icin de un sistema de administracin de calidad (QMS, por sus siglas en ingls), el monitoreo continuo del
desempeo contra los objetivos predefinidos, y la implantacin de un programa de mejora continua de servicios de
TI
Se logra con
La definicin de estndares y prcticas de calidad
El monitoreo y revisin interna y externa del desempeo contra los estndares y prcticas de calidad
definidas
La mejorara del QMS de manera continua
Y se mide con
Porcentaje de Interesados (Stakeholders) satisfechos con la calidad (ponderado por
importancia)
Porcentaje de procesos de TI revisados de manera formal por aseguramiento de calidad de
modo peridico que satisfaga las metas y objetivos de calidad
Porcentaje de procesos que reciben revisiones de aseguramiento de calidad (QA)

P08. Administrar la Calidad.
alidad, el
e adq isicin. Esto se facilita por medio de
onando requerimientos, procedi
ntacin y mantenimiento
s de calidad. Los requerim
l siste de ra d ,
ocum ntar con indicadores cuantificables y alcanza jora continua se logra por edio d l const t n , correcc
de desviaciones y la comunicacin de los re
e
sados. La administracin calida e ci ra q e
a los interesados.

Planear y
Organizar

Adquirir e
Implementar
Entregar y Dar
Soporte
Monitorear y
Evaluar
C
A
La defin

Planear y Organizar
Evaluar y Administrar los Riesgos de TI
PO9
63

D
s Riesgos de TI.
C imiento a un marco de trabajo de administrac El marco d el comn y
a d trategias de mitigacin y riesgos re to p cia re m d
o to no planeado se debe ide ar. en p st gia
mitigaci los riesgos residuales a un resultad eva aci debe ser entendi
ara los Interesados (Stakeholders) y se debe expresar en trmi rmitirles alinear los riesgos a un nivel
ceptable de tolerancia.

valuar y administrar los riesgos de TI
Enfocndose en
La elaboracin de un marco de trabajo de administracin de riesgos el cual est integrado en los marcos
gerenciales de riesgo operacional, evaluacin de riesgos, mitigacin del riesgo y comunicacin de riesgos
residuales
Se logra con
La garanta de que la administracin de riesgos est incluida completamente en los procesos
administrativos, tanto interna como externamente, y se aplica de forma consistente
La realizacin de evaluaciones de riesgo
La recomendacin y comunicacin de planes de accin para remediar riesgos
Y se mide con
Porcentaje de objetivos crticos de TI cubiertos por la evaluacin de riesgos
Porcentaje de riesgos crticos de TI identificados con planes de accin elaborados
Porcentaje de planes de accin de administracin de riesgos aprobados para su implantacin

P09. Evaluar y Administrar lo
rear y dar manten in de riesgos. e trabajo documenta un niv
corda o de riesgos de TI, es siduales. Cualquier impac oten l sob las etas e la
rganizacin, causado por algn even ntificar, analizar y evalu Se deb ado tar e rate s de
n de riesgos para minimizar nivel aceptable. El
nos financieros, para pe
o de la lu n ble
p
a
Planear y
Organizar
Adquirir e
Implementar
Entregar y Dar
Soporte

Monitorear y
Evaluar
Con
E
Analizar y comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de negocio

Planear y Organizar
Administrar Proyectos
PO10
67

D
Establecer un marco de trabajo de administracin de programas y proyectos para la admin os proyectos de TI
e c orrecta asignacin de prioridades y la c na os. El
marco d incluir un plan maestro, asignacin de re e entrega aprobacin de los usuarios, u
e lidad, un p pruebas, revis e pruebas post an cin
d s izar la administracin de lo la entrega de valor para el negocio. Este
e e y de cancelacin ora la comun olucramiento del
n o r y la calidad de proyectos, y m za la contribuci n a los
p m

dministrar proyectos
La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados
Enfocndose en
Un programa y un enfoque de administracin de proyectos definidos, el cual se aplica a todos los proyectos de TI,
Se logra con
La definicin e implantacin de marcos de trabajo y enfoques de programas y de proyectos
La emisin de directrices de administracin para proyectos
La planeacin de proyectos para todos los proyectos incluidos en el portafolio de proyectos
Y se mide con
Porcentaje de proyectos que satisfacen las expectativas de los interesados (a tiempo, dentro
del presupuesto, y con satisfaccin de los requerimientos ponderados por importancia)
Porcentaje de proyectos con revisin post-implantacin
Porcentaje de proyectos que siguen estndares y prcticas de administracin de proyectos
P10. Administrar Proyectos.
istracin de todos l
stable idos. El marco de trabajo debe garantizar la c
e trabajo debe
oordi cin de todos los proyect
cursos, definicin d bles, n
nfoque de entrega por fases, aseguramiento de la ca lan formal de
s riesgos del proyecto y
de proyectos, mej
in d y -impl ta
espu de la instalacin para garant
nfoqu reduce el riesgo de costos inesperados
y de los usuarios finales, asegura el valo
icacin y el inv
egoci los entregables de los aximi
rogra as de inversin facilitados por TI.
Planear y
Organizar
Adquirir e
Implementar

Entregar y Dar
Soporte
Monitorear y
Evaluar
C
A
lo cual facilita la participacin de los interesados y el monitoreo de los riesgos y los avances de los proyectos

ADQUIRIR E IMPLEMENTAR
plicativo
AI3 Adquirir y mantener infraestructura tecnolgica
AI4 Facilitar la operacin y el uso
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios

A
D
Q
U
I
R
I
R

E

I
M
P
L
E
M
E
N
T
A
R

AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software a
Adquirir e Implementar
Identificar Soluciones Automatizadas
AI1

73

I1 Identificar Soluciones Automatizadas
a necesidad de una nueva aplicacin o funcin requiere de anlisis antes de la compra o desarrollo para garantizar que los
quisitos del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definicin de las necesidades,
ativas, realiza una revisin de la factibilidad tecnolgica y econmica, ejecuta un anlisis de riesgo y de
osto-beneficio y concluye con una decisin final de desarrollar o comprar. Todos estos pasos permiten a las organizaciones
inimizar el costo para Adquirir e Implementar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del
egocio.

Identificar soluciones automatizadas
Que satisface el requerimiento
Traducir los requerimientos funcionales y de control a un diseo efectivo y eficiente de soluciones automatizadas
Enfocndose en
La identificacin de soluciones tcnicamente factibles y rentables
Se logra con
La definicin de los requerimientos tcnicos y de negocio
Realizar estudios de factibilidad como se define en los estndares de desarrollo
Aprobar (o rechazar) los requerimientos y los resultados de los estudios de factibilidad
Y se mide con
Nmero de proyectos donde los beneficios establecidos no se lograron debido a suposiciones
de factibilidad incorrectas
Porcentaje de estudios de factibilidad autorizados por el dueo del proceso
Porcentaje de usuarios satisfechos con la funcionalidad entregada

A
L
re
considera las fuentes altern
c
m
n
Planear y
Organizar

Adquirir e
Implementar
Entregar y Dar
Soporte
Monitorear y
Evaluar
del negocio de TI para
Adquirir y Mantener Software Aplicativo
AI2
77

D

L disponibles de acuerdo con lo mientos del negocio. Est so cubre el diseo de las
a io troles aplicativos dad, y e a n
a o a izaciones l negocio de forma apropiada con las
aplicacio

dquirir y dar mantenimiento a software aplicativo
Construir las aplicaciones de acuerdo con los requerimientos del negocio y hacindolas a tiempo y a un costo razonable
Enfocndose en
Garantizar que exista un proceso de desarrollo oportuno y confiable
Se logra con
La traduccin de requerimientos de negocio a especificaciones de diseo
La adhesin a los estndares de desarrollo para todas las modificaciones
La separacin de las actividades de desarrollo, de pruebas y operativas
Y se mide con
Nmero de problemas en produccin por aplicacin, que causan tiempo perdido significativo
Porcentaje de usuarios satisfechos con la funcionalidad entregada

AI2 Adquirir y Mantener Software Aplicativo
as aplicaciones deben estar s requeri e proce
plicac nes, la inclusin apropiada de con y requerimientos de seguri
apoyar la operatividad de
l des rrollo y la configuraci en s de
cuerd los estndares. Esto permite a las organ
nes automatizadas correctas
Planear y
Organizar
Adquirir e
Implementar
Entregar y Dar
Soporte

Monitorear y
Evaluar
Con
A

Adquirir y Mantener Infraestructura Tecnolgica
AI3
81

D
olgica
L eben contar con procesos para adquiri entar y actualizar la infra ura tecnolgica. Esto requiere de
u oq r la as te as te olgi s co ven as y
la dispos Esto garantiza que exista un soporte tecnolgico continuo para las aplicaciones
d oc

rir y dar mantenimiento a la infraestructura tecnolgica
Adquirir y dar mantenimiento a una infraestructura integrada y estndar de TI
Enfocndose en
Proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la arquitectura definida de
TI y los estndares de tecnologa
Se logra con
El establecimiento de un plan de adquisicin de tecnologa que se alinea con el plan de
infraestructura tecnolgica
La planeacin de mantenimiento de la infraestructura
La implantacin de medidas de control interno, seguridad y auditabilidad
Y se mide con
El porcentaje de plataformas que no se alinean con la arquitectura de TI definida y los
estndares de tecnologa
El nmero de procesos de negocio crticos soportados por infraestructura obsoleta (o que
pronto lo ser)
El nmero de componentes de infraestructura que ya no se pueden soportar (o que ya no se
podrn en el futuro cercano)

AI3 Adquirir y Mantener Infraestructura Tecn
as organizaciones d r, Implem estruct
n enf ue planeado para adquirir, mantener y protege
icin del ambiente de desarrollo y pruebas.
infraestructura de acuerdo con l estra gi cn ca n id
el neg io.

Planea r y
Organi r za
Adquirir e
Implementar

Entregar y Dar
Soporte
Monitorear y
Evaluar
C
Adqui
Facilitar la Operacin y el Uso
AI4
85

DE .
. Este proceso requiere la generacin de documentacin y manuales
del negocio de TI para
Garantizar la satisfaccin de los usuarios finales mediante ofrecimientos de servicios y niveles de servicio, y de forma
transparente integrar las soluciones de aplicacin y tecnologa dentro de los procesos del negocio

Enfocndose en
Proporcionar manuales efectivos de usuario y de operacin y materiales de entrenamiento para transferir el
conocimiento necesario para la operacin y el uso exitosos del sistema.
Se logra con
El desarrollo y la disponibilidad de documentacin para transferir el conocimiento
Comunicacin y entrenamiento a usuarios y a la gerencia del negocio, al personal de apoyo y al
personal de operacin
La generacin de materiales de entrenamiento
Y se mide con
El nmero de aplicaciones en que los procedimientos de TI se integran en forma transparente
dentro de los procesos de negocio
El porcentaje de dueos de negocios satisfechos con el entrenamiento De aplicacin y los
materiales de apoyo.
El nmero de aplicaciones que cuentan con un adecuado entrenamiento de apoyo al usuario
y a la operacin

AI4 Facilitar la Operacin y el Uso
El conocimiento sobre los nuevos sistemas debe estar disponible
para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operacin correctos de las aplicaciones y la
infraestructura.

Planear y
Organizar

Adquirir e
Implementar

Entregar y Dar
Soporte

Monitorear y
Evaluar
Facilitar la operacin y el uso

Que satisface el requerimiento
Adquirir Recursos de TI
AI5
AI5 Adquirir Recursos de TI
Se deben suministrar recursos TI, incluyendo pers
los procedimientos de adquisicin, la seleccin
89

onas, hardware, software y servicios. Esto requiere de la definicin y ejecucin de
os de TI
Adquirir y mantener las habilidades de TI que respondan a la estrategia de entrega, en una infraestructura TI
integrada y estandarizada, y reducir el riesgo de adquisicin de TI
Se logra con
La obtencin de asesora profesional legal y contractual
La definicin de procedimientos y estndares de adquisicin
La adquisicin de hardware, software y servicios requeridos de acuerdo con los procedimientos
definidos
Y se mide con
El nmero de controversias en relacin con los contratos de adquisicin
La reduccin del costo de compra
El porcentaje de interesados clave satisfechos con los proveedores

de proveedores, el ajuste de arreglos contractuales y la adquisicin en s. El hacerlo
as garantiza que la organizacin tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.

Planear y
Organizar

Adquirir e
Implementar

Entregar y Dar
Soporte

Adquirir recurs
Monitorear y
Evaluar
Mejorar la rentabilidad de TI y su contribucin a la utilidad del negocio
Enfocndose en

Administrar Cambios
AI6
93

DE .
mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones
ientos,
mplantacin. Esto garantiza la reduccin de riesgos que impactan negativamente la estabilidad
dministrar cambios
Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la
repeticin de trabajos en la prestacin del servicio y en la solucin.
Enfocndose en
Controlar la evaluacin de impacto, autorizacin e implantacin de todos los cambios a la infraestructura de TI,
aplicaciones y soluciones tcnicas, minimizando errores que se deben a especificaciones incompletas de la
solicitud y detener la implantacin de cambios no autorizados
Se logra con
La definicin y comunicacin de los procedimientos de cambio, que incluyen cambios de emergencia
La evaluacin, la asignacin de prioridad y autorizacin de cambios
Seguimiento del estatus y reporte de los cambios
Y se mide con
El nmero de interrupciones o errores de datos provocados por especificaciones inexactas o
una evaluacin de impacto incompleta
La repeticin de aplicaciones o infraestructura debida a especificaciones de cambio
inadecuadas
El porcentaje de cambios que siguen procesos de control de cambio formales

AI6 Administrar Cambios
Todos los cambios, incluyendo el
dentro del ambiente de produccin, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedim
procesos, sistema y parmetros del servicio) se deben registrar, evaluar y autorizar previo a la implantacin y revisar contra los
resultados planeados despus de la i
o integridad del ambiente de produccin.

Planear y
Organizar
Adquirir e

Implementar

Entregar y Dar
Soporte

Monitorear y
Evaluar
A
Instalar y Acreditar Soluciones y Cambios
AI7
97

DE .
luciones y Cambios
z que su desarrollo se completa. Esto requiere pruebas adecuadas en un
en lnea
as y con los resultados.
Contar con sistemas nuevos o modificados que trabajen sin problemas importantes despus de la instalacin
Enfocndose en
Probar que las soluciones de aplicaciones e infraestructura son apropiadas para el propsito deseado y estn
libres de errores, y planear las liberaciones a produccin
Se logra con
El establecimiento de una metodologa de prueba
Realizar la planeacin de la liberacin (release)
Evaluar y aprobar los resultados de las pruebas por parte de la gerencia del negocio
Ejecutar revisiones posteriores a la implantacin
Y se mide con
Tiempo perdido de la aplicacin o problemas de datos provocados por pruebas inadecuadas
Porcentaje de sistemas que satisfacen los beneficios esperados, medidos en el proceso
posterior a la implantacin
Porcentaje de proyectos con plan de prueba documentado y aprobado

AI7 Instalar y Acreditar So
Los nuevos sistemas necesitan estar funcionales una ve
ambiente dedicado con datos de prueba relevantes, definir la transicin e instrucciones de migracin, planear la liberacin y la
transicin en s al ambiente de produccin, y revisar la post-implantacin. Esto garantiza que los sistemas operativos estn
con las expectativas convenid

Planear y
Organizar

Adquirir e
Implementar

Entregar y Dar
Soporte

Monitorear y
Evaluar
Instalar y acreditar soluciones y cambios

Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS7 Educar y entrenar a los usuarios
DS10 Administrar los problemas
DS11 Administrar los datos
E
N
T
R
E
G
A
R

Y

D
A
R

S
O
P
O
R
T
E

ENTREGAR Y DAR SOPORTE
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS3 Administrar el desempeo y la capacidad
DS4
DS6 Identificar y asignar costos
DS8 Administrar la mesa de servicio y los incidentes
DS9 Administrar la configuracin
DS12 Administrar el ambiente fsico
DS13 Administrar las operaciones
Entregar y Dar Soporte
Definir y Administrar los Niveles de Servicio
DS1
101

DE O.
io
incluye el
n oportuna a los Interesados (Stakeholders) sobre el cumplimiento de los niveles de servicio. Este proceso
nto
ades
veles
te acordados.
El nmero de servicios entregados que no estn en el catlogo
El nmero de reuniones formales de revisin del Acuerdo de Niveles de Servicio (SLA) con las
personas de negocio por ao

SCRIPCIN DEL PROCES
DS1 Definir y Administrar los Niveles de Servic
Contar con una definicin documentada y un acuerdo de servicios de TI y de niveles de servicio, hace posible una comunicacin
efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso tambin
monitoreo y la notificaci
permite la alineacin entre los servicios de TI y los requerimientos de negocio relacionados.

Planear y
Organizar

Adquirir e
Implementar

Entregar y
Dar Soporte
Definir y manejar niveles de servicio
Monitorear y
Evaluar
Asegurar la alineacin de los servicios claves de TI con la estrategia del negocio
Enfocndose en
La identificacin de requerimientos de servicio, el acuerdo de niveles de servicio y el monitoreo del cumplimie
de los niveles de servicio
Se logra con
La formalizacin de acuerdos internos y externos en lnea con los requerimientos y las capacid
de entrega
La notificacin del cumplimiento de los niveles de servicio (reportes y reuniones)
La identificacin y comunicacin de requerimientos de servicios actualizados y nuevos para
planeacin estratgica
Y se mide con
El porcentaje de Interesados satisfechos de que la entrega del servicio cumple con los ni
previamen
Administrar los Servicios de Terceros
DS2
105

D
c e asegurar que los servicios provistos por ter umplan con los requeri os del negocio, requiere de un
es ces a clara definicin de roles, ades y
ct terceros, as como con la revisin y monitoreo de la efectividad y cumplimiento de dichos
rd e los servicios de te l s qu
e d a adecuada.
dministrar servicios de terceros
Brindar servicios satisfactorios de terceros con transparencia acerca de los beneficios, riesgos y costos
Enfocndose en
lecimiento de relaciones y responsabilidades bilaterales con proveedores calificados de servicios
tercerizados y el monitoreo de la prestacin del servicio para verificar y asegurar la adherencia a los convenios
Se logra con
La identificacin y categorizacin de los servicios del proveedor
La identificacin y mitigacin de riesgos del proveedor
El monitoreo y la medicin del desempeo del proveedor
Y se mide con
El nmero de quejas de los usuarios debidas a los servicios contratados
El porcentaje de los principales proveedores que cumplen claramente los requerimientos
definidos y los niveles de servicio
El porcentaje de los principales proveedores sujetos a monitoreo

DS2 Administrar los Servicios de Terceros
La ne esidad d ceros c mient
proc o efectivo de administracin de terceros. Este pro o se logra por medio de un responsabilid
expe ativas en los acuerdos con los
acue os. Una efectiva administracin d rceros minimiza los riesgos de negocio asociados con proveedore e
no s esempean de form

Pla r y
Organizar
nea

Adquirir e
Implementar

Entregar y
Dar Soporte
Monitorear y
Evaluar
C
A
El estab
Administrar el Desempeo y la Capacidad
DS3
109

D
dad
c e administrar el desempeo y la capacidad d ecursos de TI requiere de un proceso para revisar peridicamente el
m los recursos de TI. Este o d ecesidades futur s, basadas en los
r ajo, almacenamiento y cont brinda la de
m nera conti
trar el desempeo y la capacidad
Optimizar el desempeo de la infraestructura, los recursos y las capacidades de TI en respuesta a las necesidades del
Enfocndose en
Cumplir con los requerimientos de tiempo de respuesta de los acuerdos de niveles de servicio, minimizando el
tiempo sin servicio y haciendo mejoras continuas de desempeo y capacidad de TI a travs del monitoreo y la
medicin.
Se logra con
La planeacin y la entrega de capacidad y disponibilidad del sistema
Monitoreando y reportando el desempeo del sistema
Modelando y pronosticando el desempeo del sistema.
Y se mide con
Nmero de horas perdidas por usuario por mes, debidas a la falta de planeacin de la
capacidad
Porcentaje de picos donde se excede la meta de utilizacin
Porcentaje de SLAs de tiempo de respuesta que no se satisfacen

DS3 Administrar el Desempeo y la Capaci
La ne esidad d e los r
dese peo actual y la capacidad de proceso incluye el pronstic
ingencias
e las n a
reque imientos de carga de trab . Este proceso
tn disponibles de ma
seguridad de que los recursos
nua. infor acin que soportan los requerimientos del negocio es

Planear y

Organizar
Adquirir e
Implementar
Entregar y
Dar Soporte
Monitorear y
Evaluar
C
Adminis
negocio
Garantizar la Continuidad del Servicio
DS4
113

D
c e brindar continuidad en los servicios de TI r desarrollar, mantener y probar planes de continuidad de TI,
ace entrenar d n a n proceso ef vo de
tinu abilidad y el impa res en lo vic o nc n
es
arantizar la continuidad del servicio
Asegurar el mnimo impacto al negocio en caso de una interrupcin de servicios de TI
Enfocndose en
El desarrollo de resistencia (resilience) en las soluciones automatizadas y desarrollando, manteniendo y probando
los planes de continuidad de TI
Se logra con
Desarrollando y manteniendo (mejorando) los planes de contingencia de TI
Con entrenamiento y pruebas de los planes de contingencia de TI
Guardando copias de los planes de contingencia y de los datos fuera de las instalaciones
Y se mide con
Nmero de horas perdidas por usuario por mes, debidas a interrupciones no planeadas
Nmero de procesos crticos de negocio que dependen de TI, que no estn cubiertos por un
plan de continuidad

DS4 Garantizar la Continuidad del Servicio
La ne esidad d equiere
alm nar respaldos fuera de las instalaciones y e forma peridica sobre los planes de co tinuid d
TI, s
. U ecti
con idad de servicios, minimiza la prob
ves del negocio.
cto de interrupciones mayo s ser ios de bre fu io es y
proc os cla
Pl near a y
Organizar

Adquirir e
Implementar
Entregar y
Dar Soporte

Monitorear y
Evaluar
C
G
Garantizar la Seguridad de los Sistemas
DS5
117

D
s
c e mantener la integridad de la informacin y teger los activos de TI, r re de un proceso de administracin de
gu l establecimiento y man seguridad, pol
nd e la iz onitoreos de seguridad y pruebas
di las d identificados. Una efectiva
admini seguridad protege todos los activos de pacto en g sado por vulnerabilidades o
en ridad.
Garantizar la seguridad de los sistemas
Mantener la integridad de la informacin y de la infraestructura de procesamiento y minimizar el impacto de las
vulnerabilidades e incidentes de seguridad
Enfocndose en
La definicin de polticas, procedimientos y estndares de seguridad de TI y en el monitoreo, deteccin, reporte y
in de las vulnerabilidades e incidentes de seguridad
Se logra con
El entendimiento de los requerimientos, vulnerabilidades y amenazas de seguridad.
La administracin de identidades y autorizaciones de los usuarios de forma estandarizada.
Probando la seguridad de forma regular
Y se mide con
El nmero de incidentes que daan la reputacin con el pblico
El nmero de sistemas donde no se cumplen los requerimientos de seguridad
El nmero de de violaciones en la segregacin de tareas

DS5 Garantizar la Seguridad de los Sistema
La ne esidad d de pro equie
la se ridad. Este proceso incluye e tenimiento de roles y responsabilidades de ticas,
est ares y procedimientos de TI. La administracin d seguridad tambin incluye real
debilidades o incidentes de segurida
ar m
peri cas as como realizar acciones correctivas sobre
stracin de la TI para minimizar el im el ne ocio cau
incid tes de segu

Planear y
Organizar
Adquirir e
Implementar
Entregar y
Dar Soporte
Monitorear y
Evaluar
C
resoluc
Identificar y Asignar Costos
DS6
121

D
c e un sistema justo y equitativo para asignar costos de TI al negocio, requiere de un icin precisa y un acuerdo
los Es pe d un ste a p ra
ura costos de TI a los usuarios de c pe it negoci
isio io
entificar y asignar costos
Enfocndose en
el registro completo y preciso de los costos de TI, un sistema equitativo para asignacin acordado con los usuarios
de negocio, y un sistema para reportar oportunamente el uso de TI y los costos asignados
Se logra con
La alineacin de cargos con la calidad y cantidad de los servicios brindados
La construccin y aceptacin de un modelo de costos completo
La aplicacin de cargos con base en la poltica acordada
Y se mide con
Porcentaje de facturas de servicios de TI aceptadas/pagadas por la gerencia del negocio.
Porcentaje de variacin entre los presupuestos, pronsticos y costos actuales.
Porcentaje de costos totales de TI que son distribuidos de acuerdo con los modelos
acordados

DS6 Identificar y Asignar Costos
La ne esidad d a med
con usuarios del negocio sobre una asignacin justa. te proceso incluye la construccin y o
los servicios. Un sistema equitativo de
racin e si m a
capt r, distribuir y reportar ostos rm e al o tomar
dec nes ms informadas respectos al uso de los servic s de TI.

Pla r nea y

Organizar
Adquirir e
Implementar

Entregar y
Dar Soporte
Monitorear y
Evaluar
C
Id
Transparentar y entender los costos de TI y mejorar la rentabilidad a travs del uso bien informado de los servicios de TI
Educar y Entrenar a los Usuarios
DS7
125

D
rios
cin efectiva de todos los usuarios de sistem TI, incluyendo aquellos dentro , se requieren identificar las
si po de usuarios. sidade n
c o un entrenam resulta o de
n de la tecnologa a disminuir los errores, incrementando la productividad y el cumplimiento
e los controles clave tales como las medidas de seguridad de los usuarios.
El uso efectivo y eficiente de soluciones y aplicaciones tecnolgicas y el cumplimiento del usuario con las polticas y
procedimientos
Enfocndose en
Un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI, la ejecucin de una efectiva
estrategia de entrenamiento y la medicin de resultados
Se logra con
Establecer un programa de entrenamiento
Organizar el entrenamiento
Impartir el entrenamiento
Monitorear y reportar la efectividad del entrenamiento
Y se mide con
Nmero de llamadas de soporte debido a problemas de entrenamiento
Porcentaje de satisfaccin de los Interesados con el entrenamiento recibido
Lapso de tiempo entre la identificacin de la necesidad de entrenamiento y la imparticin del
mismo

DS7 Educar y Entrenar a los Usua
Para una educa as de de TI
nece dades de entrenamiento de cada gru
a llevar a cab
Adems de identificar las nece
nto efectivo y para medir los
s, este proceso incluye la definici y
ejecu in de una estrategia par
rementa el uso efectivo
ie
l
dos. Un programa efectiv
entre amiento inc
d

Planear y
Organizar

Adquirir e
Implementar

Entregar y
Dar Soporte
Con
Monitorear y
Evaluar
Educar y entrenar a los usuarios
Administrar la Mesa de Servicio y los Incidentes
DS8
129

D
los Incidentes.
n s consultas y mas de los usuarios de TI, requi una mesa de servicio bien
a ci uye la creaci de una funcin de mesa
de serv isi iz y reso . os bene os el negocio
uye o a de consultas. Adems, el negocio puede identificar la causa
raz (ta arios) a travs de un proceso de reporte efectivo.
dministrar la mesa de servicio y los incidentes
Permitir el efectivo uso de los sistemas de TI garantizando la resolucin y el anlisis de las consultas de los usuarios finales,
Enfocndose en
Una funcin profesional de mesa de servicio, con tiempo de respuesta rpido, procedimientos de escalamiento
claros y anlisis de tendencias y de resolucin
Se logra con
Instalacin y operacin de un servicio de una mesa de servicios
Monitoreo y reporte de tendencias
Definicin de procedimientos y de criterios de escalamiento claros
Y se mide con
Satisfaccin del usuario con el soporte de primera lnea
Porcentaje de incidentes resueltos dentro de un lapso de tiempo aceptable / acordado.
ndice de abandono de llamadas

DS8 Administrar la Mesa de Servicio y
Respo der de manera oportuna y efectiva a la proble ere de
dise da y bien ejecutada, y de un proceso de administra
icio con registro, escalamiento de incidentes, anl
n de incidentes. Este proceso incl n
s de tendencia, anlisis causa-ra
lucin rpid
lucin L fici d
incl n el incremento en la productividad gracias a la res
les como un pobre entrenamiento a los usu

Planear y
Organizar

Adquirir e
Implementar

Entregar y
Dar Soporte
Monitorear y
Evaluar
C
A
incidentes y preguntas
Administrar la Configuracin
DS9
133

D
t tegridad de las configuraciones de hardware y software requiere establecer y mantener un repositorio de
figu la o a cial, el esta lec en o
orm auditora de la informacin de la n de i rio e configuracin conforme
ec acin de la configuracin ad, m iza roblemas de pro ccin y
elv mas ms rpido.
rar la configuracin
Optimizar la infraestructura, recursos y capacidades de TI, y llevar registro de los activos de TI.
Enfocndose en
itorio completo y preciso de atributos de la configuracin de los activos y de lneas
base y compararlos contra la configuracin actual

establecimiento de un repositorio central de todos los n
identificaci n y su
de la in n
Y se mide con
El nmero de problemas de cumplimiento del negocio debido a inadecuada configuracin de
los activos.
El nmero de desviaciones identificadas entre el repositorio de configuracin y la
configuracin actual de los activos.
Porcentaje de licencias compradas y no registradas en el repositorio

DS9 Administrar la Configuracin
Garan izar la in
con raciones completo y preciso. Este proceso incluye recoleccin de informacin de la c nfigur
s
cin ini b imi t
de n as, la verificacin y configuracin y la actualizaci l repo to d
se n esite. Una efectiva administr facilita una mayor disponibilid inim los p du
resu e los proble

Planear y
Organizar

Adquirir e

Implementar
Entregar y
Dar Soporte
Monitorear y
Evaluar
C
Administ
Establecer y mantener un repos
Se logra con
El
La

elementos de la configuraci
mantenimiento n de los elementos de configuraci
tegridad de los datos de configuraci Revisin
Administracin de Problemas
DS10
137

D
s
ministracin de problemas requiere la ide ificacin de problem l anlisis de las causas desde su
ist uy n e m daci
a la egistros de problem las ac re va efecti proceso
dm les de ser la conv ncia y satisfaccin del usuario
Garantizar la satisfaccin de los usuarios finales con ofrecimientos de servicios y niveles de servicio, reducir el retrabajo y
los defectos en la prestacin de los servicios y de las soluciones
Enfocndose en
Registrar, rastrear y resolver problemas operativos; investigacin de las causas raz de todos los problemas
relevantes y definir soluciones para los problemas operativos identificados
Se logra con
Realizando un anlisis de causas raz de los problemas reportados
Analizando las tendencias
Tomando propiedad de los problemas y con una resolucin de problemas progresiva.
Y se mide con
Nmero de problemas recurrentes con impacto en el negocio
Porcentaje de problemas resueltos dentro del perodo de tiempo solicitado
Frecuencia de los reportes o actualizaciones sobre un problema en curso, con base en la
severidad del problema

DS10 Administracin de Problema
Una efectiva ad ntificacin y clas as, e
raz, y la resolucin de problemas. El proceso de admin racin de problemas tambin incl e la identificaci de r co en ones
par mejora, el mantenimiento de r as y la revisin del estatus de
vicio, reduce costos y mejora
ciones cor
enie
cti s. Un vo
de a inistracin de problemas mejora los nive

Planear y
Organizar

Adquirir e
Implementar

Entregar y
Dar Soporte
Con
Monitorear y
Evaluar
Administracin de problemas
Administracin de Datos
DS11
DESCRIPCIN DEL PROCESO
DS11 Administracin de Datos
Una e
141

f ministracin de datos requiere de la identific de requerimientos de datos. El proceso de administracin de
rm e el establecimiento de procedim istrar la era de medios, el resp la
pe propiada de medios de da yu a ga antiz la c lida
acin del negocio.
dministracin de datos
de la informacin y garantizar la disponibilidad de la informacin cuando se requiera.
Enfocndose en
Mantener la integridad, exactitud, disponibilidad y proteccin de los datos
Se logra con
Respaldando los datos y probando la restauracin
Administrando almacenamiento de datos en sitio y fuera de sitio.
Desechando de manera segura los datos y el equipo
Y se mide con
Satisfaccin del usuario con la disponibilidad de los datos.
Porcentaje de restauraciones exitosas de datos.
Nmero de incidentes en los que tuvo que recuperarse datos sensitivos despus que los
medios haban sido desechado

ectiva ad acin
info acin tambin incluy ientos efectivos para admin libr aldo y
recu racin de datos y la eliminacin a
dad de la inform
. Una efectiva administracin tos a da r ar a d,
oportunidad y disponibili

Planear y Organizar

Adquirir e
Implementar

Entregar y
Dar Soporte
Monitorear y
Evaluar
Con
A
Optimizar el uso
s

Administracin del Ambiente Fsico
DS12
145

D
nte Fsico
t el equipo de cmputo y del personal, requie stalaciones bien diseadas y bi ministradas. El proceso de
ini re ), sele in e
ala s ini el cc o f co. a
ini ente fsico reduce las interrup cio ocasionadas por daos al equipo de cmputo y al
on
dministracin del ambiente fsico
requerimiento del negocio de TI para
Proteger los activos de cmputo y la informacin del negocio minimizando el riesgo de una interrupcin del servicio
Enfocndose en
Proporcionar y mantener un ambiente fsico adecuado para proteger los activos de TI contra acceso, dao o robo
Se logra con
Implementando medidas de seguridad fsicas.
Seleccionando y administrando las instalaciones
Y se mide con
Tiempo sin servicio ocasionado por incidentes relacionados con el ambiente fsico
Nmero de incidentes ocasionados por fallas o brechas de seguridad fsica
Frecuencia de revisin y evaluacin de riesgos fsicos.

DS12 Administracin del Ambie
La pro eccin d re de in en ad
adm strar el ambiente fsico incluye la definicin de los
ciones apropiadas y el diseo de procesos efectivo
n efectiva del ambi
querimientos fsicos del centro de dato
para monitorear factores ambientales y
ciones del nego
s (site la cc d
inst adm strar a es si L
adm straci
pers al.

Planear y
Organizar
Adquirir e
Implementar

Entregar y
Dar Soporte
Monitorear y
Evaluar
Con
A
Que satisface el

Administracin de Operaciones
DS13
149

D
nto de informacin completo y apropiado req e una efectiva administracin del procesamiento de datos y del
ten ceso incluye la defini de o i p i racin
tiv ado, proteccin de dato de salida sensitivos, monitoreo de infraestructura y mantenimiento
stracin de operaciones ayuda a mantener la integridad de los datos y reduce los

Adm
Mantener la integridad de los datos y garantizar que la infraestructura de TI puede resistir y recuperase de errores y fallas
Enfocndose en
Cumplir con los niveles operativos de servicio para procesamiento de datos programado, proteccin de datos de
salida sensitivos y monitoreo y mantenimiento de la infraestructura
Se logra con
Operando el ambiente de TI en lnea con los niveles de servicio acordados y con las instrucciones
definidas
Manteniendo la infraestructura de TI
Y se mide con
Nmero de niveles de servicio afectados a causa de incidentes en la operacin.
Horas no planeadas de tiempo sin servicio a causa de incidentes en la operacin.
Porcentaje de activos de hardware incluidos en los programas de mantenimiento.

DS13 Administracin de Operaciones
Un procesamie uiere d
man imiento del hardware. Este pro cin de polticas y procedimientos perac n ara una admin st
efec a del procesamiento program
ardware. Una efectiva admini
s
preventivo de h
retrasos en el trabajo y los costos operativos de TI.

Planear y
Organizar

Adquirir e
Implementar
Entregar y
Dar Soporte
Monitorear y
C
Evaluar
inistrar operaciones

M
O
N
I
T
O
R
E
A
R

Y

E
V
A
L
U
A
R

MONITOREAR Y EVALUAR
ME1 Monitorear y Evaluar el Desempeo de TI
ME2 Monitorear y Evaluar el Control Interno
ME3 Garantizar el Cumplimiento Regulatorio
ME4 Proporcionar Gobierno de TI

Monitorear y Evaluar
Monitorear y Evaluar el Desempeo de TI
ME1

153

E1 Monitorear y Evaluar el Desempeo de TI
na efectiva administracin del desempeo de TI requiere un proceso de monitoreo. El proceso incluye la definicin de indicadores de
esempeo relevantes, reportes sistemticos y oportunos de desempeo y tomar medidas expeditas cuando existan desviaciones. El
toreo se requiere para garantizar que las cosas correctas se hagan y que estn de acuerdo con el conjunto de direcciones y
olticas.

Transparencia y entendimiento de los costos, beneficios, estrategia, polticas y niveles de servicio de TI de acuerdo con los
requisitos de gobierno
Enfocndose en
Monitorear y reportar las mtricas del proceso e identificar e implementar acciones de mejoramiento del
desempeo
Se logra con
Cotejar y traducir los reportes de desempeo de proceso a reportes gerenciales
Comparar el desempeo contra las metas acordadas e iniciar las medidas correctivas necesarias
Y se mide con
Satisfaccin de la gerencia y de la entidad de gobierno con los reportes de desempeo
Nmero de acciones de mejoramiento impulsadas por las actividades de monitoreo
Porcentaje de procesos crticos monitoreados

M
U
d
moni
p
Planear y
Organizar

Adquirir e
Implementar
Entregar y Dar
Soporte
Monitorear y
Evaluar
Monitorear y evaluar el desempeo de TI

Monitorear y Evaluar el Control Interno
ME2

157

D
e ma de control interno efectivo para TI r n proceso bien definido de monitoreo. Este proceso incluye el
tore iones de control, resulta pa e s. U
cio rno es proporc r seguridad respecto a las operaciones eficientes y efectivas y el
plimi licables.

onitorear y evaluar el control interno
Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI
Enfocndose en
toreo de los procesos de control interno para las actividades relacionadas con TI e identificar las acciones
to
Se logra con
La definicin de un sistema de controles internos integrados en el marco de trabajo de los procesos
de TI
Monitorear y reportar la efectividad de los controles internos sobre TI
Reportar las excepciones de control a la gerencia para tomar acciones
Y se mide con
Nmero de brechas importantes del control interno
Nmero de iniciativas para la mejora del control
Nmero y cubrimiento de auto evaluaciones de control

ME2 Monitorear y Evaluar el Control Interno
Establec r un progra equiere u
moni o y el reporte de las excepc dos de las auto-evaluaciones y revisione
iona
s por rte d tercero n
benefi clave del monitoreo del control inte
cum ento de las leyes y regulaciones ap
Pl near y
Or zar
a
gani

Adquirir e
Implementar
Entregar y Dar
Soporte
Monitorear y
Evaluar
Con
M
El moni
de mejoramien

Garantizar el Cumplimiento con Requerimientos Externos
ME3

161

D
mientos Externos
fectiva del cumplimiento regulatorio requi tablecimiento de un proceso independiente de revisin para
ti egulaciones. Este d t
n tndares profesionales, planeacin, desempeo del trabajo de auditora y reportes y
seguimiento a las actividades de auditora. El propsito de este proceso es proporcionar un aseguramiento positivo relativo al
de las leyes y regulaciones.

arantizar el cumplimiento regulatorio
requerimiento del negocio de TI para
Cumplir las leyes y regulaciones
Enfocndose en
La identificacin de todas las leyes y regulaciones aplicables y el nivel correspondiente de cumplimiento de TI y la
optimizacin de los procesos de TI para reducir el riesgo de no cumplimiento
Se logra con
La identificacin de los requisitos legales y regulatorios relacionados con TI
La evaluacin del impacto de los requisitos regulatorios
El monitoreo y reporte del cumplimiento de los requisitos regulatorios
Y se mide con
El costo del no cumplimiento de TI, incluyendo arreglos y multas
Tiempo promedio de demora entre la identificacin de los problemas externos de
cumplimiento y su resolucin
Frecuencia de revisiones de cumplimiento

ME3 Garantizar el Cumplimiento con Requeri
Una supervisin e ere del es
garan zar el cumplimiento de las leyes y r proceso incluye la definicin de un declaracin e audi ora,
indepe dencia de los auditores, tica y es
plimiento de TI cum
Planear y
Organizar

Adquirir e
Implementar

Entregar y Dar
Soporte

Monitorear y
Evaluar
Con
G
Que satisface el

Proporcionar Gobierno de TI
ME4

165

D
de un marco de trabajo de gobierno efectivo, incluye la definicin de estructuras, procesos, liderazgo, roles y
pon que I estn alin s y ue d con
te s empresariales.

roporcionar gobierno de TI
La integracin de un gobierno de TI con objetivos de gobierno corporativo y el cumplimiento con las leyes y regulaciones
Enfocndose en
oracin de informes para el consejo directivo sobre la estrategia, el desempeo y los riesgos de TI y
er a los requerimientos de gobierno de acuerdo a las directrices del consejo directivo
Se logra con
El establecimiento de un marco de trabajo para el gobierno de TI, integrado al gobierno corporativo
La obtencin de aseguramiento independientes sobre el estatus del gobierno de TI
Y se mide con
La frecuencia de informes del consejo directivo sobre TI a los interesados (incluyendo el nivel
de madurez)
La frecuencia de los reportes de TI hacia el consejo directivo (incluyendo el nivel de madurez)
Frecuencia de revisiones independientes del cumplimiento de TI

ME4 Proporcionar Gobierno de TI
El establecimiento
res sabilidades organizacionales para garantizar as las inversiones empresariales en T eada de ac r o las
estra gias y objetivo
Planea r y
Organizar

Adquirir e
Implementar
Entregar y Dar
Soporte

Monitorear y
Evaluar
Con
P
La elab
respond

era tabla proporciona un mapeo inverso que muestra para cada proceso de TI, las metas de
son soportadas.
Las tablas ayudan a demostrar el alcance de COBIT y la relacin general de negocio entre COBIT y los
ncia en
s de T ara da
, por lo daptars resa determinada.
iga hac sados p la
las in contienen una indicacin de los criterios de informacin ms
portantes soportados por e

APNDICE I - TABLA DE ENLACES ENTRE METAS Y
PROCEDIMIENTOS.
Este apndice brinda una visin global de cmo se relacionan las metas genricas del negocio con las
metas de TI con los procesos de TI y con los criterios de informacin. Se proporcionan tres tablas:
1. La primera tabla muestra las equivalencias de las metas del negocio, de acuerdo al balanced
scorecard, con las metas de TI y con los criterios de informacin
1
. Esto ayuda a mostrar, para una
meta genrica de negocios determinada, las metas de TI que por lo general dan soporte a esta
meta, y los criterios de informacin de COBIT que se relacionan con la meta del negocio.
2. La segunda tabla muestra las equivalencias de las metas de TI con los procesos de TI de COBIT, as
como los criterios de informacin sobre los cuales se basa la meta de TI
2
.
3. La terc
TI que
impulsores del negocio, permitiendo
por medio de las meta
en metas orgnicas y
as establecer la equivale
I, y los procesos de TI requeridos p
tre las metas tpicas de negocio,
rles soporte. Las tablas se basan
e a la emp tanto, se deben usar como gua y a
ia los criterios de informacin u
tamb
Para proporcionar una l
3 edicin de COBIT, las tab
im
ara los requisitos de negocio de
l negocio y por las metas de TI.

Notas:
1
Los criterios de informacin contenidos en la grfica de metas de negocio s criterios
para las metas de TI relacionadas y en una evaluacin subjetiva de aquellos q a meta del
negocio. No se hizo el intento para indicar si son primarios o secundarios. Esto tivos y los usuarios
pueden seguir un proceso similar al evaluar sus propias metas de negocio
2
Las referencias primarias y secundarias de los criterios de informacin en la grfica de metas de TI se basan en un
agregado de los criterios para cada proceso de TI y en una evaluacin subjetiva de qu es primario y qu es secundario
para la meta de TI., debido a que algunos procesos tienen mayor impacto en la meta de TI que otros. Estos son tan solo
indicativos y los usuarios pueden seguir un proceso similar al evaluar sus propias metas de TI
A
P
N
D
I
C
E

I

M
E
T
A
S

AP
ABLA DE ENLACES ENTRE METAS Y
PROCEDI MI ENTOS.
NDICE I
T
e basan en un agregado de los
ue son ms relevantes para l
s son tan solo indica
APNDICE I
IT GOVERNANCE INSTITUTE

169

A
p
e
n
d
i
c
e

I

T
a
b
l
a
s

d
e

E
n
l
a
c
e

E
n
t
r
e

M
e
o
c
e
s
o
s

t
a
s

y

P
r
COBIT 4.1

170

Caso prctico: Gestin de Incidencias

Curso de Introduccin a la Auditora de Procesos de Sistemas de Informacin. Pg 1 de 18

Carctersticas de un proceso. Ejercicio.

A partir del Modelo de Procesos Genrico identificar sus elementos
en el documento de definicin del Proceso de Gestin de Incidencias
de la empresa Infolabs

Gestor Gestor Gestor



Tabla de Contenidos

1. Proceso de Gestin de Incidencias ........................................................................................................................................................................................ 3
1.1. Definicin ....................................................................................................................................................................................................................................... 3
1.2. Objetivos. Alcance ....................................................................................................................................................................................................................... 3
1.3. Responsabilidades del proceso de Gestin de Incidencias ................................................................................................................................................. 4
1.4. Desencadenantes, entradas y salidas del proceso ............................................................................................................................................................... 4
2. Descripcin del proceso .......................................................................................................................................................................................................... 5
2.1. Relaciones con otros procesos ................................................................................................................................................................................................... 5
2.2. Actividades y procedimientos del Proceso ............................................................................................................................................................................. 5
2.3. Control de Calidad del Proceso de Gestin de Incidencias .............................................................................................................................................. 10
2.4. Indicadores .................................................................................................................................................................................................................................. 11
3. Roles y Responsabilidades..................................................................................................................................................................................................... 12
3.1. Responsable del Proceso de Gestin de Incidencias .......................................................................................................................................................... 13
3.2. Gestor de Incidencias ................................................................................................................................................................................................................ 13
3.3. Coordinador de Incidencias .................................................................................................................................................................................................... 14
3.4. Agentes de Incidencias ............................................................................................................................................................................................................. 14
3.5. Especialistas de Incidencias ..................................................................................................................................................................................................... 15
3.6. Gestor de Escalado .................................................................................................................................................................................................................... 15
3.7. Matriz RACI ................................................................................................................................................................................................................................... 16
4. Anexos ..................................................................................................................................................................................................................................... 18
4.1. Glosario de Trminos .................................................................................................................................................................................................................. 18


1. Proceso de Gestin de Incidencias
1.1. Definicin
proceso reactivo de soporte que se encarga de resolver de forma efectiva las incidencias reportadas por los usuarios y las incidencias de infraestructura detectadas, con el
foco principal de restablecer la operacin normal del servicio con la mxima celeridad posible, minimizando el impacto y de acuerdo con las necesidades de los clientes.
Se denomina incidencia a cualquier evento que no forma parte de la operativa normal de un servicio que provoca, o puede provocar, la interrupcin, el mal funcionamiento
o la degradacin en la calidad del servicio, aunque no sea apreciado por el usuario final
1.2. Objetivos. Alcance
Los objetivos del proceso de Gestin de Incidencias son:
Gestionar el ciclo de vida de la incidencias
Restablecer la operacin normal del servicio lo antes posible
Minimizar el impacto negativo de incidencias en la operacin de negocio
Asegurar la calidad y disponibilidad de servicio de acuerdo con los ANSs.
Mantener la comunicacin entre la organizacin de TI y sus clientes acerca del
estado de una incidencia sobre un servicio
Proporcionar informacin de gestin
En el siguiente cuadro se reflejan las actividades, a nivel general, que forman parte del alcance del proceso de GI y las que explcitamente quedan fuera del alcance:
Alcance
Deteccin y registro de incidencias.
Clasificacin y soporte inicial a los usuarios sobre la incidencia
Investigacin y diagnosis de incidencias
Resolucin de incidencias y restauracin del servicio a su operacin normal
Cierre de la incidencia y comunicacin al usuario.
Fuera del alcance
Supervisin de eventos (incluida la correlacin)
Una solicitud para un nuevo servicio o un servicio adicional
Incluir siempre un anlisis de la causa raz
Incluir siempre una solucin permanente. Una solucin temporal puede ser
suficiente.
El alcance del proceso de Gestin de Incidencias se puede definir bajo los siguientes conceptos:
(1) Tipo de elementos de entrada a Gestin de Incidencias. Los elementos de entrada que se contemplan en el proceso de Gestin de Incidencias de InfoLabs son:
Incidencias, Peticin, Consulta y Queja.
Incidencia: Cualquier evento que implique el mal funcionamiento o degradacin del servicio, o pueda causarlo en breve, aunque no sea apreciado por el Cliente.
Dentro del proceso de Gestin de Incidencias existir un Subproceso que contemplar los siguientes elementos de entrada:
o Peticin: Solicitudes de servicio que pueda realizar el usuario y que debern estar incluidas en un catlogo.
o Consulta: Solicitud de informacin tcnica o funcional de servicios.
o Queja: Indicaciones del incorrecto cumplimiento o insatisfaccin del usuario en el tratamiento/resolucin de una llamada de servicio.
(2) Entornos a los que aplican las incidencias. El mbito de la gestin de incidencias se circunscribe al mbito de la Gerencia de Produccin
(3) Componentes afectados: sern los que se encuentren registrados en la CMDB de dicha gerencia
Quedan fuera del alcance del proceso de GI las peticiones de nuevos servicios (Proceso de) y la gestin de problemas (Proceso de Gestin de Problemas).



1.3. Responsabilidades del proceso de Gestin de Incidencias
A continuacin se describen las responsabilidades del proceso de Gestin de Incidencias en el mbito de Infolabs:
El proceso Gestin de incidencias registra, prioriza y resuelve las incidencias que se producen en la infraestructura y servicios de forma que el impacto en los Acuerdos de
Nivel de Servicio con los clientes sea el menor posible
Las incidencias que no puedan ser resueltas inmediatamente por operacin se pueden asignar a grupos especializados. Se deber establecer una solucin definitiva o
temporal lo antes posible para restaurar el servicio a los usuarios con el mnimo trastorno para su trabajo. Una vez resuelta la incidencia y restaurado el servicio acordado, se
cierra la incidencia.
Para permitir que cualquier miembro de operaciones proporcione al usuario un informe de progreso actualizado, se debe mantener un registro de la incidencia durante
todo el ciclo de la incidencia y un historial auditable del progreso de la incidencia.
Por gestionar las incidencias se entiende:
Deteccin y registro de incidencias
Clasificacin de las incidencias y soporte inicial
Investigacin y diagnstico
Resolucin y restauracin
Cierre de las incidencias
Comunicacin y Control de las incidencias
1.4. Desencadenantes, entradas y salidas del proceso
Los desencadenantes del proceso de Gestin de Incidencias pueden ser:
Humano: Solicitud de resolucin de incidencia, consulta, queja o reclamacin. Llegan a travs de una llamada telefnica, correo electrnico, registro web o nota interior.
Tecnolgico: Eventos de monitorizacin procedentes de las herramientas apropiadas y que tras la correlacin apropiada se convierten en incidencias.
Las principales entradas al proceso son:
o Informacin de componentes, usuarios y servicios (CMDB)
o Registro de soluciones conocidas y de documentacin de soporte (sistema de
gestin del conocimiento)
o Notificaciones de planificacin de cambios (Proceso Gestin de Cambios)
o Notificaciones de parada de servicio (Produccin)
o Notificacin de activacin de nuevo servicio (Produccin)
o Categoras de incidencias
o Matriz de prioridades
o Tiempos de respuesta y asignacin de incidencias
o Documentacin e informacin relacionada con escaladas y transferencias:
(1) Matriz de transferencia, (2) Matriz de Escalado y (3)Grupos y responsables
Las principales salidas del proceso son:
o Registro de incidencia, peticin, consulta o queja.
o Registro de una nueva solucin conocida
o Registro de un problema
o Notificaciones a usuarios (entrega nuevo servicio, indisponibilidad de servicio,
etc.)
o Peticin de Cambio para la resolucin de una incidencia.
o Informes de gestin (coste de los servicios, uso real de servicios, reas de
mejora en servicios, etc.


2. Descripcin del proceso
2.1. Relaciones con otros procesos

2.2. Actividades y procedimientos del Proceso
Las actividades principales del proceso de Gestin de Incidencias son:
Registro de la Incidencia, Peticin, Consulta o Queja (IPCQ)
Asignar la IPCQ
Diagnstico/Resolucin en 1er Nivel
Diagnstico/Resolucin en 2 Nivel
Gestin de Escalado
Diagnstico/Resolucin a travs del Equipo de Escalado

Control de la IPCQ
Cierre de la IPCQ

En el siguiente diagrama de flujo y tabla se recoge
una visin general de las actividades del proceso y sus relaciones:



N Procedimiento Entrada / Desencadenante Descripcin Criterio de Salida / Finalizacin
1.1 Registro de la IPCQ Desencadenante:
Llamada/mail/registro
web/nota interior del usuario
para informar de una IPCQ
Personal de TI que informan
de una incidencia
Herramientas de
monitorizacin
Una llamada/mail/registro web/nota interior del usuario al punto nico de contacto puede ser
para informar de una incidencia, realizar una consulta o peticin de servicio o formular una
queja.
El agente de incidencias (1er Nivel) recibe la informacin y la revisa para evaluar si es una
llamada nueva, una llamada duplicada o relacionada con otra actualmente abierta.
El agente autentifica al usuario y revisa la informacin, la clasifica por el tipo de llamada
(incidencia, consulta, queja o peticin de servicio) y se prioriza en funcin de la urgencia e
impacto.
Llamada/mail/registro web/nota
interior registrada en la herramienta
de gestin de incidencias
1.2 Asignar la IPCQ Entrada:
IPCQ registrada
El agente de incidencias (1er Nivel) realiza una primera valoracin de la IPCQ y la asigna al
grupo de resolucin adecuado.
Se determina si la incidencia necesita un escalado inmediato. Si se necesita escalado, se pasa
al procedimiento 1.5 (Gestin de escalado).
Se asigna la incidencia a un coordinador de incidencias, que realiza el procedimiento 1.8
Control de la incidencia.
En funcin de la categora de la incidencia y la prioridad, la incidencia se enva a uno de los
siguientes procedimientos:
1.3 Diagnstico/resolucin en 1er Nivel
1.4 Diagnstico/resolucin en 2 Nivel (Especialistas).
La IPCQ asignada al grupo
adecuado para la resolucin y al
coordinador de incidencias
1.3 Diagnstico /
Resolucin en 1er
Nivel
Entrada:
IPCQ Asignada
El tcnico asignado acepta la incidencia, revisa los detalles, analiza para diagnosticar e
identificar las acciones necesarias para resolver la incidencia lo antes posible.
Solicitud para cerrar la IPCQ o
Solicitud para escalar la IPCQ
1.4 Diagnstico /
Resolucin en 2
Nivel
(Especialistas)
Entrada:
IPCQ Asignada
El tcnico asignado acepta la incidencia, revisa los detalles, realiza un anlisis para diagnosticar
e identificar las acciones necesarias para resolver la incidencia lo antes posible.
Solicitud para cerrar la
incidencia/peticin o
Solicitud para escalar la incidencia.


1.5 Gestin del
escalado
Entrada:
Incidencia Registrada
Matriz de escalado /
transferencia
El gestor de escalado gestiona la incidencia durante su ciclo de vida para asegurar que se
cumplen los niveles de servicio y que se resuelve la incidencia para satisfaccin del usuario.
El gestor de escalado es responsable de reunir un equipo de escalado (cuando convenga)
para resolver las interrupciones crticas, complejas o polticas.
Se procesan las incidencias que no se puedan resolver a travs de los niveles de resolucin
marcados por el proceso estndar debido al impacto de la incidencia en el negocio,
restricciones de tiempo o nivel de dificultad.
La responsabilidad, gestin y seguimiento de las incidencias escaladas es del Gestor de
escalados
Solicitud para la incidencia
Creacin de un equipo de
escalado para resolver la
incidencia
1.6 Diagnstico /
Resolucin a travs
del equipo de
escalado
Entrada:
Incidencia escalada
Razones de escalado
El jefe del equipo de escalado asignado acepta la incidencia y revisa los detalles.
El equipo realiza un anlisis, identifica y ejecuta las acciones necesarias para resolver la
incidencia lo antes posible.
El jefe del equipo de escalado documenta las acciones realizadas e informa de los resultados a
quien proceda en cada caso.
Solicitud para cerrar la incidencia o
Peticin de Cambio (PdC) o
Solicitud de apertura de Problema

1.7 Realizar la peticin
de servicio,
resolver consulta,
responder queja
Entrada:
PCQ asignada
El tcnico asignado acepta la peticin de servicio, y ejecuta las acciones necesarias para
satisfacer la peticin lo antes posible.
Si la peticin no est en el catlogo de peticiones se evaluar su posible inclusin.
Una vez realizada se notifica al Coordinador para notificar al cliente y cerrar la peticin de
servicio (1.9). El tcnico asignado responde a la consulta realizada. El Coordinador/Gestor
de incidencias contacta con el usuario para dar respuesta a su queja.
Solicitud para cerrar la PCQ
Peticin asignada al coordinador
1.8
1.9

2.2.1. Procedimiento 1.1 Registro de la IPCQ

2.2.2. Procedimiento 1.2 Asignacin de la IPCQ



2.2.3. Procedimiento 1.3 Diagnstico / Resolucin en 1er Nivel


N Instruccin de
trabajo
Entrada / Desencadenante Descripcin Criterio de Salida /
Finalizacin
Rol en el
proceso
1.3.1 Analizar la incidencia Incidencia asignada a 1er Nivel
(Desde 1.2)
(Desde 1.8)
Tomar la incidencia asignada, analizar la informacin registrada y
buscar referencias en el histrico de incidencias, problemas abiertos y
en el sistema de gestin del conocimiento.
Si la incidencia tiene su origen en un problema abierto, se relacionar
con ste. Si una entrada del sistema de gestin del conocimiento
permite la resolucin de la incidencia, sta se relacionar con dicha
entrada.
Incidencia analizada en
1er nivel
(Hacia 1.3.2)
Agente 1er
Nivel
1.3.2 Resolver la incidencia Incidencia analizada en primer
nivel
(Desde 1.3.1)
Se evala si para resolver la incidencia ser necesario realizar un
desarrollo correctivo o un cambio en la infraestructura.
Si es as, se iniciar una Peticin de Cambio que seguir el proceso de
Gestin de Cambios.
Si no, se pasa a resolver la incidencia
Incidencia resuelta o
preparada para transferir
o escalar
(Hacia 1.3.3)
Agente 1er
Nivel
1.3.3 Documentar el
estado de la
incidencia
Incidencia resuelta o lista para
transferir o escalar.
Tabla de estados de la incidencia
(Desde 1.3.2)
Actualizar el registro en la herramienta de gestin de incidencias con el
estado actual de la incidencia y toda la informacin relativa a la misma
Registro de la incidencia
actualizado con el
estado e informacin
relativa al intento de
resolucin
(Hacia 1.3.4)
Agente 1er
Nivel
1.3.4 Incidencia resuelta? Registro de la incidencia
actualizado
(Desde 1.3.3)
Si la incidencia se ha resuelto, se procede a su cierre.
En caso de no poder resolver en 1er Nivel , se deber transferir a
segundo nivel y si es necesario, escalar.
Incidencia resuelta y
preparada para su cierre
(Hacia 1.9.1)
o incidencia no resuelta
(Hacia 1.3.5)
Agente 1er
Nivel
1.3.5 Requiere escalado? Incidencia no resuelta
(Desde 1.3.4)
Matriz de Transferencia
Tabla de TMR/TMA
Matriz de Escalado
Si la incidencia no ha podido ser resuelta en el 1er Nivel por dificultad
tcnica o falta de conocimiento o superacin del TMA (tiempo
mximo de asignacin) en primer nivel, se transfiere a 2 Nivel
(especialistas)
Si la incidencia cumple alguno de los criterios de escalado, se escala.
Incidencia transferida a
2 Nivel
(Hacia 1.4.1)
o escalada
(Hacia 1.5.1)
Agente 1er
Nivel


2.3. Control de Calidad del Proceso de Gestin de Incidencias
Las principales actividades que forman el control de calidad del proceso de Gestin de Incidencias son:
Informes de indicadores
Evaluar y mejorar el proceso
En el siguiente diagrama de flujo y tabla se recoge una visin general de las actividades del control de calidad proceso y sus relaciones:

1.10
Evaluar y mejorar el
proceso
1.11
Informes de
indicadores

1.10 Evaluacin y mejora del
proceso
Indicadores del proceso, directivas
futuras, expectativas de nivel de
servicio al cliente, revisin de la
planificacin del plan de mejora,
informacin de los usuarios y de los
componentes del proceso
Realizacin de revisiones peridicas para la
mejora de la eficiencia y eficacia del proceso.
La evaluacin se basa, utilizando mtricas
acordadas, en atributos como el tiempo, la
calidad del servicio y la satisfaccin del usuario
Mejoras implantadas, costes reducidos,
eficacia y eficiencia del proceso mejorada
1.11 Informe de indicadores Indicadores obtenidos
Requerimientos de informes
Generacin de informes peridicos y especiales
segn requisitos y planes para la toma de
decisiones
Informes generados y distribuidos
Informacin para el procedimiento 1.10


2.4. Indicadores
Es necesario establecer los indicadores que nos permitirn, en base a los objetivos propuestos, evaluar el correcto funcionamiento del Proceso de Gestin de Incidencias. Las
medidas de estos indicadores se plasmarn en informes peridicos que se utilizarn para la evaluacin del proceso.
A continuacin se enumeran algunos indicadores tpicos para poder monitorizar inicialmente la actividad y la calidad del proceso. Las medidas de dichos indicadores sern
extradas a travs de la herramienta de soporte al proceso y su implantacin fsica depender de las capacidades de la misma.

Nmero de IPCQ registradas: Total de IPCQ que han sido registradas en
la herramienta de soporte al proceso
Tiempo medio de resolucin: Tiempo medio de resolucin de las IPCQ
cerradas (suma de los tiempos de resolucin de cada una de las IPCQ
cerradas).
Nmero de IPCQ cerradas: Nmero de IPCQ cerradas en un perodo
establecido. Porcentaje respecto del total de IPCQ registradas en ese
mismo perodo.
Nmero y porcentaje de incidencias resueltas en cada nivel de
resolucin: Volumen y porcentaje de incidencias resueltas en primer,
segundo y tercer nivel respectivamente respecto del total de
incidencias resueltas.
Nmero y porcentaje de incidencias rechazadas al inicio: Nmero de
incidencias y porcentaje respecto al total de incidencias que han sido
rechazadas por fuera de mbito.
Nmero de incidencias reasignadas entre niveles de resolucin:
Nmero de incidencias que han pasado varias veces por el mismo
nivel de resolucin.

Nmero y porcentaje de incidencias escaladas: Nmero y porcentaje,
respecto al total de incidencias registradas, de incidencias que han sido
escaladas jerrquicamente.
Tiempo medio de intento de resolucin por grupo de resolucin: Del tiempo
medio de resolucin de la incidencia, extraer cuanto tiempo (tambin en
media) ha estado cada grupo de resolucin intentando resolverlas
Porcentaje de tiempos de permanencia de las incidencias en cada grupo
implicado: Del tiempo medio de resolucin de la incidencia, tiempo medio
que ha estado la incidencia asignada a cada grupo de resolucin.
Tiempo medio entre registro de la IPCQ y la asignacin al grupo
correspondiente: Tiempo medio, sobre el total de incidencias cerradas, entre
el registro de incidencias y la asignacin al grupo de resolucin
correspondiente segn la matriz de transferencia.
Porcentaje de IPCQ por usuario y/o grupos de usuarios: Distribucin de
incidencias/peticiones, en porcentaje, en funcin de los grupos iniciadores
definidos y, dentro de stos, segn el usuario o grupo de usuario definidos
segn la organizacin.

Los indicadores se definirn por categora, as como por perodo de tiempo (por ejemplo, mensual), permitiendo la visualizacin de la evolucin dentro del perodo y entre
perodos.


Persona
Grupo
Departamento
Funcin Funcin
Persona
Funcin
Rol
Actividad Actividad
Proceso
Rol
Actividad Actividad
Proceso
Rol
Actividad Actividad
Proceso
Actividad
Rol Rol
Rol
Grupo
Departamento
3. Roles y Responsabilidades
En este apartado se describen los roles y responsabilidades identificados para el proceso de Gestin de Incidencias. En la implantacin de los procesos de TI, los roles de
proceso deben asociarse con los empleados de TI en funcin de las funciones de su puesto de trabajo. Una funcin podra incluir uno o ms roles de proceso y un mismo rol
puede ser desempeado por varias funciones, tal y como indica el siguiente esquema:

Los roles significativos identificados para el Proceso de Gestin de Incidencias son:

Acrnimo Descripcin
RPGdI Responsable del Proceso de Gestin de Incidencias. Vela por la calidad del proceso
GdI Gestor de Incidencias. Vela por el da a da del proceso generando los informes de indicadores necesarios
CdI Coordinador de Incidencias. Vela por el da a da de la ejecucin de las actividades del proceso controlando todas las incidencias
desde un punto de vista de supervisin. Genera informes. Existen distintos coordinadores en los distintos niveles de soporte.
AdI Agentes de Incidencias. Primer nivel de resolucin. Nivel 0 y 1 de soporte
EdI Especialistas de Incidencias. Tcnicos para la resolucin de incidencias. Segundo y Tercer nivel de soporte
GdE Gestor de Escalado. Responsable de las actividades y recursos necesarios para la resolucin de incidencias escaladas
JEdE Jefe del Equipo de Escalado. Lidera el equipo de escalado que se crea para la resolucin de una incidencia escalada
EdE Equipo de escalado Grupo de tcnicos para la resolucin de una incidencia escalada


3.1. Responsable del Proceso de Gestin de Incidencias
Es el responsable ltimo del proceso. Es el responsable de su definicin, implantacin y control a travs de las diversas organizaciones o departamentos involucrados. Es
tambin responsable de la mejora continua del proceso y en el caso de que el proceso no se ejecute segn lo establecido es responsable de identificar las causas y tomar las
medidas correctoras pertinentes y escalarlas adecuadamente dentro de la organizacin. Adems, el responsable del Proceso de Gestin de Incidencias es el responsable de
la aprobacin de todos los cambios propuestos al proceso, de desarrollar planes de mejora al proceso y de asegurar que la documentacin est actualizada
Responsabilidades:
Disear, revisar y mejorar continuamente el proceso de Gestin de Incidencias, proponiendo las modificaciones pertinentes.
Definir, implantar y controlar el proceso de Gestin de Incidencias a travs de las diversas organizaciones o departamentos involucrados, escalando el mal
funcionamiento del mismo a la direccin de TI en caso de que sea necesario.
Asegurar que se realizan todas las actividades del proceso de forma eficaz y eficiente.
Asegurar que todos los implicados estn suficientemente involucrados en el proceso.
Proponer los recursos necesarios para el proceso.
Asegurar la comunicacin y formacin referente al proceso de Gestin de Incidencias.
Revisar los informes de indicadores del proceso y actualizar el plan de mejora del proceso de Gestin de Incidencias.
Asegurar que se establecen unas buenas relaciones de trabajo con todas las organizaciones implicadas, tanto internas como externas.
Asegurar la coordinacin entre los procesos.
3.2. Gestor de Incidencias
Es el responsable operativo del Proceso de Gestin de Incidencias. Asesora al responsable del proceso.
Responsabilidades:
Apoya al Responsable del Proceso de Gestin de Incidencias en la mejora continua del proceso.
Se asegura que el personal de soporte tiene niveles de conocimientos adecuados.
Ejecuta el proceso Gestin de incidencias.
Es responsable de gestionar el proceso Gestin de incidencias.
Solicita y revisa informes de mtricas.
Proporciona informacin de gestin sobre la calidad del servicio de TI y la satisfaccin del usuario.
Gestiona el rendimiento del personal de soporte del proceso Gestin de incidencias, crea y ejecuta planes de accin cuando conviene para asegurar una mejora
continua.
Es responsable de la gestin de incidencias que no se resuelven mediante el proceso Gestin de incidencias estndar.
Conocimiento para nombrar al siguiente nivel de gestin.
Realiza la distribucin de recursos dentro del proceso de Gestin de Incidencias.
Proporciona orientacin sobre cmo trasladar una incidencia activa del nivel de revisin tcnica al nivel de gestin.
Asiste a los ingenieros de soporte en el proceso dentro de su dominio de responsabilidad.


Identificacin de mejoras del proceso.
Aprueba la publicacin de incidencias generalizadas.
Reevaluacin de la carga de trabajo entre los niveles de soporte.
Identifica y desarrolla habilidades requeridas.
Desarrolla, genera y revisa los informes de indicadores del proceso de Gestin de Incidencias.
3.3. Coordinador de Incidencias
Responsabilidades:
Supervisa a todos los grupos de soporte involucrados en la resolucin de incidencias.
Realiza un seguimiento de los registros de incidencias abiertas.
Resuelve bloqueos en el flujo de incidencias y direcciona las asignaciones invlidas.
Revisa el estado de las incidencias abiertas.
Coordina la resolucin de incidencias con diferentes grupos de trabajo.
Proporciona informacin al usuario final sobre el estado de las incidencias.
Comunica la evolucin de la resolucin de la incidencia a los grupos implicados si as lo cree oportuno.
Solicita al Gestor de Incidencias la publicacin de una incidencia generalizada.
Se comunica con el usuario para validar que se ha resuelto la incidencia y cierra el registro.
Evala la prioridad de la incidencia y determina si las necesidades de prioridad se deben ajustar en funcin de informacin adicional.
Ayuda en la identificacin y desarrollo de habilidades requeridas.
3.4. Agentes de Incidencias
Responsabilidades:
Acepta las llamadas / e-mail/ registros web de los usuarios finales: recepcin y filtrado de incidencias.
Registra y clasifica todas las incidencias documentando correctamente toda la informacin relacionada con la incidencia.
Contribuye a la gestin de conocimiento asociada a la resolucin de incidencias.
Realiza las actividades necesarias para la resolucin de las incidencias de su mbito o las transfiere a los especialistas de incidencias para su resolucin si estn fuera de su
mbito.
Se asegura de que el usuario final est de acuerdo en que la resolucin satisface sus necesidades antes del cierre de la incidencia: verificacin y comunicacin con el
iniciador.
Cierra la incidencia tras la verificacin con el usuario.
Proporciona informacin sobre la calidad del soporte de primer nivel y realiza sugerencias de mejora del servicio a los responsables.


3.5. Especialistas de Incidencias
Responsabilidades:
Proporciona capacidades o conocimientos de un dominio concreto (tcnico, de negocio y/o de aplicacin) que ayudan a asegurar la rpida resolucin de las
incidencias.
Proporciona soluciones temporales (workarounds) para las incidencias.
Realiza peticiones de cambio si se precisa.
Realiza las actividades necesarias para la resolucin de las incidencias de su mbito.
Proporciona informacin sobre la calidad del soporte y realiza sugerencias de mejora del servicio a los responsables.
Completa de forma precisa y extensa los registros de incidencia.
Evala la prioridad de la incidencia y determina si las necesidades de prioridad se deben ajustar en funcin de informacin adicional.
3.6. Gestor de Escalado
Responsabilidades:
Realiza las evaluaciones de escalado y gestiona el proceso de escalado.
Se asegura de que las comunicaciones sobre los escalados son planificadas y ordenadas.
Nombra al Jefe del Equipo de Escalado para que se responsabilice de la resolucin de una incidencia escalada.
Realiza revisiones de control del estado del escalado.
Usa los resultados de revisin posterior al escalado para determinar las acciones de seguimiento y lecciones aprendidas.
.


Rol
Actividad RPGdI GdI CdI AdI EdI GdE JEdE EdE
1.1 Registro de la IPCQ A,R
1.2 Asignar la IPCQ C I,A A,R
1.3 Diagnstico / Resolucin en 1er Nivel C A A,R
1.4 Diagnstico / Resolucin en Especialistas C I,A,C I A,R
1.5 Gestin del escalado I,C I,C I,C I,C A,R
1.6 Diagnstico / Resolucin a travs del equipo de escalado I I,C I,C I,C I A,R R,C
1.7 Realizar la PCQ A R R
1.8 Control de la IPCQ A,R I I
1.9 Cierre de la IPCQ A,R R,I I
1.10 Evaluacin y mejora del proceso A,R C C
1.11 Informe de indicadores A,R,C A,R A,R,C
Actividades de operacin del proceso
Actividades de control de calidad del proceso
R=Responsable ejecucin
A=(accountable) Responsable ltimo, puede delegar debe supervisar
C=Consultar antes de hacer
I=Informar despus de hacer

3.7. Matriz RACI
La matriz que especifica para cada una de las actividades el papel que juega cada uno de los participantes en un proceso se denomina Matriz RACI. Las siglas de RACI vienen
de:
R Responsable de realizar/ejecutar tarea
A Responsable ltimo, puede delegar, debe supervisar
C Consultar antes de hacer
I Informar despus de hacer

En la siguiente tabla se especifican los roles descritos en el Proceso de Gestin de Cambios que se incluyen en la matriz RACI.
Acrnimo Descripcin
RPGdI Responsable del Proceso de Gestin de Incidencias EdI Especialistas de Incidencias
GdI Gestor de Incidencias GdE Gestor de Escalado
CdI Coordinador de Incidencias JEdE Jefe del Equipo de Escalado
AdI Agentes de Incidencias EdE Equipo de escalado

A continuacin se muestra la matriz RACI para los procedimientos del proceso:


Rol
Procedimiento / Instruccin de trabajo RPGdI GdI CdI AdI EdI GdE JEdE EdE
1.1 Registro de la IPCQ
1.1.1 Registro de la IPCQ A,R
1.1.2 Categorizar la IPCQ A,R
1.1.3 Es vlida la IPCQ? A,R
1.1.4 Priorizar la IPCQ A,R
1.2 Asignar la IPCQ
1.2.1 Asignar al nivel/grupo de trabajo adecuado A,R
1.2.2 Requiere escalado inmediato? C A R
1.2.3 Asignar la responsabilidad a Coordinador de Incidencias I A,R
1.3 Diagnstico / Resolucin en 1er Nivel
1.3.1 Analizar la incidencia A,R
1.3.2 Resolver la incidencia A,R
1.3.3 Documentar el estado de la incidencia A,R
1.3.4 Incidencia resuelta? A,R
1.3.5 Requiere escalado? C A R
1.4 Diagnstico / Resolucin en Especialistas
1.4.1 Analizar la incidencia. Re-priorizar y re-categorizar si procede A,R
1.4.3 Resolver la incidencia I A,R
1.4.4 Documentar el estado de la incidencia A,R
1.4.4 Incidencia resuelta? A,R
1.4.6 Requiere escalado? C A R
1.4.7 Nivel de soporte superior disponible? C A,R
1.4.8 Asignar al siguiente nivel de soporte I A,R
Actividades de operacin del proceso
Actividades de control de calidad del proceso
R=Responsable ejecucin
A=(accountable) Responsable ltimo, puede delegar debe supervisar
C=Consultar antes de hacer
I=Informar despus de hacer

La siguiente tabla muestra la matriz RACI detallada para las instrucciones de trabajo:


4. Anexos
4.1. Glosario de Trminos
Trmino Definicin
Funcin Tarea que corresponde realizar a una institucin o entidad, o a sus rganos o personas, asociado explcitamente a un cargo o posicin
dentro de la organizacin
RACI Matriz que especifica para cada una de las actividades el papel que juega cada uno de los participantes. RACI viene de:
R: Responsable de realizar/ejecutar tarea
A: Responsable ltimo, puede delegar, debe supervisar
C: Consultar antes de hacer
I: Informar despus de hacer
Mtricas Definicin de elementos medibles del proceso o funcin
Diagramas de flujo Secuencia grfica de actividades de un proceso o procedimiento
Mejor prctica Actividades identificadas en organizaciones que funcionan excepcionalmente bien en la prctica y que son ampliamente reconocidas
como la mejor manera de optimizar el rendimiento de las organizaciones en reas especficas
Incidencia Evento que no forma parte de la operativa normal de un servicio que provoca, o puede provocar, la interrupcin, el mal
funcionamiento o la degradacin en la calidad del servicio, aunque no sea apreciado por el usuario final
Problema Avera o mal funcionamiento persistente en un componente o servicio que causa una degradacin de su operatividad y cuya causa
raz es desconocida. Se identifica en base a una o ms incidencias con sntomas comunes o bien de una nica incidencia significativa y
cuya causa es desconocida
Peticin de Servicio Solicitud de usuario relacionada con los servicios proporcionados por TI a los usuarios

Ejercicio: Ejemplos de Programas de Trabajo


Auditora de Gestin de Acuerdos con Proveedores

EJEMPLOS DE PROGRAMA DE TRABAJO

o Ejemplo n1. Auditora de la empresa TeVeo
o Ejemplo n2. CoBIT
o Ejemplo n3. FFIEC

Identificacin
del Alcance
Identificacin
Objetivos Control
Elaboracin
Modelo
Valoracin
Identificacin
Prcticas de control
Identificacin
Objetivos de control
Desarrollo del
Modelo de
Madurez
Planificacin
Trabajo de
Campo
Elaboracin
Informe
Identificacin
intervinientes
Diagrama del
alcance
Obtener
conocimiento
Validar
Metas
y
Mtricas
Obtencin de
parmetros de
logro y
desempeo



PROGRAMAS DE TRABAJO
Ejemplo n1. Auditora de la empresa TeVeo

DESCRIPCION DE LOS OBJETIVOS A CUBRIR
COD DESCRIPCION DE LOS OBJETIVOS A CUBRIR
10 Evaluar los criterios usados para definir los niveles de servicio requeridos.
20 Evaluar el cumplimiento de los acuerdos de nivel de servicio internos y con terceras
compaas.
30 Evaluar las actividades de supervisin, control y mejora continua que se desarrollan como
consecuencia de la valoracin de los niveles de servicio.

PASOS DEL PROGRAMA
10 020 CONTRATOS Y ANS Inventario

Solicitar los contratos de TI y ANS, que estn en vigor o en proceso de negociacin
entre las unidades de TI:
o cada una de las empresas incluidas en el alcance.
o proveedores externos
con el objetivo de identificar: las partes involucrada, el servicio a ser prestado
(globalmente) y el coste.
Verificar si existen contratos entre reas de negocios y empresas de TI, en los que no
hayan participado las genricas de TI.
Para los contratos obtenidos, verificar si:
o tienen ANS.
o presentan procedimientos que recogen el detalle de los servicios a ser
proporcionados y como stos se regulan.
o recogen como agentes activos de su gestin a las unidades de TI
o disponen de clusulas que detallen la existencia de una funcin encargada de
gestionar y velar por el cumplimiento de lo recogido en el contrato. En caso de
que exista, identificar la persona o personas que tiene asignada esta funcin y
validar si en el detalle de sus responsabilidades queda recogida la misma.

10 030 SERVICIOS A SER PRESTADOS

Identificar e inventariar el conjunto de servicios a ser prestados bajo ANS. Verificar si
existe correspondencia entre el conjunto de servicios recogidos en los contratos y los
recogidos en el ANS a travs de sus INS (Indicadores de Nivel de Servicio).
Identificar la existencia de servicios para los que no exista INS que permita controlarlo y
medirlo.
Identificar la existencia de clusulas para desactivar ANS/INS, bajo determinados
condicionantes. Verificar la existencia de ANS/INS desactivados y validar si la
informacin que sustenta la desactivacin est estructurada.
Identificar (ver nota) la existencia de servicios contratados y que no estn siendo
prestados y de servicios que estn siendo prestados y que no han sido recogidos en
contrato.
Identificar y validar los mecanismo usados para trasladar los requerimientos de servicio
(ANS/INS) desde los proveedores externos a los requerimientos de servicios de los
clientes internos.
Identificar la existencia de discrepancias en la definicin de los ANS/INS, por existencia
de fuentes de informacin diversa.



20 040 ESTRUCTURA ORGANIZATIVA - reas de Sistemas

Identificar las reas dentro de las reas de la Direccin de Sistemas que realizan la
gestin de los Acuerdos de Nivel de Servicio con clientes internos y con los proveedores
externos.
Validar si estas reas tiene asignadas funciones relacionadas con la gestin de los
Acuerdos de Nivel de Servicio y el mbito de actuacin para stas funciones (regin -
pas). (Asignacin Responsabilidades)
En la medida de lo posible identificar si estas personas tienen objetivos de desempeo
ligados al cumplimiento de ANS.

10 050 ESTRUCTURA ORGANIZATIVA - reas de Negocio

Identificar las reas dentro de las distintas empresas que han establecido ANS de TI,
obtener para estas reas las personas encargadas de realizar la gestin de los mismos.
Validar si las reas o personas de estas reas tienen asignadas funciones
relacionadas con la gestin de los Acuerdos de Nivel de Servicio. (Asignacin
Responsabilidades).

10 060 FORMALIZACIN ANS

Verificar si se est usando algn procedimiento o metodologa para elaborar los ANS que
se fijan con los proveedores y con los clientes internos. Identificar y validar si estas
metodologas detallan la existencia de elementos de gestin y servicio para los ANS.
Identificar las causas por la que se establecen ANS con los clientes internos. Validar si
bajo estas causas existen reas que no han establecido ANS (por ejemplo: reas que no
mantienen ANS de TI, pero que si realizan peticiones a sistemas de forma sistemtica y
peridica).
Identificar y validar el sistema de aprobacin y puesta en marcha de los ANS, Verificar si
se requiere la aprobacin por parte de las gerencias usuarias para la puesta en
explotacin de los ANS.

20 070 ANS/INS - Datos y acceso

Identificar y valorar las fuentes de informacin que son usadas en el clculo de los INS,
origen de los datos y almacenamiento.
Valorar el entorno de seguridad de las fuentes de informacin; considerar ubicacin y
gestin. Adems en caso de que exista una herramienta formal para la gestin de los
ANS/INS validar:
o Usuarios y perfiles de acceso a la herramienta con capacidad para modificar la
informacin.
o Capacidad de acceder a los datos sin autorizacin,
Verificar si existe la posibilidad de acceso (independiente) por parte de los clientes a
esta informacin, para que stos puedan realizar clculos en paralelo de los indicadores.

Nota: Este paso abarca la relacin del rea de TI tanto con los cliente internos como con
los proveedores externos, Por tanto debern considerarse los ANS/INS tanto con los
cliente internos como con los proveedores externos.

20 080 ANS/INS Reclculo

Verificar y validar los elementos que conforma los INS existentes en los ANS. Considerar
si al menos se incluye: cdigo INS, definicin, frmula de clculo, datos para el clculo
(objetivos y claros), unidad de medida, periodicidad del clculo, valor objetivo, esquema
de penalizaciones.
Recalcular los INS a partir de los datos origen con el objetivo de contrastar y validar la
informacin recogida en los informes de gestin.

Seleccionar una muestra que recoja los indicadores ms relevantes conforme al criterio
de "importancia para el negocio", Se podra pedir opinin a las reas de negocio con el
objeto de que nos identifiquen aquellos que desde el punto de vista del negocio se
consideran crticos.



20 090 ANS/INS - Informacin de gestin

Identificar las personas, reas o empresas que elaboran los informes de gestin.
Identificar el proceso seguido para la elaboracin de los informes de gestin (pintar
flujograma/s),
Evaluar el grado de automatizacin de estos informes y la homogeneidad en el tiempo
del tipo de contenido, del formato de presentacin, de la periodicidad de generacin y
de la informacin que recogen.
Validar si estos informes recogen informacin del tipo:
o Volumen de actividad.
o Cambios realizados durante el periodo y cambios planificados.
o Informacin de capacidad y rendimiento de los recursos de TI.
Validar si para cada servicio contrato al menos se da informacin referente a:
o Descripcin del servicio.
o Cobertura.
o Objetivos.
o Mediciones efectuadas.

Identificar y validar los servicios sobre los que no se d ninguna informacin. Identificar
los destinatarios y distribucin de la informacin de gestin.
Identificar y evaluar los mecanismos usados para refrendar la conformidad con lo
especificado en los informes de gestin, por parte de los receptores del servicio (por
ejemplo actas de conformidad, correos).

30 100 ANS/INS - gestin y seguimiento

Identificar y evaluar los mecanismos que permiten, a los destinatarios del servicio, el
poder realizar seguimientos independientes de los servicios bajo ANS (por ejemplo
reclculos en paralelo). Verificar y evaluar la homogeneidad de las acciones o soluciones
implementadas para llevar a cabo este seguimiento.
Identificar si se han desarrollado medidas encaminadas a recabar la opinin de los
clientes internos sobre la calidad del servicio que se les presta. Considerar las
valoraciones del tipo Calidad Percibida.
Identificar casos de incumplimiento (penalizacin), validar las actuaciones que se
desencadenan y donde y como queda reflejada esta penalizacin.

Nota: Se generar un cuestionario con el objetivo de recabar la opinin del cliente sobre la
calidad del servicio de TI que percibe.

30 110 ANS - mejora / autorizacin

Identificar como se articulada la mejora continua en el proceso a travs de la adaptacin
de los ANS/INS. Considerar: desencadenante, documentacin requerida y canales de
comunicacin.
Verificar si el proceso es homogneo y est formalizado (procedimiento). Para ello
obtener una muestra sobre las modificaciones que se hayan requerido y analizarla.



Ejemplo n2. CoBIT

PASOS DE AUDITORA
COBIT
ref.
A. Seguimiento y revisin de los informes de auditora anteriores
Desarrollar benchmarking sobre los servicios prestados DS1
B. Pasos preliminares
Revisar las polticas de outsourcing
DS2
Obtener una lista de los contratos existentes con terceras partes y compararlos con un listado
de proveedores.
Determinar el alcance de la revisin y seleccionar diferentes contratos para el testeo
Revisar los procedimientos existentes en la organizacin relativos a la adquisicin de servicios
y relaciones con terceras partes
C. Pasos detallados
Gestin y planificacin
DS2
Para cada contrato seleccionado: Revisar el contenido de todos los requerimientos(ver
Cuestionario de Control Interno ICQ)
Revisar los planes de transicin desarrollados y ver si se tuvo en cuenta a todas las reas
afectadas. Asegurar que se desarroll un proceso de anlisis que justifique la necesidad del
outsourcing.
Revisar la metodologa de anlisis de riesgo usada en el proceso de decisin del outsourcer
Revisar los procesos para la seleccin de proveedores
Revisar el/los plan/es de retorno existente
Revisar los procesos de asignacin de costes y pagos
Revisar los procedimientos de soporte tcnico
Seguridad
Revisar los planes de contingencia del outsourcer y los procedimientos de back-up
valorndose su adecuacin
Revisar los procesos de control de acceso que posee el outsourcer y como se alinea con los
requerimientos de nuestra informacin
Revisar los procesos de terminacin del servicio para proveedores, contratistas y
subcontratistas.
Determinar si los procesos de control de accesos limitan el acceso cuando es apropiado
Revisar los procesos de control de acceso para: Sistemas Operativos / Aplicaciones / Redes y
Comunicaciones / Acceso Remoto
Revisar los procesos de inventario tecnolgico desarrollados
En los locales del outsourcer revisar los controles de seguridad fsica incluyendo
procedimientos de acceso, administracin y mantenimiento
Administracin

Revisin de facturas y recibos comparndolos con los presupuestos aprobados, con el objeto
de buscar variaciones significativas
Revisar los procedimientos internos para el monitoreo del desempeo de la actividad del
outsourcer
Revisar las opciones de compra que presenta el outsourcer (si aplica)



CUESTIONARIO DE CONTROL INTERNO (ICQ)

Preg
N
Enunciado
Respuesta
CoBiT
ref.
si no n.a
Gestin y Planificacin
Estn claramente definidos en el contrato los requerimientos y
objetivos esperados?

DS2
Recogen las polticas de la organizacin los procesos de compra de
servicios, y en particular la relacin con terceras partes o vendedores?

DS2
Han sido claramente definidos los beneficios y objetivos de negocio
que se persiguen al optar por una solucin de outsourcer?

DS2
Han sido considerados los siguientes aspectos referentes a los
outsourcers?
Costes
Habilidad para atender y entender las necesidades
Flexibilidad
Capacidad para asumir esfuerzos independientemente de la
localizacin
Presencia en industrias afines
Suficiente experiencia en el manejo de la tecnologa
Habilidad para la gestin de problemas
Niveles y calidad de servicio aceptables

DS2
Qu criterios se han seguido para la seleccin del proveedor? DS2
Existen y se siguen procesos de revisin y aprobacin de contratos? DS2
Recoge el contrato con el outsourcer los siguientes puntos?:
Gestin y aprobacin formal y legal
Detalle de los servicios proporcionados
Acuerdos de Nivel de Servicio: Aspectos cuantitativos y aspectos
cualitativos
Coste del servicio
Requerimiento y frecuencia de los pagos
Procesos de resolucin de problemas
Penalizaciones
Procedimiento para la disolucin de la relacin contractual
Procedimiento para la modificacin del contrato
Procedimientos de reporte (Contenido, Frecuencia y Distribucin)
Roles y responsabilidades de los responsables
Procesos que aseguren la continuidad del proceso de negocio
Mecanismos de comunicacin cliente/proveedor existentes y
frecuencia de los mismos
Duracin del contrato
Niveles de acceso definidos y proporcionados al proveedor
Requerimientos de seguridad
Garantas de confidencialidad
Derechos de acceso y derechos de auditar

DS2
Existen planes de transicin, con requerimientos completos para
todas las entidades afectadas?

DS2
Han sido identificados y obtenidos todos los requerimientos de DS2



experiencia tcnica?
Posee el outsourcer capacidad para dar servicio independientemente
de la localizacin?

DS2
Se han proyectado planes que posibiliten la transicin al outsourcing,
tales como..?
Planes de contingencia
Planes de formacin
Definicin clara de:
Requerimientos Hardware
Requerimientos Software
Niveles de servicio
Procedimientos para gestin de errores
Aspectos legales

DS2
Se han proporcionado o fijado garantas? En caso afirmativo
detallarlo en los papeles de trabajo

DS2
Se est de acuerdo con las garantas dadas? DS2
Se han definido niveles de calidad del servicio? DS2
El Acuerdo de Nivel de Servicio, incluye:
Definicin del Servicio
Coste del Servicio
Niveles de Servicio mnimos
Nivel de soporte para las distintas funciones del servicio
Disponibilidad, fiabilidad, capacidad de crecimiento
Planes recuperacin ante desastres y planes de contingencia
Requerimientos de seguridad
Cambio de procesos para cualquier punto del acuerdo
Han sido escritos y formalmente aprobados entre proveedores y
usuarios del servicio
Perodos efectivos u perodos de revisin, renovacin, no-
renovacin
Contenido y frecuencia de los reportes de rendimiento y pago por
los servicios
Cargas realistas comparadas con histricos, la industria, etc.
Clculo de cargas
Compromiso de mejora del servicio

DS1
Se han definido las responsabilidades de los usuarios y proveedores? DS1
Ha permitido la funcin/operacin de outsourcing mejoras en los
niveles de servicio del cliente?

DS2
Se han obtenido ventajas competitivas debido a la relacin con el
outsourcer? (listarlas todas)

DS2
Existe flexibilidad en los costes? DS2
Se han definido con claridad las responsabilidades para el
mantenimiento y soporte tcnico?

DS2



Seguridad
Han sido definidos con claridad los requerimientos de seguridad en el
contrato?

DS2
Se han implementado medidas para la revocacin y eliminacin de
accesos por causa de terminacin o cambio en la relacin?

DS2
Posee el outsourcer adecuados procedimientos de back-up? DS2
Posee el outsourcer adecuados controles de seguridad lgica? DS2
Posee el outsourcer adecuados controles de acceso fsico,
administracin y mantenimiento?

DS2
Estn los recursos tecnolgicos, PCs, software y licencias
apropiadamente asignados y registrados en documentos de
inventario?

DS2
Ha implementado el outsourcing una segregacin en el acceso a la
informacin que impida a otros clientes acceder a nuestra
informacin?

DS2
Administracin
Estn siendo verificadas y validadas las facturas y recibos, producto
de la relacin?

DS2
Es monitoreada la capacidad del proveedor? DS2
Son monitoreados de forma estrecha los procesos de compra de
material tecnolgico?

DS2



A continuacin se muestran otros puntos a ser desarrollados dentro de un programa de auditoria vlido
para la revisin del CONTROL DE LA ACTIVIDAD DESARROLLADA POR EL OUTSOURCING:

PASOS DE AUDITORA
CoBIT
ref.
Evaluar la estructura organizativa empresarial encargada de la gestin y supervisin del servicio
Solicitar el organigrama y descripcin de funciones de la estructura organizativa empresarial
encargada de la gestin del servicio
PO4
Evaluar el nivel y calidad del servicio proporcionado por los proveedores externos
Solicitar y evaluar los contratos de outsourcing existentes, obteniendo los indicadores de
seguimiento de cada uno de los servicios contratados
DS2
Verificar la existencia de Normativas y Procedimientos que regulen la actividad de los
servicios proporcionados por los outsourcers, tales como:
Reporte y resolucin de problemas e incidencias
Administracin y operacin de servidores
Backups y recuperaciones
Control de cambios
Operacin de cada servicio de Microinformtica
Administracin, gestin y operacin de la electrnica de red y comunicaciones
Gestin de inventarios
Etc.
Y comprobar su cumplimiento
DS1
Evaluar cada uno de los servicios ofrecidos por cada uno de los proveedores y verificar su
medicin, y su inclusin o no en los respectivos ANS
Solicitar y revisar los informes de control y seguimiento del nivel de servicio. Comprobar
que aparecen todos los parmetros definidos en el ANS. Evaluar los parmetros definidos y
su forma de clculo.
Evaluar la periodicidad de las revisiones realizadas a los contratos y el procedimiento para
realizarla

Identificar desviaciones de cumplimiento y acciones correctoras y/o sancionadoras
emprendidas
Solicitar la relacin de problemas comunicados y registrados al Help Desk que incluya fecha
de ocurrencia, descripcin del error, persona que llama, fecha de escalado (si aplicable),
solucin adoptada, fecha de resolucin y persona que soluciona.
Evaluar el tipo de problemas reportados, con el tiempo de solucin obtenido y las soluciones
adoptadas
Evaluar la existencia de operativas de actuacin ante problemas repetidos y confirmar que
las soluciones adoptadas ante el mismo tipo de problemas son coherentes
Revisar los procedimientos de asignacin de costes
Revisar la correcta facturacin de los servicios de las contratas segn lo establecido en los
contratos
DS6
Solicitar las polticas, normas o procedimientos relativas a presupuestacin, asignacin de
costes y facturacin y evaluar su cumplimiento
Revisar que el procedimiento de solicitud de servicios requiere aprobacin formal y
aceptacin sobre los costes incurridos
Solicitar la relacin de servicios facturables. Verificar que son identificables y cuantificables
Revisar el sistema de asignacin de costes



Revisar el procedimiento de generacin de informes por servicios prestados. Verificar que se
detallan cada uno de los servicios prestados con su coste unitario

Averiguar si se realiza algn tipo de benchmarking con empresas externas
Revisar que los clientes disponen de un procedimiento para supervisar variaciones entre los
costes planificados segn el presupuesto y los servidos. Solicitar los presupuestos de IT del
ao pasado y compararlo con los servicios facturados
Realizar un seguimiento sobre los gastos en IT soportados sobre las siguientes funciones:
HW
Perifricos y consumibles
Telecomunicaciones
Help Desk
Costes fijos / variables



Ejemplo n3. FFIEC

EXAMINATION PROCEDURES

EXAMINATION OBJECTIVES: EXAMINATION OBJECTIVE: Assess the effectiveness of
the institutions risk management process as it relates to the outsourcing of information systems and
technology services.

Tier I objectives and procedures relate to the institutions implementation of a process for
identifying and managing outsourcing risks.
Tier II objectives and procedures provide additional validation and testing techniques as
warranted by risk to verify the effectiveness of the institutions process on individual
contracts.

Tier I and Tier II are intended to be a tool set examiners will use when selecting examination
procedures for their particular examination. Examiners should use these procedures as necessary to
support examination objectives.
TIER I OBJECTIVES AND PROCEDURES

Work
Paper
Reference Comment
Objective 1: Determine the appropriate scope for the examination.
1. Review past reports for weaknesses involving outsourcing. Consider:
Regulatory reports of examination of the institution and service provider(s); and
Internal and external audit reports of the institution and service provider(s) (if
available).

2. Assess managements response to issues raised since the last examination.
Consider:
Resolution of root causes rather than just specific issues; and
Existence of any outstanding issues.

3. Interview management and review institution information to identify:
Current outsourcing relationships and changes to those relationships since the last
examination. Also identify any:
Material service provider subcontractors,
Affiliated service providers,
Foreign-based third party providers;
Current transaction volume in each function outsourced;
Any material problems experienced with the service provided;
Service providers with significant financial or control related weaknesses; and
When applicable, whether the primary regulator has been notified of the
outsourcing relationship as required by the Bank Service Company Act or Home
Owners Loan Act.



Work
Paper
Reference Comment
Obj ect i ve 2: Eval uat e t he quant i t y of ri sk present f rom t he i nst i t ut i ons out sourci ng arrangement s.
1. Assess the level of risk present in outsourcing arrangements. Consider risks
pertaining to:
Functions outsourced;
Service providers, including, where appropriate, unique risks inherent in foreign-
based service provider arrangements; and
Technology used.

Obj ect i ve 3: Eval uat e t he qual i t y of ri sk management
1. Evaluate the outsourcing process for appropriateness given the size and
complexity of the institution. The following elements are particularly important:
Institutions evaluation of service providers consistent with scope and criticality of
outsourced services; and
Requirements for ongoing monitoring.

2. Evaluate the requirements definition process.
Ascertain that all stakeholders are involved; the requirements are developed to
allow for subsequent use in request for proposals (RFPs), contracts, and
monitoring; and actions are required to be documented; and
Ascertain that the requirements definition is sufficiently complete to support the
future control efforts of service provider selection, contract preparation, and
monitoring.

3. Evaluate the service provider selection process.
Determine that the RFP adequately encapsulates the institutions requirements and
that elements included in the requirements definition are complete and sufficiently
detailed to support subsequent RFP development, contract formulation, and
monitoring;
Determine that any differences between the RFP and the submission of the
selected service provider are appropriately evaluated, and that the institution takes
appropriate actions to mitigate risks arising from requirements not being met; and
Determine whether due diligence requirements encompass all material aspects of
the service provider relationship, such as the providers financial condition,
reputation (e.g., reference checks), controls, key personnel, disaster recovery plans
and tests, insurance, communications capabilities and use of subcontractors.

4. Evaluate the process for entering into a contract with a service provider.
Consider whether:
The contract contains adequate and measurable service level agreements;
Allowed pricing methods do not adversely affect the institutions safety and
soundness, including the reasonableness of future price changes;
The rights and responsibilities of both parties are sufficiently detailed;
Required contract clauses address significant issues, such as financial and control
reporting, right to audit, ownership of data and programs, confidentiality,
subcontractors, continuity of service, etc;
Legal counsel reviewed the contract and legal issues were satisfactorily resolved;
and
Contract inducement concerns are adequately addressed.

5. Evaluate the institutions process for monitoring the risk presented by the service
provider relationship. Ascertain that monitoring addresses:
Key service level agreements and contract provisions;
Financial condition of the service provider;
General control environment of the service provider through the receipt and



Work
Paper
Reference Comment
review of appropriate audit and regulatory reports;
Service providers disaster recovery program and testing;
Information security;
Insurance coverage;
Subcontractor relationships including any changes or control concerns;
Foreign third party relationships; and
Potential changes due to the external environment (i.e., competition and industry
trends). Key service level agreements and contract provisions;
Financial condition of the service provider;
General control environment of the service provider through the receipt and
review of appropriate audit and regulatory reports;
Service providers disaster recovery program and testing;
Information security;
Insurance coverage;
Subcontractor relationships including any changes or control concerns;
Foreign third party relationships; and
Potential changes due to the external environment (i.e., competition and industry
trends).
6. Review the policies regarding periodic ranking of service providers by risk for
decisions regarding the intensity of monitoring (i.e., risk assessment). Decision
process should:
Include objective criteria;
Support consistent application;
Consider the degree of service provider support for the institutions strategic and
critical business needs, and
Specify subsequent actions when rankings change.

7. Evaluate the financial institutions use of user groups and other mechanisms to
monitor and influence the service provider.

Obj ect i ve 4: Di scuss correct i ve act i on and communi cat e f i ndi ngs
1. Determine the need to complete Tier II procedures for additional validation to
support conclusions related to any of the Tier I objectives.

2. Review preliminary conclusions with the EIC regarding:
Violations of law, rulings, regulations;
Significant issues warranting inclusion in the Report as matters requiring attention
or recommendations; and
Potential impact of your conclusions on the institutions risk profile and composite
or component IT ratings.

3. Discuss findings with management and obtain proposed corrective action for
significant deficiencies.

4. Document conclusions in a memo to the EIC that provides report ready
comments for the Report of Examination and guidance to future examiners.

5. Organize work papers to ensure clear support for significant findings by
examination objective.



TIER 2 OBJECTIVES AND PROCEDURES

Work
Paper
Reference
Comment
A. IT REQUIREMENTS DEFINITION
1. Review documentation supporting the requirements definition process to
ascertain that it appropriately addresses:
Scope and nature;
Standards for controls;
Minimum acceptable service provider characteristics;
Monitoring and reporting;
Transition requirements;
Contract duration, termination, and assignment and
Contractual protections against liability.

B. DUE DILIGENCE
1. Assess the extent to which the institution reviews the financial stability of the
service provider:
Analyzes the service providers audited financial statements and annual reports;
Assesses the providers length of operation and market share;
Considers the size of the institutions contract in relation to the size of the
company;
Reviews the service providers level of technological expenditures to ensure on-
going support; and
Assesses the impact of economic, political, or environmental risk on the service
providers financial stability.

2. Evaluate whether the institutions due diligence considers the following:
References from current users or user groups about a particular vendors
reputation and performance;
The service providers experience and ability in the industry;
The service providers experience and ability in dealing with situations similar
to the institutions environment and operations;
The cost for additional system and data conversions or interfaces presented by
the various vendors;
Shortcomings in the service providers expertise that the institution would need
to supplement in order to fully mitigate risks;
The service providers proposed use of third parties, subcontractors, or partners
to support the outsourced activities;
The service providers ability to respond to service disruptions;
Key service provider personnel that would be assigned to support the
institution;
The service providers ability to comply with appropriate federal and state laws.
In particular, ensure management has assessed the providers ability to comply
with federal laws (including GLBA and the USA PATRIOT Act ); and
Country, state, or locale risk.



C. SERVICE CONTRACT

1. Verify that legal counsel reviewed the contract prior to closing.
Ensure that the legal counsel is qualified to review the contract particularly if it
is based on the laws of a foreign country or other state; and
Ensure that the legal review includes an assessment of the enforceability of
local contract provisions and laws in foreign or out-of-state jurisdictions.

2. Verify that the contract appropriately addresses:
Scope of services;
Performance standards;
Pricing;
Controls;
Financial and control reporting;
Right to audit;
Ownership of data and programs;
Confidentiality and security;
Regulatory compliance;
Indemnification;
Limitation of liability;
Dispute resolution;
Contract duration;
Restrictions on, or prior approval for, subcontractors;
Termination and assignment, including timely return of data in a machine-
readable format;
Insurance coverage;
Prevailing jurisdiction (where applicable);
Choice of Law (foreign outsourcing arrangements);
Regulatory access to data and information necessary for supervision; and
Business Continuity Planning.

3. Review service level agreements to ensure they are adequate and measurable.
Consider whether:
Significant elements of the service are identified and based on the institutions
requirements;
Objective measurements for each significant element are defined;
Reporting of measurements is required;
Measurements specify what constitutes inadequate performance; and
Inadequate performance is met with appropriate sanctions, such as reduction in
contract fees or contract termination.

4. Review the institutions process for verifying billing accuracy and
monitoring any contract savings through bundling.



D. MONITORING SERVICE PROVIDER RELATIONSHIP(S)

1. Evaluate the institutions periodic monitoring of the service provider
relationship(s), including:
Timeliness of review, given the risk from the relationship;
Changes in the risk due to the function outsourced;
Changing circumstances at the service provider, including financial and control
environment changes;
Conformance with the contract, including the service level agreement; and
Audit reports and other required reporting addressing business continuity,
security, and other facets of the outsourcing relationship.

2. Review risk rankings of service providers to ascertain
Objectivity;
Consistency; and
Compliance with policy.

3. Review actions taken by management when rankings change, to ensure policy
conformance when rankings reflect increased risk.

4. Review any material subcontractor relationships identified by the service
provider or in the outsourcing contracts. Ensure:
Management has reviewed the control environment of all relevant
subcontractors for compliance with the institutions requirements definitions
and security guidelines; and
The institution monitors and documents relevant service provider
subcontracting relationships including any changes in the relationships or
control concerns.

CONCLUSIONS

Examiner
Date

Reviewers Initials

TeVeo, S.A.
DIRECCIN DE AUDITORA
rea de Auditora de Sistemas de Informacin

Auditora del
Proceso de Control de Proveedores
(Gerencia de Produccin)

Julio 2010

Auditora del Proceso de Control de Proveedores
de la Gerencia de Produccin
Julio 2010

rea de Auditora de Sistemas de Informacin Pgina 2 de 12

I NDI CE

1. INTRODUCCIN __________________________________________________________ 3
1.1. Objetivos _____________________________________________________________ 3
1.2. Alcance y limitaciones __________________________________________________ 3
2. HECHOS OBSERVADOS __________________________________________________ 4
2.1. Marco General de Control _______________________________________________ 4
2.1.1. Polticas y procedimientos del proceso _________________________________ 5
2.1.2. Roles y responsabilidades ____________________________________________ 6
2.2. Controles especficos del proceso ________________________________________ 7
2.2.1. Monitorizacin y reporte ______________________________________________ 7
2.2.2. Revisin de los niveles de servicio _____________________________________ 8
2.2.3. Programas de mejora del servicio ______________________________________ 9
2.3. Esquema de medicin y gestin del proceso ______________________________ 9
2.3.1. Esquema de medicin de desempeo del proceso _______________________ 9
2.3.2. Marco de gestin de los indicadores y mtricas definidas ________________ 10
3. CONCLUSIONES ________________________________________________________ 11
4. OPININ Y RECOMENDACIONES _________________________________________ 12

Julio 2010


1. INTRODUCCIN
1.1. Objetivos
La presente auditora informtica tiene como objetivo principal revisar el marco de gestin y control de
los proveedores de servicios tecnolgicos que prestan servicios a las distintas reas de la Gerencia
de Produccin.
1.2. Alcance y limitaciones
El alcance de la auditora abarca la gestin y control de proveedores asociados a servicios tecnolgicos
de la Gerencia de Produccin, quedando excluidos del alcance los proveedores de desarrollo de
software.
En la actualidad la gestin de proveedores de servicios tecnolgicos est soportada desde tres
procesos/actividades:
El marco general que Teveo S.A. establece mediante el Proceso de Control de Proveedores de la
Gerencia de Compras.
Un proceso especfico para proveedores tecnolgicos, el Proceso de Gestin de Proveedores de
Tecnologa de la Gerencia de Produccin.
La actividad de supervisin que efectan individualmente cada uno de los responsables peticionarios y
beneficiarios de los servicios externalizados formalizados bajo acuerdos de nivel de servicio (ANS
1
).
Para estos procesos y actividades, las reas de revisin han sido las siguientes:
Anlisis del marco general de control en los aspectos de definicin e implementacin de roles y
responsabilidades, as como la cobertura procedimental que regula el proceso.
Revisin de los controles propios de un proceso de gestin de proveedores sobre actividades de:
(1) monitorizacin y reporte del servicio proporcionado, (2) revisin de los acuerdos, (3) y programas
de mejora del servicio.
Estudio del esquema de medicin de desempeo del proceso y del marco de gestin de sus
resultados (indicadores y mtricas).
A continuacin, se presenta grficamente en la Figura 1 las tres reas de revisin y su contenido:

Figura 1
reas de revisin del Proceso de Gestin de Proveedores.

Para este anlisis se han elaborado unas bateras de controles basadas en dos fuentes de metodologas
de control y buenas prcticas: ITIL
2
y COBIT
3
.

1
De manera general es un acuerdo escrito entre un proveedor de un servicio y un cliente donde se documentan los objetivos clave
del servicio y las responsabilidades de ambas partes. Proporciona la base para gestionar las relaciones entre proveedor y cliente.
2
Primera edicin en castellano del ao 2006 del libro original Service Delivery del ao 2001. Se han utilizado las indicaciones para
la Gestin de Niveles de Servicio.
Roles y responsabilidades
Marco general de control
Polticas y procedimientos
Controles especficos del proceso
Esquema de medicin
Mtricas
Marco de gestin
Monitorizacin y Reporte
Revisin del Servicio
Programas de Mejora

Julio 2010


Para la realizacin del presente informe se han mantenido entrevistas con responsables del rea de
Compras Tecnolgicas, el rea de Gestin de Servicios Tecnolgicos, el rea de Organizacin y el rea
de Calidad; y se ha analizado informacin econmica, contractual y de gestin de proveedores a travs
de la aplicacin de Gestin de Proveedores (GP).
Asimismo, indicar que la revisin fue desarrollada durante el periodo comprendido entre los meses de
mayo y junio de 2010, por lo que las conclusiones obtenidas corresponden a dicho periodo.

2. HECHOS OBSERVADOS
2.1. Marco General de Control
Dentro del mbito de la presente auditora, como intervinientes en la definicin, implementacin y
administracin del proceso, se han identificado los siguientes agentes:
Gestores de los acuerdos. Son los peticionarios y beneficiarios de los servicios externalizados bajo
un ANS. Realizan tareas de monitorizacin, seguimiento y reporte del servicio prestado.
El rea de Compras Tecnolgicas perteneciente a la Gerencia de Compras que mediante el
Proceso de Control de Proveedores realiza un seguimiento del proveedor desde el punto de vista
econmico-financiero y de la calidad del servicio prestado.
El rea de Gestin de Servicios Tecnolgicos perteneciente a la Gerencia de Produccin cuya
actividad de definicin, relacin y supervisin de proveedores est regulada por el Proceso de
Gestin de Proveedores de Tecnologa.
Estos tres agentes, sus procesos y actividades quedas descritas segn el siguiente esquema de la Figura
2.
Figura 2
Marco de definicin y control de proveedores.

3
COBIT significa Objetivos de Control para Informacin y Tecnologa Relacionada. Es un estndar para el control de las TI
desarrollado y promovido por el Instituto de Gobierno de TI que identifica procesos de TI, un enfoque de alto nivel para controlarlos
as como objetivos de control detallados y directrices de auditora para evaluarlos. Se han utilizado los controles de los procesos de
Definicin y Gestin de niveles de servicio y Gestin de Servicios con terceros.

Julio 2010


A continuacin, en este captulo se revisan los aspectos bsicos de un marco general de control: (1)
grado de estandarizacin de procedimientos y tareas formalizadas o no documentalmente y (2) marco de
definicin de roles y responsabilidades en el proceso.

2.1.1. Polticas y procedimientos del proceso
Se ha identificado la siguiente documentacin que contiene aspectos detallados relacionados con la
gestin de proveedores:
Documento del Proceso de Control de Proveedores de la Gerencia de Compras de Teveo de mayo
de 2006.
Documento del Proceso de Gestin de Proveedores de Tecnologa (versin 2.2 del 20 de
noviembre del 2005) que contempla las actividades relacionadas con la definicin de requisitos para
la contratacin de trabajos a proveedores, el seguimiento de los mismos y la finalizacin de la
prestacin.

Y para los anteriores procesos se han revisado los siguientes puntos de control:
Cuadro 2
Controles sobre las polticas y procedimientos del proceso.
Punto de control Resultado
Cobertura. El esquema de polticas y procedimientos cubre toda la casustica del proceso:
establecimiento de requisitos para proveedores, evaluacin del servicio, seguimiento
continuo y pormenorizado de acuerdos, mantenimiento de acuerdos y el establecimiento de
medidas correctoras.
(1)
Grado de definicin. Los procedimientos establecen las actividades del proceso, las
responsabilidades en la ejecucin de las mismas, as como las salidas y registros a generar
durante la ejecucin de dichas actividades.

Grado de actualizacin. El contenido de las polticas y procedimientos se encuentra
actualizado.
(2)
Formalizacin. Las polticas y procedimientos tienen un esquema de revisin y aprobacin
definido y ejecutado.

Publicitacin. Las polticas y procedimientos estn publicadas y accesibles a todos los
intervinientes (desde usuarios finales hasta responsables).

mbito de aplicacin. Existe un catlogo de proveedores con acuerdos de nivel de servicio y
las actividades del proceso se aplican sobre el catlogo completo de destinatarios del
proceso.
(3)
De la revisin de los anteriores puntos de control se han identificado los siguientes aspectos a destacar:
(1) La actual definicin del Proceso de Control de Proveedores de la Gerencia de Compras presenta
las siguientes deficiencias de control:
- El proceso no contempla la actividad especfica de seguimiento continuo y pormenorizado
del cumplimiento de los acuerdos que es realizada por parte del peticionario / beneficiario de
los servicios externalizados bajo un ANS (la actividad de seguimiento de proveedores es
responsabilidad del rea de Compras Tecnolgicas de la Gerencia de Compras)
- El proceso no contempla la figura externa a la Gerencia de Compras del gestor del acuerdo
y sus responsabilidades en la monitorizacin y seguimiento de los servicios externalizados bajo
un ANS.
- Ausencia de actividades definidas que garanticen el reporte peridico a la Gerencia de
Compras por parte del gestor del acuerdo de los resultados de su monitorizacin y seguimiento
de los acuerdos.

Julio 2010


Aunque las anteriores actividades puedan estar ejecutndose correctamente en la operativa
rutinaria de los actuales gestores de acuerdos
4
, stas deberan reflejarse y formalizarse en el
Proceso de Control de Proveedores de la Gerencia de Compras.
Adicionalmente, como algunos de los anteriores debilidades de control del Proceso de Control de
Proveedores de la Gerencia de Compras ya forman parte del Proceso de Gestin de Proveedores
de Tecnologa de la Gerencia de Produccin
5
, deberan revisarse las definiciones de ambos
procesos y sus interfaces buscando cubrir aspectos complementarios, evitar duplicidades y
buscar alineamientos.
(2) En el documento de definicin del Proceso de Gestin de Proveedores de Tecnologa no se
contemplan los recientes cambios organizativos (ej. nuevas reas).
(3) Durante el trabajo de campo no se ha identificado un catlogo corporativo especfico de
servicios externalizados bajo un ANS como base para el seguimiento continuo y
pormenorizado del cumplimiento de acuerdos y sobretodo su control y la coordinacin
global.
Aunque a nivel corporativo existen evidencias de seguimientos de los cumplimientos de los
acuerdos, estas actividades estn descentralizadas no existiendo controles que garanticen que
sobre un catlogo corporativo de servicios externalizados bajo un ANS existan seguimientos del
cumplimiento de los acuerdos por parte de los peticionarios/beneficiarios de servicios
externalizados y gestores del acuerdo.

2.1.2. Roles y responsabilidades
Para los anteriores esquemas organizativos y sus definiciones de roles y responsabilidades se han
revisado los siguientes puntos de control:
Cuadro 3
Controles sobre roles y responsabilidades.
El proceso tiene asignado un propietario y claramente definido su papel y responsabilidades
en: (1) el diseo del proceso, (2) interaccin con otros procesos, (3) rendicin de cuentas
sobre los productos finales o entregables del proceso, (4) medicin del rendimiento del
proceso e (5) identificacin de mejoras de las oportunidades. (1)
El proceso contempla para todas las actividades, responsabilidades y potestades
concedidas a personas o equipos. Los roles y responsabilidades para la ejecucin efectiva y
eficiente de las actividades clave estn asignados, documentados y comunicados.
El modelo de definicin de roles y responsabilidades sigue un esquema de mejores
prcticas en el proceso de gestin de proveedores de manera que al menos se contemplan
las figuras de: (1) gestin de requisitos, (2) seguimiento del proveedor cumplimiento del
acuerdo- y (3) evaluador del proveedor.

Las distintas actividades cumplen el principio de segregacin de funciones, esto es, que
todas estas actividades evitan la concentracin de funciones en una misma persona o
agrupacin organizativa.

En la matriz de responsabilidades no existen roles sin responsables y no existen roles con
ms de un responsable (solapamientos).
(2)
(1) Aunque la parte de proceso correspondiente a la Gerencia de Produccin, regulada por el Proceso
de Gestin de Proveedores de Tecnologa tiene definidos, personalizados y asignados sus perfiles,
los actuales cambios organizativos hacen necesario revisar y reasignar las principales

4
Se tienen evidencias de que en las negociaciones que desde la Gerencia de Compras se efectan, se tienen en cuenta datos de
gestin (indicadores) que desde los gestores de los acuerdos se proporcionan.
5
Sobre todo la actividades de seguimiento continuo y pormenorizado del cumplimiento de los acuerdos ejecutadas por parte del
peticionario/beneficiario de los servicios externalizados bajo un ANS contemplada en el Proceso de Gestin de Suministradores de
la Direccin de Sistemas.

Julio 2010


responsabilidades (el documento de responsables nominales dentro del proceso debe
actualizarse con la nueva estructura y responsables, as como formalizar la comunicacin de
funciones y responsabilidades).
(2) En el actual marco de definicin y control de proveedores soportado en el Proceso de Control de
Proveedores de la Gerencia de Compras y el Proceso de Gestin de Proveedores de Tecnologa
(ver figura 2) existen actores y funciones donde se pueden presentar solapamientos (ej.
evaluar el servicio).
En opinin de Auditora de Sistemas una revisin conjunta de estos dos procesos debera
asegurar la ausencia de solapamientos ya sea va redefinicin de roles, delegacin de
funciones o subdivisin de actividades.

2.2. Controles especficos del proceso
En este captulo se verifican los controles especficos para la revisin de la gestin de proveedores. En
este sentido, se ha segmentado el anlisis en tres reas de revisin que cubren los componentes claves
en una gestin de proveedores:
Monitorizacin y reporte. Actividad que permite evaluar y gestionar el rendimiento de los
proveedores e identificar potenciales deficiencias.
Revisin del servicio. Debe estar establecido un procedimiento de revisin de los acuerdos
orientado al cumplimiento de objetivos y deteccin de deficiencias.
Programa de mejora del servicio. Actividades proactivas de deteccin y toma de acciones no
asociadas a deficiencias y/o incumplimientos.

Para la revisin se han elegido una muestra de dos colectivos de proveedores con los cuales existen
acuerdos de nivel de servicio:
Proveedores que dan el servicio de solucin de incidencias tcnicas a la red comercial a travs del
servicio ofrecido por el Centro de Atencin de Usuarios. En particular, proveedores que dan soporte
tcnico para incidencias con puestos de autoservicio, equipos de trabajo, y
recicladores/dispensadores: Ms Systems, +Mantenimiento, Alaris (Spain), Tecnoms Espaa
Solutions, Altec y MCR.
Proveedores contemplados en el actual alcance del Proceso de Gestin de Suministradores:
Novatica, Range e Sindra.
2.2.1. Monitorizacin y reporte
Inmediatamente a continuacin de alcanzar un ANS se debe promover la monitorizacin y elaboracin de
informes sobre los logros del servicio. Los informes operativos deberan producirse con periodicidad,
incluir excepciones y ser debidamente comunicados. Para este conjunto de actividades se han revisado
los siguientes controles:
Cuadro 4
Controles sobre la monitorizacin y reporte de ANS.
Los ANS analizados disponen de indicadores cuantificables que permitan monitorizar y
evaluar el servicio.
(1)
El proveedor dispone de un procedimiento de comunicacin/interlocucin por el cual los
diferentes gestores autorizados y reconocidos de Bankia pueden comunicarse y gestionar
el servicio con el proveedor.

Julio 2010


Existen informes sobre los logros del servicio con una periodicidad establecida.
Completitud de la informacin. Los informes contienen al menos la informacin estipulada
por el ANS para la gestin del mismo (datos, indicadores, objetivos, niveles de
cumplimiento, etc) junto con detalles de cualquier tendencia o acciones especficas que
se estn tomando para mejorar la calidad del servicio.
(1)

(1) Para el proveedor Novatica, aunque existen propuestas de indicadores de niveles de servicio,
stas no estn formalizadas y no generan registros tiles para un marco de gestin.
Por otra parte, los indicadores que refleja el proveedor Sindra en su contrato no son los
utilizados en los seguimientos (se utilizan otros por motivos de eficacia y eficiencia).
Para todos los dems proveedores de la muestra, en los informes de seguimiento se hace uso de
los indicadores contemplados en los ANS.

2.2.2. Revisin de los niveles de servicio
El cumplimiento de los compromisos especificados en los ANS debe estar sometido a una actividad
peridica de revisin de informacin con un protocolo definido. Los resultados obtenidos tras evaluar la
cobertura de un conjunto de puntos de control se indican en el cuadro siguiente:
Cuadro 5
Controles sobre las actividades de revisin de niveles de servicio.
Reporte con el proveedor. Para las revisiones del servicio con los proveedores existe un
procedimiento de reporte definido y acordado de: (1) canales de comunicacin y
destinatarios, (2) contenido de los reportes y (3) frecuencia.
(1)
Reporte interno. Para el control interno corporativo del cumplimiento de los niveles de
servicio de proveedores existe un procedimiento interno definido de: (1) canales de
comunicacin y destinatarios, (2) contenido de los reportes y (3) frecuencia.
(2)
Revisiones con el proveedor. Existen reuniones especficas de revisin del servicio con los
proveedores con la finalidad de revisar el cumplimiento de los objetivos de nivel de servicio
fijados mediante indicadores. Estas reuniones estn formalizadas, tienen una periodicidad
aceptable y estn soportadas documentalmente (actas de reunin).

Indicadores. Las revisiones de los niveles de servicio estn basadas en objetivos de nivel
de servicio mediante indicadores.

En el caso de incumplimientos de objetivos se generan informes de excepciones y existen,
tanto para el cliente como para el proveedor, acciones apropiadas para mejorar reas en
las que no se estn consiguiendo los objetivos. Todas las acciones estn registradas en
actas, y sometidas a revisin de su progreso en reuniones de seguimiento.

(1) Aunque existen evidencias de reportes entre proveedores y gestores de acuerdos no se ha
observado una definicin normalizada que aplique de manera homognea a todos los
proveedores objeto del proceso.
(2) Aunque existen evidencias de reportes por parte de gestores de los acuerdos a sus responsables
(ej. Directores de las diversas rea de la Gerencia de Produccin) y al rea de
ComprasTecnolgicas de la Gerencia de Compras, no se ha observado un procedimiento interno
definido de reporte formal orientado a un control interno corporativo del cumplimiento de
los niveles de servicio de proveedores (adicional al que efecta el gestor del acuerdo).

Julio 2010


Aunque en la operativa habitual (facturacin, negociacin, renovacin) de la Gerencia de
Compras se contemplan los reportes del cumplimiento de compromisos los proveedores que
proporcionan los gestores de los acuerdos, esta actividad no est reflejada en los actuales
procedimientos. Por la importancia de la misma, esta actividad debera contemplarse en los
Procedimiento de Control de Proveedores de manera que se garantice que todos aquellos
acuerdos que lleven implcitos acuerdos de niveles de servicio con indicadores asociados a
objetivos, el gestor del acuerdo reporte de forma peridica, de manera que se garantice esta
informacin en todas las revisiones o renovaciones de acuerdos efectuadas por parte de la
Gerencia de Compras.

2.2.3. Programas de mejora del servicio
Cuando se identifique una dificultad subyacente que est impactando negativamente sobre la calidad del
servicio, se debe promover un programa de mejora del servicio para identificar e implementar las
acciones que sean necesarias para superar las dificultades y restaurar la calidad del servicio. A
continuacin, con el fin de evaluar esta actividad se ha analizado la existencia y adecuacin del siguiente
control, no habindose identificado aspectos de mejora.

Cuadro 6
Controles sobre la revisin de los programas de mejora del servicio.
Se han identificado actividades de mejora de servicio como resultado de problemas
detectados que estaban impactando negativamente sobre la calidad del servicio.

2.3. Esquema de medicin y gestin del proceso
En este captulo se verifica que el proceso se encuentra bajo un esquema de medicin de su desempeo
y que el esquema forma parte de un marco de gestin.

2.3.1. Esquema de medicin de desempeo del proceso
En relacin a la gestin de proveedores los dos principales procesos tienen previstos las siguientes
mediciones:
- Mtricas orientadas a controlar el cumplimiento de los acuerdos
6
en el caso del Proceso de Gestin de
Suministradores.

- Indicadores basados en las evaluaciones que el rea de Calidad efecta sobre una muestra o listado
de proveedores a demanda de la Gerencia de Compras para el Proceso de Control de Proveedores
de dicha Direccin
7
.
Con esta informacin, las medidas y mtricas asociadas al proceso y su cobertura han sido evaluadas
segn los siguientes puntos de control recogidos en el Cuadro 7:

6
Ej. La variacin, respecto al mes anterior, del porcentaje de servicios acordados con proveedores que cumplen el Acuerdo de Nivel
de Servicio establecido con los mismos.
7
Ej. Nmero de proveedores evaluados o porcentaje de proveedores sujetos a medidas correctivas.

Julio 2010


Cuadro 7
Esquema de medicin de desempeo del proceso.
Estn definidas mtricas que proporcionen visin de las salidas y el rendimiento de los
principales elementos del proceso.
(1)
Las mtricas del proceso son especficas, medibles, procesables, realistas y orientadas a
resultados.

Estn establecidos objetivos que se reflejen en metas, logros, o rendimiento de los
principales elementos del proceso. Los objetivos son especficos, medibles, procesables,
realistas y orientados a resultados.
(2)
(1) Tal y como se ha indicado anteriormente, el Proceso de Control de Proveedores de la Gerencia de
Compras no contempla una actividad especfica de seguimiento continuo y pormenorizado del
cumplimiento de los acuerdos de nivel de servicio que efectan los gestores de los acuerdos. Esta
actividad debera estar medida, supervisada e incluida en algn esquema de gestin que
garantice su ejecucin, resultados y logros.
(2) Los indicadores del Proceso de Control de Proveedores de la Gerencia de Compras no tiene
definidos objetivos orientado a la consecucin de metas o control del proceso.

2.3.2. Marco de gestin de los indicadores y mtricas definidas
En este apartado se verifica que el esquema de mtricas forma parte de un marco de gestin (ej. Comit)
orientado al control de proceso (eficacia y eficiencia), toma de decisiones y mejora del mismo. Para la
revisin de este apartado, se han evaluado los siguientes puntos de control recogidos en el Cuadro 8, as
como el resultado de su revisin:
Cuadro 8
Controles sobre la gestin de indicadores y mtricas.
Informacin de reporte. La informacin recogida para los reportes es suficiente y relevante
para la gestin del proceso: contempla objetivos, destaca cumplimientos/desviaciones, es
til para reportar/justificar desviaciones e incidencias.
(1)
Procedimientos de reporte y seguimiento. La informacin de reporte forma parte de algn
esquema de presentacin y seguimiento (ej. comits) para evaluar la calidad del proceso.
Para el procedimiento de reporte deben estar definidos canales de comunicacin,
contenido, frecuencia y destinatarios.
De la revisin de los anteriores puntos se han identificado que:
(1) Ambos procesos an no ha generado actividades ni registros que formen parte de reportes
de informacin de gestin de los procesos.

Julio 2010


3. CONCLUSIONES
De acuerdo con lo indicado en los puntos anteriores, el entorno global de control es, en general,
adecuado, si bien se han observado situaciones susceptibles de mejora que se describirn a
continuacin.
El marco general de control que se encuentra definido y ejecutndose tanto por parte de los gestores de
los servicios externalizados como por los responsables de la Gerencia de Compras, debera contemplar
los siguientes aspectos de mejora de cara a fortalecer las evaluaciones de los servicios prestados, los
seguimientos de los proveedores y el establecimiento de medidas correctoras:
1. La actividad de seguimiento continuo y pormenorizado del cumplimiento de los acuerdos de nivel de
servicio (ANS) que efectan los peticionarios/beneficiarios de los servicios externalizados debera, en
el Proceso de Control de Proveedores de la Gerencia de Compras: (1) estar contemplada y
normalizada, (2) formalizar la figura del Gestor del Acuerdo, (3) generar reportes peridicos de esta
actividad a los responsables globales del proceso (ej. la Gerencia de Compras), y (4) estar sujeta a
algn indicador de gestin.
Por su relacin con el Proceso de Gestin de Proveedores de Tecnologa de la Gerencia de
Produccin, ambos procesos deberan estar ms coordinados buscando cubrir aspectos
complementarios, evitar duplicidades y conseguir alineamientos.
(Recomendacin n1)
2. Ausencia de un catlogo corporativo de servicios externalizados bajo acuerdos de nivel de servicio
como herramienta base para la gestin del proceso de seguimiento del cumplimiento de los acuerdos,
tanto por el Proceso de Control de Proveedores de la Gerencia de Compras como el Proceso de
Gestin de Proveedores de Tecnologa de la Gerencia de Produccin. (Recomendacin n3)
3. Aunque existen evidencias de correctas supervisiones por parte de gestores de acuerdos, la ausencia
de ciertas actividades de control hacen necesaria una normalizacin que aplique de manera
homognea el seguimiento continuo y pormenorizado del cumplimiento de acuerdos que contempla el
Proceso de Gestin de Proveedores de Tecnologa de la Gerencia de Produccin de manera que:
- Se establezcan controles que garanticen que sobre un catlogo corporativo de servicios
externalizados bajo un ANS, para todos ellos existan seguimientos de los cumplimientos de los
acuerdos por parte de los gestores de servicios externalizados.
- Se contemplen, al menos, los controles especficos indicados en este informe a las tres
actividades centrales del proceso: (1) monitorizacin y reporte, (2) revisin de los niveles de
servicio y (3) programas de mejora del servicio.
- Se personalicen (reasignen) los perfiles que contempla el proceso reflejando los cambios
organizativos.
(Recomendacin n2)

Julio 2010


4. OPININ Y RECOMENDACIONES
De acuerdo con lo indicado en las conclusiones anteriores, las recomendaciones ordenadas en funcin
de su importancia son:
Importancia Media
1. Revisar la actual definicin del Proceso de Control de Proveedores de la Gerencia de Compras
contemplando al menos:
- La actividad de seguimiento continuo y pormenorizado del cumplimiento de los acuerdos de nivel
de servicio que realizan los Gestores de los Acuerdos.
- La figura del Gestor del Acuerdo como peticionario/beneficiario de servicios externalizados y sus
responsabilidades en la monitorizacin y seguimiento los acuerdos.
- Actividades que garanticen el reporte peridico a la Gerencia de Compras por parte de los
Gestores de los Acuerdos de los resultados de su monitorizacin y seguimiento de los acuerdos.
- Indicadores (mtricas) de la actividad de seguimiento continuo y pormenorizado de los Gestores
de los Acuerdos de nivel de servicio.
- Una coordinacin con el Proceso de Gestin de Proveedores de Tecnologa de la Gerencia de
Produccin.
Responsable: X
Colaboradores: Y Fecha de realizacin: 31/01/2012

2. Revisar y consolidar el Proceso de Gestin de Proveedores de Tecnologa de la Gerencia de
Produccin asegurando al menos:
- La incorporacin de actividades que garanticen la cobertura de controles en la monitorizacin y
reporte de los acuerdos, la revisin del cumplimiento de los niveles de servicio y la elaboracin de
programas de mejora del servicio segn los puntos de control del presente informe.
- La asignacin personalizada de los perfiles que contempla el proceso reflejando los cambios
organizativos y la formalizacin de los gestores responsables (actualizacin, asignacin y
comunicacin de funciones y responsabilidades dentro de proceso).
- Un plan de incorporacin de nuevos proveedores objeto de seguimiento en el marco del proceso.
Responsable: X Fecha de realizacin: 31/10/2012

3. Elaborar un catlogo corporativo de servicios externalizados bajo ANS como base para el
seguimiento continuo y pormenorizado del cumplimiento de acuerdos con proveedores.
Responsable: Y Fecha de realizacin: 31/01/2012

Madrid, 26 de septiembre de 2011
Equipo de trabajo: Damin Ruiz Soriano
VB
Fdo: Armando Jarana Segura
Director del rea de
Auditora de SSII
Fdo.: Dolores Fuertes de la Cabeza
Directora del Departamento de Auditora
de Procesos de SSII

Ejercicio: Gestin de Acuerdos con Proveedores

Curso de Introduccin a la Auditora de Procesos de Sistemas de Informacin

Proceso de Administrar los servicios de terceros
(DS2 Manage Third-party Services)

Ejercicio. A partir del Framework de CoBit identificar para la actividad de
Monitorizacin del desempeo del proveedor (DS2.4 Supplier Performance
Monitoring)

o Objetivo de control detallado
o 1 Prctica de Control
o 1 Actividades para testear las Prcticas de Control
o 1 Paso para el Programa de Trabajo (Appendix IV) y CoBit (3 Ed.)
o Modelo de Madurez
o Mtricas bsicas (KPI, KGI y CSF)
o 1 Riesgo clave

4.0

Objetivos de Control
Modelos de Madurez

108 I T G O V E R N A N C E I N S T I T U T E

DS2
Administrar los servicios de terceros

Objetivos de control detallados


DS2.1 Identificacin de las relaciones con todos los proveedores
Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el tipo de proveedor, la importancia y la criticidad.
Mantener documentacin formal de las relaciones tcnicas y organizacionales incluyendo los roles y responsabilidades, metas,
expectativas, entregables esperados y credenciales de los representantes de estos proveedores.

DS2.2 Administracin de las relaciones con los proveedores
Formalizar el proceso de administracin de relaciones con proveedores por cada proveedor. Los responsables de las relaciones deben
coordinar a los proveedores y los clientes y asegurar la calidad de las relaciones con base en la confianza y la transparencia (por
ejemplo, a travs de acuerdos de niveles de servicio).

DS2.3 Administracin de riesgos del proveedor
Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores para mantener una efectiva entrega de servicios de
forma segura y eficiente sobre una base de continuidad. Asegurar que los contratos estn de acuerdo con los estndares universales del
negocio de conformidad con los requerimientos legales y regulatorios. La administracin del riesgo debe considerar adems acuerdos de
confidencialidad (NDAs), contratos de garanta, viabilidad de la continuidad del proveedor, conformidad con los requerimientos de
seguridad, proveedores alternativos, penalizaciones e incentivos, etc.

DS2.4 Monitoreo del desempeo del proveedor
Establecer un proceso para monitorear la prestacin del servicio para asegurar que el proveedor est cumpliendo con los requerimientos
del negocio actuales y que se apega de manera continua a los acuerdos del contrato y a los convenios de niveles de servicio, y que el
desempeo es competitivo respecto a los proveedores alternativos y a las condiciones del mercado.

Entregar y dar soporte

I T G O V E R N A N C E I N S T I T U T E 109
DS2

Desde Entradas
P01 Estrategia de contratacin de TI
P08 Estndares de adquisicin
AI5 Arreglos contractuales, requerimientos de
administracin de relaciones con terceros
DS1 SLAs, reporte de revisin de contrato
DS4 Requerimientos de servicio contra desastre
incluyendo roles y responsabilidades
Grfica RACI Funciones
Metas y mtricas

se miden con se miden con se miden con

Salidas Para
Reportes de desempeo de los procesos ME1
Catlogo del proveedor AI5
Riesgos del proveedor P09
Metas y mtricas
Metas de actividades
Identificacin y categorizacin de
los servicios del proveedor
Identificacin y mitigacin de
riesgos del proveedor
Monitoreo y medicin del
desempeo del proveedor
Metas de procesos
Establecer relaciones y
responsabilidades bilaterales con
proveedores calificados de
servicios tercerizados.
Monitorear la prestacin del
servicio y verificar el apego a los
acuerdos.
Asegurar que el proveedor cumple
con los estndares internos y
externos.
Mantener el deseo del proveedor
de continuar con la relacin.
Metas de TI
Asegurar una relacin de mutua
satisfaccin con los terceros.
Asegurar la satisfaccin de los
usuarios finales con las ofertas
de servicio y los niveles de
servicio.
Asegurar transparencia y
entendimiento de los costos,
beneficios, estrategia, polticas y
niveles de servicio de TI.

Indicadores clave de desempeo
% de los principales proveedores
sujetos a una clara definicin de
requerimientos y niveles de
servicio
sujetos a monitoreo
Nivel de satisfaccin del negocio
con comunicacin efectiva por
parte del proveedor
Nivel de satisfaccin del proveedor
con comunicacin efectiva por
parte del negocio
# de incidentes significativos por
incumplimiento del proveedor en
un periodo de tiempo
Indicadores clave de meta de procesos
que cumplen claramente los
requerimientos definidos y los
niveles de servicio
# de controversias formales con el
proveedor
% de facturas del proveedor en
controversia
Indicadores clave de metas de TI
# de quejas de los usuarios
debidas a los servicios
contratados
% del gasto dedicado a
aprovisionamiento competitivo
Dirigen
Dirigen

110 I T G O V E R N A N C E I N S T I T U T E

DS2
Definir un plan estratgico de TI Modelo de madurez
DS2 Administrar servicios de terceros

La administracin del proceso de Administrar los servicios de terceros que satisfagan los requerimientos de TI del negocio
de brindar servicios de terceros satisfactorios siendo transparentes respecto a los beneficios, costos y riesgos es:

0 No existente cuando
Las responsabilidades y la rendicin de cuentas no estn definidas. No hay polticas y procedimientos formales respecto a la contratacin con
terceros. Los servicios de terceros no son ni aprobados ni revisados por la gerencia. No hay actividades de medicin y los terceros no reportan.
A falta de una obligacin contractual de reportar, la alta gerencia no est al tanto de la calidad del servicio prestado.

1 Inicial/Ad Hoc cuando
La gerencia est conciente de la importancia de la necesidad de tener polticas y procedimientos documentados para la administracin
de los servicios de terceros, incluyendo la firma de contratos. No hay condiciones estandarizadas para los convenios con los
prestadores de servicios. La medicin de los servicios prestados es informal y reactiva. Las prcticas dependen de la experiencia de los
individuos y del proveedor (por ejemplo, por demanda).

2 Repetible pero intuitiva cuando
El proceso de supervisin de los proveedores de servicios de terceros, de los riesgos asociados y de la prestacin de servicios es
informal. Se utiliza un contrato pro-forma con trminos y condiciones estndares del proveedor (por ejemplo, la descripcin de
servicios que se prestarn). Los reportes sobre los servicios existen, pero no apoyan los objetivos del negocio.

3 Proceso definido cuando
Hay procedimientos bien documentados para controlar los servicios de terceros con procesos claros para tratar y negociar con los
proveedores. Cuando se hace un acuerdo de prestacin de servicios, la relacin con el tercero es meramente contractual. La naturaleza de
los servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control. Se asigna la responsabilidad
de supervisar los servicios de terceros. Los trminos contractuales se basan en formatos estandarizados. El riesgo del negocio asociado
con los servicios del tercero esta valorado y reportado.

4 Administrado y medible cuando
Se establecen criterios formales y estandarizados para definir los trminos de un acuerdo, incluyendo alcance del trabajo,
servicios/entregables a suministrar, suposiciones, calendario, costos, acuerdos de facturacin y responsabilidades. Se asignan las
responsabilidades para la administracin del contrato y del proveedor. Las aptitudes, capacidades y riesgos del proveedor son
verificadas de forma continua. Los requerimientos del servicio estn definidos y alineados con los objetivos del negocio. Existe un
proceso para comparar el desempeo contra los trminos contractuales, lo cual proporciona informacin para evaluar los servicios
actuales y futuros del tercero. Se utilizan modelos de fijacin de precios de transferencia en el proceso de adquisicin. Todas las partes
involucradas tienen conocimiento de las expectativas del servicio, de los costos y de las etapas. Se acordaron los KPIs y KGIs para la
supervisin del servicio.

5 Optimizado cuando
Los contratos firmados con los terceros son revisados de forma peridica en intervalos predefinidos. La responsabilidad de
administrar a los proveedores y la calidad de los servicios prestados est asignada. Se monitorea el cumplimiento de las condiciones
operacionales, legales y de control y se implantan acciones correctivas. El tercero est sujeto a revisiones peridicas independientes y
se le retroalimenta sobre su desempeo para mejorar la prestacin del servicio. Las mediciones varan como respuesta a los cambios en
las condiciones del negocio. Las mediciones ayudan a la deteccin temprana de problemas potenciales con los servicios de terceros. La
notificacin completa y bien definida del cumplimiento de los niveles de servicio, est asociada con la compensacin del tercero. La
gerencia ajusta el proceso de adquisicin y monitoreo de servicios de terceros con base en los resultados de los KPIs y KGIs.

Control Practices
Control Objectives
Value Drivers
Risk Drivers
GUIDANCE TO ACHIEVE CONTROL
OBJECTIVES FOR SUCCESSFUL
IT GOVERNANCE
2
ND
EDITION
DSDELIVERAND SUPPORT
101
I T G O V E R N A N C E I N S T I T U T E
D
S
2
.
2

S
u
p
p
l
i
e
r

R
e
l
a
t
i
o
n
s
h
i
p

M
a
n
a
g
e
m
e
n
t

F
o
r
m
a
l
i
s
e

t
h
e

s
u
p
p
l
i
e
r

r
e
l
a
t
i
o
n
s
h
i
p

m
a
n
a
g
e
m
e
n
t

p
r
o
c
e
s
s

f
o
r

e
a
c
h

s
u
p
p
l
i
e
r
.

T
h
e
r
e
l
a
t
i
o
n
s
h
i
p

o
w
n
e
r
s

s
h
o
u
l
d

l
i
a
i
s
e

o
n

c
u
s
t
o
m
e
r

a
n
d

s
u
p
p
l
i
e
r

i
s
s
u
e
s

a
n
d

e
n
s
u
r
e

t
h
e
q
u
a
l
i
t
y

o
f

t
h
e

r
e
l
a
t
i
o
n
s
h
i
p

b
a
s
e
d

o
n

t
r
u
s
t

a
n
d

t
r
a
n
s
p
a
r
e
n
c
y

(
e
.
g
.
,

t
h
r
o
u
g
h

S
L
A
s
)
.
C
o
n
t
r
o
l

P
r
a
c
t
i
c
e
s
1
.

D
e
f
i
n
e

a
n
d

f
o
r
m
a
l
i
s
e

r
o
l
e
s

a
n
d

r
e
s
p
o
n
s
i
b
i
l
i
t
i
e
s

f
o
r

e
a
c
h

s
e
r
v
i
c
e

s
u
p
p
l
i
e
r
.
2
.

A
s
s
i
g
n

r
e
l
a
t
i
o
n
s
h
i
p

o
w
n
e
r
s

f
o
r

a
l
l

s
u
p
p
l
i
e
r
s

a
n
d

m
a
k
e

t
h
e
m

a
c
c
o
u
n
t
a
b
l
e

f
o
r

t
h
e

q
u
a
l
i
t
y

o
f

s
e
r
v
i
c
e
(
s
)

p
r
o
v
i
d
e
d
.
3
.

D
o
c
u
m
e
n
t

t
h
e

s
u
p
p
l
i
e
r

r
e
l
a
t
i
o
n
s
h
i
p

m
a
n
a
g
e
r
s

a
n
d

c
o
m
m
u
n
i
c
a
t
e

t
h
e

i
n
f
o
r
m
a
t
i
o
n

w
i
t
h
i
n

t
h
e

o
r
g
a
n
i
s
a
t
i
o
n
.
4
.

E
s
t
a
b
l
i
s
h

a
n
d

d
o
c
u
m
e
n
t

a

f
o
r
m
a
l

c
o
m
m
u
n
i
c
a
t
i
o
n

p
r
o
c
e
s
s

b
e
t
w
e
e
n

t
h
e

o
r
g
a
n
i
s
a
t
i
o
n

a
n
d

t
h
e

s
e
r
v
i
c
e

p
r
o
v
i
d
e
r
.

5
.

E
n
s
u
r
e

t
h
a
t

c
o
n
t
r
a
c
t
s

w
i
t
h

k
e
y

s
e
r
v
i
c
e

s
u
p
p
l
i
e
r
s

p
r
o
v
i
d
e

f
o
r

a

r
e
v
i
e
w

o
f

s
u
p
p
l
i
e
r

i
n
t
e
r
n
a
l

c
o
n
t
r
o
l
s

b
y

m
a
n
a
g
e
m
e
n
t

o
r

i
n
d
e
p
e
n
d
e
n
t

t
h
i
r
d

p
a
r
t
i
e
s
.
6
.

R
e
g
u
l
a
r
l
y

r
e
v
i
e
w

t
h
e

r
e
p
o
r
t
s

b
e
t
w
e
e
n

t
h
e

o
r
g
a
n
i
s
a
t
i
o
n

a
n
d

t
h
e

s
e
r
v
i
c
e

s
u
p
p
l
i
e
r
.
7
.

R
e
g
i
s
t
e
r

i
n
c
i
d
e
n
t
s

c
a
u
s
e
d

b
y

s
u
p
p
l
i
e
r
s

a
n
d

r
e
p
o
r
t

t
h
e
m

u
s
i
n
g

t
h
e

c
o
m
p
a
n
y
s

i
n
t
e
r
n
a
l

i
n
c
i
d
e
n
t

m
a
n
a
g
e
m
e
n
t

p
r
o
c
e
s
s
.
8
.

P
e
r
i
o
d
i
c
a
l
l
y

r
e
v
i
e
w

a
n
d

a
s
s
e
s
s

s
u
p
p
l
i
e
r

p
e
r
f
o
r
m
a
n
c
e

a
g
a
i
n
s
t

e
s
t
a
b
l
i
s
h
e
d

a
n
d

a
g
r
e
e
d
-
u
p
o
n

s
e
r
v
i
c
e

l
e
v
e
l
s
.

C
l
e
a
r
l
y

c
o
m
m
u
n
i
c
a
t
e

s
u
g
g
e
s
t
e
d

c
h
a
n
g
e
s

t
o

t
h
e

s
e
r
v
i
c
e

s
u
p
p
l
i
e
r
.
V
a
l
u
e

D
r
i
v
e
r
s
C
o
n
t
r
o
l

O
b
j
e
c
t
i
v
e

R
e
l
a
t
i
o
n
s
h
i
p
s

p
r
o
m
o
t
e
d

t
h
a
t

s
u
p
p
o
r
t
t
h
e

o
v
e
r
a
l
l

e
n
t
e
r
p
r
i
s
e

o
b
j
e
c
t
i
v
e
s

(
b
o
t
h
b
u
s
i
n
e
s
s

a
n
d

I
T
)

E
f
f
e
c
t
i
v
e

a
n
d

e
f
f
i
c
i
e
n
t

c
o
m
m
u
n
i
c
a
t
i
o
n
a
n
d

p
r
o
b
l
e
m

r
e
s
o
l
u
t
i
o
n

C
l
e
a
r

o
w
n
e
r
s
h
i
p

o
f

r
e
s
p
o
n
s
i
b
i
l
t
i
i
e
s
b
e
t
w
e
e
n

c
u
s
t
o
m
e
r

a
n
d

s
u
p
p
l
i
e
r
R
i
s
k

D
r
i
v
e
r
s

S
u
p
p
l
i
e
r

n
o
t

r
e
s
p
o
n
s
i
v
e

o
r

c
o
m
m
i
t
t
e
d
t
o

t
h
e

r
e
l
a
t
i
o
n
s
h
i
p

P
r
o
b
l
e
m
s

a
n
d

i
s
s
u
e
s

n
o
t

r
e
s
o
l
v
e
d

I
n
a
d
e
q
u
a
t
e

s
e
r
v
i
c
e

q
u
a
l
i
t
y
D
S
2

M
a
n
a
g
e

T
h
i
r
d
-
p
a
r
t
y

S
e
r
v
i
c
e
s
D
S
2
.
3

S
u
p
p
l
i
e
r

R
i
s
k

M
a
n
a
g
e
m
e
n
t

I
d
e
n
t
i
f
y

a
n
d

m
i
t
i
g
a
t
e

r
i
s
k
s

r
e
l
a
t
i
n
g

t
o

s
u
p
p
l
i
e
r
s
a
b
i
l
i
t
y

t
o

c
o
n
t
i
n
u
e

e
f
f
e
c
t
i
v
e
s
e
r
v
i
c
e

d
e
l
i
v
e
r
y

i
n

a

s
e
c
u
r
e

a
n
d

e
f
f
i
c
i
e
n
t

m
a
n
n
e
r

o
n

a

c
o
n
t
i
n
u
a
l

b
a
s
i
s
.

E
n
s
u
r
e
t
h
a
t

c
o
n
t
r
a
c
t
s

c
o
n
f
o
r
m

t
o

u
n
i
v
e
r
s
a
l

b
u
s
i
n
e
s
s

s
t
a
n
d
a
r
d
s

i
n

a
c
c
o
r
d
a
n
c
e

w
i
t
h

l
e
g
a
l
a
n
d

r
e
g
u
l
a
t
o
r
y

r
e
q
u
i
r
e
m
e
n
t
s
.

R
i
s
k

m
a
n
a
g
e
m
e
n
t

s
h
o
u
l
d

f
u
r
t
h
e
r

c
o
n
s
i
d
e
r

n
o
n
-
d
i
s
c
l
o
s
u
r
e

a
g
r
e
e
m
e
n
t
s

(
N
D
A
s
)
,

e
s
c
r
o
w

c
o
n
t
r
a
c
t
s
,

c
o
n
t
i
n
u
e
d

s
u
p
p
l
i
e
r

v
i
a
b
i
l
i
t
y
,
c
o
n
f
o
r
m
a
n
c
e

w
i
t
h

s
e
c
u
r
i
t
y

r
e
q
u
i
r
e
m
e
n
t
s
,

a
l
t
e
r
n
a
t
i
v
e

s
u
p
p
l
i
e
r
s
,

p
e
n
a
l
t
i
e
s

a
n
d
r
e
w
a
r
d
s
,

e
t
c
.
C
o
n
t
r
o
l

P
r
a
c
t
i
c
e
s
1
.

I
d
e
n
t
i
f
y

a
n
d

m
o
n
i
t
o
r

s
u
p
p
l
i
e
r

r
i
s
k
s

i
n

a
c
c
o
r
d
a
n
c
e

w
i
t
h

t
h
e

o
r
g
a
n
i
s
a
t
i
o
n
s

e
s
t
a
b
l
i
s
h
e
d

r
i
s
k

m
a
n
a
g
e
m
e
n
t

p
r
o
c
e
s
s
.
2
.

I
d
e
n
t
i
f
y

a
n
d

d
o
c
u
m
e
n
t

i
n

t
h
e

c
o
n
t
r
a
c
t

s
u
p
p
l
i
e
r

r
i
s
k
s

(
a
n
d

r
e
m
e
d
i
e
s
)

a
s
s
o
c
i
a
t
e
d

w
i
t
h

t
h
e

s
u
p
p
l
i
e
r
s

i
n
a
b
i
l
i
t
y

t
o

f
u
l
f
i
l

t
h
e

c
o
n
t
r
a
c
t
u
a
l

a
g
r
e
e
m
e
n
t
(
s
)
.

3
.

W
h
e
n

d
e
f
i
n
i
n
g

t
h
e

c
o
n
t
r
a
c
t
,

c
o
n
s
i
d
e
r

r
e
m
e
d
i
e
s

i
n
c
l
u
d
i
n
g

s
o
f
t
w
a
r
e

e
s
c
r
o
w

a
g
r
e
e
m
e
n
t
s
,

a
l
t
e
r
n
a
t
i
v
e

s
u
p
p
l
i
e
r
s

o
r

s
t
a
n
d
b
y

a
g
r
e
e
m
e
n
t
s

i
n

t
h
e

e
v
e
n
t

o
f

s
u
p
p
l
i
e
r

f
a
i
l
u
r
e
.
4
.

R
e
v
i
e
w

a
l
l

c
o
n
t
r
a
c
t
s

f
o
r

l
e
g
a
l

a
n
d

r
e
g
u
l
a
t
o
r
y

r
e
q
u
i
r
e
m
e
n
t
s
.

V
a
l
u
e

D
r
i
v
e
r
s
C
o
n
t
r
o
l

O
b
j
e
c
t
i
v
e

C
o
m
p
l
i
a
n
c
e

w
i
t
h

l
e
g
a
l

a
n
d

c
o
n
t
r
a
c
t
u
a
l
r
e
q
u
i
r
e
m
e
n
t
s

R
e
d
u
c
e
d

i
n
c
i
d
e
n
t
s

a
n
d

p
o
t
e
n
t
i
a
l

l
o
s
s
e
s

I
n
d
e
n
t
i
f
i
c
a
t
i
o
n

o
f

l
o
w
-
r
i
s
k
,

w
e
l
l
-
m
a
n
a
g
e
d

s
u
p
p
l
i
e
r
s
R
i
s
k

D
r
i
v
e
r
s

N
o
n
-
c
o
m
p
l
i
a
n
c
e

w
i
t
h

r
e
g
u
l
a
t
o
r
y

a
n
d
l
e
g
a
l

o
b
l
i
g
a
t
i
o
n
s

S
e
c
u
r
i
t
y

a
s

w
e
l
l

a
s

o
t
h
e
r

i
n
c
i
d
e
n
t
s

F
i
n
a
n
c
i
a
l

l
o
s
s
e
s

a
n
d

r
e
p
u
t
a
t
i
o
n
a
l
d
a
m
a
g
e

b
e
c
a
u
s
e

o
f

s
e
r
v
i
c
e
i
n
t
e
r
r
u
p
t
i
o
n
COBITCONTROLPRACTICES, 2
ND
EDITION
I T G O V E R N A N C E I N S T I T U T E
102
D
S
2

M
a
n
a
g
e

T
h
i
r
d
-
p
a
r
t
y

S
e
r
v
i
c
e
s

(
c
o
n
t
.
)
D
S
2
.
4

S
u
p
p
l
i
e
r

P
e
r
f
o
r
m
a
n
c
e

M
o
n
i
t
o
r
i
n
g

E
s
t
a
b
l
i
s
h

a

p
r
o
c
e
s
s

t
o

m
o
n
i
t
o
r

s
e
r
v
i
c
e

d
e
l
i
v
e
r
y

t
o

e
n
s
u
r
e

t
h
a
t

t
h
e

s
u
p
p
l
i
e
r

i
s
m
e
e
t
i
n
g

c
u
r
r
e
n
t

b
u
s
i
n
e
s
s

r
e
q
u
i
r
e
m
e
n
t
s

a
n
d

c
o
n
t
i
n
u
i
n
g

t
o

a
d
h
e
r
e

t
o

t
h
e

c
o
n
t
r
a
c
t
a
g
r
e
e
m
e
n
t
s

a
n
d

S
L
A
s
,

a
n
d

t
h
a
t

p
e
r
f
o
r
m
a
n
c
e

i
s

c
o
m
p
e
t
i
t
i
v
e

w
i
t
h

a
l
t
e
r
n
a
t
i
v
e
s
u
p
p
l
i
e
r
s

a
n
d

m
a
r
k
e
t

c
o
n
d
i
t
i
o
n
s
.
C
o
n
t
r
o
l

P
r
a
c
t
i
c
e
s
1
.

D
e
f
i
n
e

a
n
d

d
o
c
u
m
e
n
t

c
r
i
t
e
r
i
a

t
o

m
o
n
i
t
o
r

s
e
r
v
i
c
e

s
u
p
p
l
i
e
r
s
p
e
r
f
o
r
m
a
n
c
e
.
2
.

E
n
s
u
r
e

t
h
a
t

t
h
e

s
u
p
p
l
i
e
r

r
e
g
u
l
a
r
l
y

r
e
p
o
r
t
s

o
n

a
g
r
e
e
d
-
u
p
o
n

p
e
r
f
o
r
m
a
n
c
e

c
r
i
t
e
r
i
a
.

3
.

I
n
v
i
t
e

u
s
e
r
s

t
o

p
r
o
v
i
d
e

f
e
e
d
b
a
c
k

f
o
r

a
s
s
e
s
s
m
e
n
t

o
f

s
u
p
p
l
i
e
r

p
e
r
f
o
r
m
a
n
c
e

a
n
d

q
u
a
l
i
t
y

o
f

s
e
r
v
i
c
e
.

4
.

E
v
a
l
u
a
t
e

t
h
e

c
o
s
t
s

a
n
d

m
a
r
k
e
t

c
o
n
d
i
t
i
o
n
s

f
o
r

t
h
e

s
e
r
v
i
c
e

l
e
v
e
l
s

b
y

b
e
n
c
h
m
a
r
k
i
n
g

a
g
a
i
n
s
t

a
l
t
e
r
n
a
t
i
v
e

s
u
p
p
l
i
e
r
s
,

a
n
d

i
d
e
n
t
i
f
y

p
o
t
e
n
t
i
a
l

f
o
r

i
m
p
r
o
v
e
m
e
n
t
.
5
.

D
e
f
i
n
e

a
r
b
i
t
r
a
t
i
o
n

p
r
o
c
e
d
u
r
e
s

t
o

c
o
n
s
u
l
t

a
n

a
r
b
i
t
r
a
t
i
o
n

c
o
m
m
i
t
t
e
e

b
e
f
o
r
e

b
r
i
n
g
i
n
g

a
n

a
c
t
i
o
n
.
V
a
l
u
e

D
r
i
v
e
r
s
C
o
n
t
r
o
l

O
b
j
e
c
t
i
v
e

T
i
m
e
l
y

d
e
t
e
c
t
i
o
n

o
f

s
e
r
v
i
c
e

l
e
v
e
l

n
o
n
-
c
o
m
p
l
i
a
n
c
e

B
e
n
e
f
i
t
s

o
f

s
e
r
v
i
c
e

c
o
n
t
r
a
c
t

r
e
a
l
i
s
e
d

C
o
s
t
s

c
o
n
t
r
o
l
l
e
d

C
o
s
t
l
y

d
i
s
p
u
t
e
s

a
n
d

p
o
s
s
i
b
l
e

l
i
t
i
g
a
t
i
o
n
a
v
o
i
d
e
d
R
i
s
k

D
r
i
v
e
r
s

U
n
d
e
t
e
c
t
e
d

s
e
r
v
i
c
e

d
e
g
r
a
d
a
t
i
o
n

I
n
a
b
i
l
i
t
y

t
o

c
h
a
l
l
e
n
g
e

c
o
s
t
s

a
n
d

s
e
r
v
i
c
e
q
u
a
l
i
t
y

I
n
a
b
i
l
i
t
y

t
o

o
p
t
i
m
i
s
e

c
h
o
i
c
e

o
f
s
u
p
p
l
i
e
r
s
Need for IT Governance and Assurance
The COBIT
Framework
IT Assurance Approaches
How COBIT Supports IT Assurance Activities
USING COBIT

159
APPENDIX IV
D
S
2

M
a
n
a
g
e

T
h
i
r
d
-
p
a
r
t
y

S
e
r
v
i
c
e
s
T
h
e

n
e
e
d

t
o

a
s
s
u
r
e

t
h
a
t

s
e
r
v
i
c
e
s

p
r
o
v
i
d
e
d

b
y

t
h
i
r
d

p
a
r
t
i
e
s

(
s
u
p
p
l
i
e
r
s
,

v
e
n
d
o
r
s

a
n
d

p
a
r
t
n
e
r
s
)

m
e
e
t

b
u
s
i
n
e
s
s

r
e
q
u
i
r
e
m
e
n
t
s

r
e
q
u
i
r
e
s

a
n

e
f
f
e
c
t
i
v
e

t
h
i
r
d
-
p
a
r
t
y

m
a
n
a
g
e
m
e
n
t

p
r
o
c
e
s
s
.
T
h
i
s

p
r
o
c
e
s
s

i
s

a
c
c
o
m
p
l
i
s
h
e
d

b
y

c
l
e
a
r
l
y

d
e
f
i
n
i
n
g

t
h
e

r
o
l
e
s
,

r
e
s
p
o
n
s
i
b
i
l
i
t
i
e
s

a
n
d

e
x
p
e
c
t
a
t
i
o
n
s

i
n

t
h
i
r
d
-
p
a
r
t
y

a
g
r
e
e
m
e
n
t
s

a
s

w
e
l
l

a
s

r
e
v
i
e
w
i
n
g

a
n
d

m
o
n
i
t
o
r
i
n
g

s
u
c
h

a
g
r
e
e
m
e
n
t
s
f
o
r

e
f
f
e
c
t
i
v
e
n
e
s
s

a
n
d

c
o
m
p
l
i
a
n
c
e
.

E
f
f
e
c
t
i
v
e

m
a
n
a
g
e
m
e
n
t

o
f

t
h
i
r
d
-
p
a
r
t
y

s
e
r
v
i
c
e
s

m
i
n
i
m
i
s
e
s

t
h
e

b
u
s
i
n
e
s
s

r
i
s
k

a
s
s
o
c
i
a
t
e
d

w
i
t
h

n
o
n
-
p
e
r
f
o
r
m
i
n
g

s
u
p
p
l
i
e
r
s
.
T
e
s
t

t
h
e

C
o
n
t
r
o
l

D
e
s
i
g
n

I
n
s
p
e
c
t

s
e
r
v
i
c
e

s
u
p
p
l
i
e
r

d
o
c
u
m
e
n
t
a
t
i
o
n

f
o
r

e
v
i
d
e
n
c
e

o
f

f
o
r
m
a
l
i
s
e
d

r
o
l
e
s

a
n
d

r
e
s
p
o
n
s
i
b
i
l
i
t
i
e
s
,

a
n
d

d
e
t
e
r
m
i
n
e

i
f

s
u
p
p
l
i
e
r

m
a
n
a
g
e
m
e
n
t

r
o
l
e
s

h
a
v
e

b
e
e
n

d
o
c
u
m
e
n
t
e
d

a
n
d
c
o
m
m
u
n
i
c
a
t
e
d

w
i
t
h
i
n

t
h
e

o
r
g
a
n
i
s
a
t
i
o
n
.

D
e
t
e
r
m
i
n
e

i
f

p
o
l
i
c
i
e
s

e
x
i
s
t

t
o

a
d
d
r
e
s
s

t
h
e

n
e
e
d

f
o
r

f
o
r
m
a
l

c
o
n
t
r
a
c
t
s
,

d
e
f
i
n
i
t
i
o
n

o
f

c
o
n
t
e
n
t

o
f

c
o
n
t
r
a
c
t
s
,

a
n
d

a
s
s
i
g
n
m
e
n
t

o
f

o
w
n
e
r

o
r

r
e
l
a
t
i
o
n
s
h
i
p

m
a
n
a
g
e
r

r
e
s
p
o
n
s
i
b
i
l
i
t
i
e
s
f
o
r

e
n
s
u
r
i
n
g

t
h
a
t

c
o
n
t
r
a
c
t
s

a
r
e

c
r
e
a
t
e
d
,

m
a
i
n
t
a
i
n
e
d
,

m
o
n
i
t
o
r
e
d

a
n
d

r
e
n
e
g
o
t
i
a
t
e
d

a
s

r
e
q
u
i
r
e
d
.

A
s
s
e
s
s

i
f

t
h
e

a
s
s
i
g
n
m
e
n
t

o
f

s
u
p
p
l
i
e
r

m
a
n
a
g
e
m
e
n
t

r
o
l
e
s

i
s

r
e
a
s
o
n
a
b
l
e

a
n
d

b
a
s
e
d

o
n

t
h
e

l
e
v
e
l

a
n
d

t
e
c
h
n
i
c
a
l

s
k
i
l
l
s

r
e
q
u
i
r
e
d

t
o

e
f
f
e
c
t
i
v
e
l
y

m
a
n
a
g
e

t
h
e

r
e
l
a
t
i
o
n
s
h
i
p
.
T
e
s
t

t
h
e

C
o
n
t
r
o
l

D
e
s
i
g
n

E
n
q
u
i
r
e

w
h
e
t
h
e
r

a
n
d

c
o
n
f
i
r
m

t
h
a
t

a

r
e
g
i
s
t
e
r

o
f

s
u
p
p
l
i
e
r

r
e
l
a
t
i
o
n
s
h
i
p
s

i
s

m
a
i
n
t
a
i
n
e
d
.

O
b
t
a
i
n

a
n
d

i
n
s
p
e
c
t

s
u
p
p
l
i
e
r

r
e
l
a
t
i
o
n
s
h
i
p

c
r
i
t
e
r
i
a

f
o
r

r
e
a
s
o
n
a
b
l
e
n
e
s
s

a
n
d

c
o
m
p
l
e
t
e
n
e
s
s

o
f

c
a
t
e
g
o
r
i
s
a
t
i
o
n
s

b
y

s
u
p
p
l
i
e
r

t
y
p
e
,

s
i
g
n
i
f
i
c
a
n
c
e

a
n
d

c
r
i
t
i
c
a
l
i
t
y
.

D
e
t
e
r
m
i
n
e

i
f

t
h
e

s
u
p
p
l
i
e
r

c
a
t
e
g
o
r
i
s
a
t
i
o
n

s
c
h
e
m
e

i
s

s
u
f
f
i
c
i
e
n
t
l
y

d
e
t
a
i
l
e
d

t
o

c
a
t
e
g
o
r
i
s
e

a
l
l

s
u
p
p
l
i
e
r

r
e
l
a
t
i
o
n
s
h
i
p
s

b
a
s
e
d

o
n

t
h
e

n
a
t
u
r
e

o
f

c
o
n
t
r
a
c
t
e
d

s
e
r
v
i
c
e
s
.

V
e
r
i
f
y

w
h
e
t
h
e
r

p
a
s
t

h
i
s
t
o
r
i
e
s

o
n

s
u
p
p
l
i
e
r

s
e
l
e
c
t
i
o
n
/
r
e
j
e
c
t
i
o
n

a
r
e

k
e
p
t

a
n
d

u
s
e
d
.

I
n
s
p
e
c
t

t
h
e

r
e
g
i
s
t
e
r

o
f

s
u
p
p
l
i
e
r

r
e
l
a
t
i
o
n
s
h
i
p
s

t
o

e
n
s
u
r
e

t
h
a
t

i
t

i
s

u
p

t
o

d
a
t
e
,

a
p
p
r
o
p
r
i
a
t
e
l
y

c
a
t
e
g
o
r
i
s
e
d

a
n
d

s
u
f
f
i
c
i
e
n
t
l
y

d
e
t
a
i
l
e
d

t
o

e
n
s
u
r
e

t
h
a
t

i
t

p
r
o
v
i
d
e
s

a

f
o
u
n
d
a
t
i
o
n

f
o
r
m
o
n
i
t
o
r
i
n
g

o
f

e
x
i
s
t
i
n
g

s
u
p
p
l
i
e
r
s
.

I
n
s
p
e
c
t

a

r
e
p
r
e
s
e
n
t
a
t
i
v
e

s
a
m
p
l
e

o
f

s
u
p
p
l
i
e
r

c
o
n
t
r
a
c
t
s
,

S
L
A
s

a
n
d

o
t
h
e
r

d
o
c
u
m
e
n
t
a
t
i
o
n

t
o

e
n
s
u
r
e

t
h
a
t

t
h
e
y

c
o
r
r
e
s
p
o
n
d

w
i
t
h

t
h
e

s
u
p
p
l
i
e
r

r
e
g
i
s
t
e
r
.
D
S
2
.
1

I
d
e
n
t
i
f
i
c
a
t
i
o
n

o
f

A
l
l

S
u
p
p
l
i
e
r

R
e
l
a
t
i
o
n
s
h
i
p
s

I
d
e
n
t
i
f
y

a
l
l

s
u
p
p
l
i
e
r

s
e
r
v
i
c
e
s
,

a
n
d

c
a
t
e
g
o
r
i
s
e

t
h
e
m

a
c
c
o
r
d
i
n
g

t
o

s
u
p
p
l
i
e
r

t
y
p
e
,
s
i
g
n
i
f
i
c
a
n
c
e

a
n
d

c
r
i
t
i
c
a
l
i
t
y
.

M
a
i
n
t
a
i
n

f
o
r
m
a
l

d
o
c
u
m
e
n
t
a
t
i
o
n

o
f

t
e
c
h
n
i
c
a
l

a
n
d
o
r
g
a
n
i
s
a
t
i
o
n
a
l

r
e
l
a
t
i
o
n
s
h
i
p
s

c
o
v
e
r
i
n
g

t
h
e

r
o
l
e
s

a
n
d

r
e
s
p
o
n
s
i
b
i
l
i
t
i
e
s
,

g
o
a
l
s
,
e
x
p
e
c
t
e
d

d
e
l
i
v
e
r
a
b
l
e
s
,

a
n
d

c
r
e
d
e
n
t
i
a
l
s

o
f

r
e
p
r
e
s
e
n
t
a
t
i
v
e
s

o
f

t
h
e
s
e

s
u
p
p
l
i
e
r
s
.
V
a
l
u
e

D
r
i
v
e
r
s
C
o
n
t
r
o
l

O
b
j
e
c
t
i
v
e

C
e
n
t
r
a
l
i
s
e
d

s
e
r
v
i
c
e

s
u
p
p
l
i
e
r

o
v
e
r
v
i
e
w
t
o

s
u
p
p
o
r
t

s
u
p
p
l
i
e
r

d
e
c
i
s
i
o
n

m
a
k
i
n
g

P
r
e
f
e
r
r
e
d

s
u
p
p
l
i
e
r
s

i
d
e
n
t
i
f
i
e
d

f
o
r
f
u
t
u
r
e

a
c
q
u
i
s
i
t
i
o
n
s

S
u
p
p
l
i
e
r

m
a
n
a
g
e
m
e
n
t

r
e
s
o
u
r
c
e
s
f
o
c
u
s
e
d

o
n

c
r
i
t
i
c
a
l

s
u
p
p
l
i
e
r
s
R
i
s
k

D
r
i
v
e
r
s

U
n
i
d
e
n
t
i
f
i
e
d

s
i
g
n
i
f
i
c
a
n
t

a
n
d

c
r
i
t
i
c
a
l
s
u
p
p
l
i
e
r
s

I
n
e
f
f
i
c
i
e
n
t

a
n
d

i
n
e
f
f
e
c
t
i
v
e

u
s
a
g
e

o
f
s
u
p
p
l
i
e
r

m
a
n
a
g
e
m
e
n
t

r
e
s
o
u
r
c
e
s

U
n
c
l
e
a
r

r
o
l
e
s

a
n
d

r
e
s
p
o
n
s
i
b
i
l
i
t
i
e
s
l
e
a
d
i
n
g

t
o

m
i
s
c
o
m
m
u
n
i
c
a
t
i
o
n
s
,

p
o
o
r
s
e
r
v
i
c
e
s

a
n
d

i
n
c
r
e
a
s
e
d

c
o
s
t
s
D
S
2
.
2

S
u
p
p
l
i
e
r

R
e
l
a
t
i
o
n
s
h
i
p

M
a
n
a
g
e
m
e
n
t

F
o
r
m
a
l
i
s
e

t
h
e

s
u
p
p
l
i
e
r

r
e
l
a
t
i
o
n
s
h
i
p

m
a
n
a
g
e
m
e
n
t

p
r
o
c
e
s
s

f
o
r

e
a
c
h

s
u
p
p
l
i
e
r
.

T
h
e
r
e
l
a
t
i
o
n
s
h
i
p

o
w
n
e
r
s

s
h
o
u
l
d

l
i
a
i
s
e

o
n

c
u
s
t
o
m
e
r

a
n
d

s
u
p
p
l
i
e
r

i
s
s
u
e
s

a
n
d

e
n
s
u
r
e

t
h
e
q
u
a
l
i
t
y

o
f

t
h
e

r
e
l
a
t
i
o
n
s
h
i
p

b
a
s
e
d

o
n

t
r
u
s
t

a
n
d

t
r
a
n
s
p
a
r
e
n
c
y

(
e
.
g
.
,

t
h
r
o
u
g
h

S
L
A
s
)
.
V
a
l
u
e

D
r
i
v
e
r
s
C
o
n
t
r
o
l

O
b
j
e
c
t
i
v
e

R
e
l
a
t
i
o
n
s
h
i
p
s

p
r
o
m
o
t
e
d

t
h
a
t

s
u
p
p
o
r
t
t
h
e

o
v
e
r
a
l
l

e
n
t
e
r
p
r
i
s
e

o
b
j
e
c
t
i
v
e
s

(
b
o
t
h
b
u
s
i
n
e
s
s

a
n
d

I
T
)

E
f
f
e
c
t
i
v
e

a
n
d

e
f
f
i
c
i
e
n
t

c
o
m
m
u
n
i
c
a
t
i
o
n
a
n
d

p
r
o
b
l
e
m

r
e
s
o
l
u
t
i
o
n

C
l
e
a
r

o
w
n
e
r
s
h
i
p

o
f

r
e
s
p
o
n
s
i
b
i
l
i
t
i
e
s
b
e
t
w
e
e
n

c
u
s
t
o
m
e
r

a
n
d

s
u
p
p
l
i
e
r
R
i
s
k

D
r
i
v
e
r
s

S
u
p
p
l
i
e
r

n
o
t

r
e
s
p
o
n
s
i
v
e

o
r

c
o
m
m
i
t
t
e
d
t
o

t
h
e

r
e
l
a
t
i
o
n
s
h
i
p

P
r
o
b
l
e
m
s

a
n
d

i
s
s
u
e
s

n
o
t

r
e
s
o
l
v
e
d

I
n
a
d
e
q
u
a
t
e

s
e
r
v
i
c
e

q
u
a
l
i
t
y
ITASSURANCE GUIDE: USINGCOBIT
160
T
e
s
t

t
h
e

C
o
n
t
r
o
l

D
e
s
i
g
n

E
n
q
u
i
r
e

w
h
e
t
h
e
r

r
i
s
k
s

a
s
s
o
c
i
a
t
e
d

w
i
t
h

t
h
e

i
n
a
b
i
l
i
t
y

t
o

f
u
l
f
i
l

t
h
e

s
u
p
p
l
i
e
r

c
o
n
t
r
a
c
t
s

a
r
e

d
e
f
i
n
e
d
.

E
n
q
u
i
r
e

w
h
e
t
h
e
r

r
e
m
e
d
i
e
s

w
e
r
e

c
o
n
s
i
d
e
r
e
d

w
h
e
n

d
e
f
i
n
i
n
g

t
h
e

s
u
p
p
l
i
e
r

c
o
n
t
r
a
c
t
.

I
n
s
p
e
c
t

c
o
n
t
r
a
c
t

d
o
c
u
m
e
n
t
a
t
i
o
n

f
o
r

e
v
i
d
e
n
c
e

o
f

r
e
v
i
e
w
.

E
n
q
u
i
r
e

o
f

k
e
y

s
t
a
f
f

m
e
m
b
e
r
s

w
h
e
t
h
e
r

a

r
i
s
k

m
a
n
a
g
e
m
e
n
t

p
r
o
c
e
s
s

e
x
i
s
t
s

t
o

i
d
e
n
t
i
f
y

a
n
d

m
o
n
i
t
o
r

s
u
p
p
l
i
e
r

r
i
s
k
.

D
e
t
e
r
m
i
n
e

i
f

p
o
l
i
c
i
e
s

e
x
i
s
t

r
e
q
u
i
r
i
n
g

i
n
d
e
p
e
n
d
e
n
c
e

w
i
t
h
i
n

t
h
e

v
e
n
d
o
r

s
o
u
r
c
i
n
g

a
n
d

s
e
l
e
c
t
i
o
n

p
r
o
c
e
s
s
,

a
n
d

b
e
t
w
e
e
n

v
e
n
d
o
r

a
n
d

m
a
n
a
g
e
m
e
n
t

p
e
r
s
o
n
n
e
l

w
i
t
h
i
n

t
h
e
o
r
g
a
n
i
s
a
t
i
o
n
.
T
e
s
t

t
h
e

C
o
n
t
r
o
l

D
e
s
i
g
n

S
e
l
e
c
t

a

s
a
m
p
l
e

o
f

s
u
p
p
l
i
e
r

i
n
v
o
i
c
e
s
,

d
e
t
e
r
m
i
n
e

i
f

t
h
e
y

i
d
e
n
t
i
f
y

c
h
a
r
g
e
s

f
o
r

c
o
n
t
r
a
c
t
e
d

s
e
r
v
i
c
e
s
,

a
s

s
p
e
c
i
f
i
e
d

w
i
t
h
i
n

s
e
r
v
i
c
e

c
o
n
t
r
a
c
t
s
,

a
n
d

a
s
s
e
s
s

t
h
e

r
e
a
s
o
n
a
b
l
e
n
e
s
s

o
f
c
h
a
r
g
e
s

c
o
m
p
a
r
e
d

t
o

v
a
r
i
o
u
s

i
n
t
e
r
n
a
l
,

e
x
t
e
r
n
a
l

a
n
d

i
n
d
u
s
t
r
y

c
o
m
p
a
r
a
b
l
e

p
e
r
f
o
r
m
a
n
c
e
.

I
n
s
p
e
c
t

a

s
a
m
p
l
e

o
f

s
u
p
p
l
i
e
r

s
e
r
v
i
c
e

r
e
p
o
r
t
s

t
o

d
e
t
e
r
m
i
n
e

i
f

t
h
e

s
u
p
p
l
i
e
r

r
e
g
u
l
a
r
l
y

r
e
p
o
r
t
s

o
n

a
g
r
e
e
d
-
u
p
o
n

p
e
r
f
o
r
m
a
n
c
e

c
r
i
t
e
r
i
a

a
n
d

i
f

p
e
r
f
o
r
m
a
n
c
e

r
e
p
o
r
t
i
n
g

i
s

o
b
j
e
c
t
i
v
e
a
n
d

m
e
a
s
u
r
a
b
l
e

a
n
d

i
n

a
l
i
g
n
m
e
n
t

w
i
t
h

d
e
f
i
n
e
d

S
L
A
s

a
n
d

t
h
e

s
u
p
p
l
i
e
r

c
o
n
t
r
a
c
t
.
D
S
2
.
3

S
u
p
p
l
i
e
r

R
i
s
k

M
a
n
a
g
e
m
e
n
t

I
d
e
n
t
i
f
y

a
n
d

m
i
t
i
g
a
t
e

r
i
s
k
s

r
e
l
a
t
i
n
g

t
o

s
u
p
p
l
i
e
r
s
a
b
i
l
i
t
y

t
o

c
o
n
t
i
n
u
e

e
f
f
e
c
t
i
v
e
s
e
r
v
i
c
e

d
e
l
i
v
e
r
y

i
n

a

s
e
c
u
r
e

a
n
d

e
f
f
i
c
i
e
n
t

m
a
n
n
e
r

o
n

a

c
o
n
t
i
n
u
a
l

b
a
s
i
s
.

E
n
s
u
r
e
t
h
a
t

c
o
n
t
r
a
c
t
s

c
o
n
f
o
r
m

t
o

u
n
i
v
e
r
s
a
l

b
u
s
i
n
e
s
s

s
t
a
n
d
a
r
d
s

i
n

a
c
c
o
r
d
a
n
c
e

w
i
t
h

l
e
g
a
l
a
n
d

r
e
g
u
l
a
t
o
r
y

r
e
q
u
i
r
e
m
e
n
t
s
.

R
i
s
k

m
a
n
a
g
e
m
e
n
t

s
h
o
u
l
d

f
u
r
t
h
e
r

c
o
n
s
i
d
e
r

n
o
n
-
d
i
s
c
l
o
s
u
r
e

a
g
r
e
e
m
e
n
t
s

(
N
D
A
s
)
,

e
s
c
r
o
w

c
o
n
t
r
a
c
t
s
,

c
o
n
t
i
n
u
e
d

s
u
p
p
l
i
e
r

v
i
a
b
i
l
i
t
y
,
c
o
n
f
o
r
m
a
n
c
e

w
i
t
h

s
e
c
u
r
i
t
y

r
e
q
u
i
r
e
m
e
n
t
s
,

a
l
t
e
r
n
a
t
i
v
e

s
u
p
p
l
i
e
r
s
,

p
e
n
a
l
t
i
e
s

a
n
d
r
e
w
a
r
d
s
,

e
t
c
.
V
a
l
u
e

D
r
i
v
e
r
s
C
o
n
t
r
o
l

O
b
j
e
c
t
i
v
e

C
o
m
p
l
i
a
n
c
e

w
i
t
h

l
e
g
a
l

a
n
d

c
o
n
t
r
a
c
t
u
a
l
r
e
q
u
i
r
e
m
e
n
t
s

R
e
d
u
c
e
d

i
n
c
i
d
e
n
t
s

a
n
d

p
o
t
e
n
t
i
a
l

l
o
s
s
e
s

I
d
e
n
t
i
f
i
c
a
t
i
o
n

o
f

l
o
w
-
r
i
s
k
,

w
e
l
l
-
m
a
n
a
g
e
d

s
u
p
p
l
i
e
r
s
R
i
s
k

D
r
i
v
e
r
s

N
o
n
-
c
o
m
p
l
i
a
n
c
e

w
i
t
h

r
e
g
u
l
a
t
o
r
y

a
n
d
l
e
g
a
l

o
b
l
i
g
a
t
i
o
n
s

S
e
c
u
r
i
t
y

a
s

w
e
l
l

a
s

o
t
h
e
r

i
n
c
i
d
e
n
t
s

F
i
n
a
n
c
i
a
l

l
o
s
s
e
s

a
n
d

r
e
p
u
t
a
t
i
o
n
a
l
d
a
m
a
g
e

b
e
c
a
u
s
e

o
f

s
e
r
v
i
c
e
i
n
t
e
r
r
u
p
t
i
o
n
D
S
2

M
a
n
a
g
e

T
h
i
r
d
-
p
a
r
t
y

S
e
r
v
i
c
e
s

(
c
o
n
t
.
)
D
S
2
.
4

S
u
p
p
l
i
e
r

P
e
r
f
o
r
m
a
n
c
e

M
o
n
i
t
o
r
i
n
g

E
s
t
a
b
l
i
s
h

a

p
r
o
c
e
s
s

t
o

m
o
n
i
t
o
r

s
e
r
v
i
c
e

d
e
l
i
v
e
r
y

t
o

e
n
s
u
r
e

t
h
a
t

t
h
e

s
u
p
p
l
i
e
r

i
s
m
e
e
t
i
n
g

c
u
r
r
e
n
t

b
u
s
i
n
e
s
s

r
e
q
u
i
r
e
m
e
n
t
s

a
n
d

c
o
n
t
i
n
u
i
n
g

t
o

a
d
h
e
r
e

t
o

t
h
e

c
o
n
t
r
a
c
t
a
g
r
e
e
m
e
n
t
s

a
n
d

S
L
A
s
,

a
n
d

t
h
a
t

p
e
r
f
o
r
m
a
n
c
e

i
s

c
o
m
p
e
t
i
t
i
v
e

w
i
t
h

a
l
t
e
r
n
a
t
i
v
e
s
u
p
p
l
i
e
r
s

a
n
d

m
a
r
k
e
t

c
o
n
d
i
t
i
o
n
s
.
V
a
l
u
e

D
r
i
v
e
r
s
C
o
n
t
r
o
l

O
b
j
e
c
t
i
v
e

T
i
m
e
l
y

d
e
t
e
c
t
i
o
n

o
f

s
e
r
v
i
c
e

l
e
v
e
l

n
o
n
-
c
o
m
p
l
i
a
n
c
e

B
e
n
e
f
i
t
s

o
f

s
e
r
v
i
c
e

c
o
n
t
r
a
c
t

r
e
a
l
i
s
e
d

C
o
s
t
s

c
o
n
t
r
o
l
l
e
d

C
o
s
t
l
y

d
i
s
p
u
t
e
s

a
n
d

p
o
s
s
i
b
l
e

l
i
t
i
g
a
t
i
o
n
a
v
o
i
d
e
d
R
i
s
k

D
r
i
v
e
r
s

U
n
d
e
t
e
c
t
e
d

s
e
r
v
i
c
e

d
e
g
r
a
d
a
t
i
o
n

I
n
a
b
i
l
i
t
y

t
o

c
h
a
l
l
e
n
g
e

c
o
s
t
s

a
n
d

s
e
r
v
i
c
e
q
u
a
l
i
t
y

I
n
a
b
i
l
i
t
y

t
o

o
p
t
i
m
i
s
e

c
h
o
i
c
e

o
f
s
u
p
p
l
i
e
r
s
161
APPENDIX IV
Take the following steps to test the outcome of the control objectives:
For a sample of suppliers, assess if supplier records are aligned to the defined catogorisation scheme used to identify and
categorise all supplier relationships.
Obtain and validate the list of supplier relationship criteria for completeness, and review suppliers records against the
catogorisation scheme used to identify and categorise all supplier relationships. Assess if supplier type, significance and criticality
of services provided have been documented.
Obtain a register of suppliers, and verify the accuracy of data through inspection of a sample of service contracts.
Obtain a register of suppliers, and verify the accuracy of data. Consideration should be given to organisational changes or recent
changes in the IT landscape that would require changes in the supplier relationship criteria.
Determine if supplier documentation is sufficiently detailed to identify methods of communication, prioritisation of services and
escalation procedures, minimum service levels, and operational objectives.
Ascertain if documentation clearly delineates responsibilities between the service provider and the user organisation.
Determine if service supplier documentation is centrally managed and maintained and if a process exists for the periodic review
and updating of documents.
Perform a detailed review of each third-party contract to determine the existence of qualitative and quantitative provisions
confirming obligations, including provisions for co-ordinating and communicating the relationship between the provider and user
of information services.
Determine if policies exist for managements periodic review of service supplier reporting, and select a sample of supplier reports
for evidence of managements review.
Obtain and inspect service supplier incident reports for existence, and determine if incidents were categorised and escalated
according to agreed-upon levels of severity and if they were tracked and communicated within the organisation until resolved.
Reported incidents should include communication to supplier management and users of the services.
Verify that goals and expected service levels are periodically reviewed to ensure that they continue to support current business
requirements and that suggested changes are communicated clearly to service suppliers.
Inspect the supplier register for assignment of a relationship manager, and obtain and inspect evidence of a service supplier
communication process.
Obtain and review contracts for existence of clauses relating to third-party reviews, and determine if management has obtained and
reviewed reports from such reviews.
For a sample of suppliers, inspect available documentation to determine if supplier risk has been considered and if identified risk
has been addressed/mitigated.
For a sample of supplier relationships, determine if the following have been addressed within the supplier contract:
Security requirements
Non-disclosure guarantees
Right to access and right to audit
Formal management and legal approval
Legal entity providing services
Services provided
SLAs, both qualitative and quantitative
Cost of services and frequency of payment for services
Resolution of problem process
Penalties for non-performance
Dissolution process
Modification process
Reporting of servicecontent, frequency and distribution
Roles between contracting parties during the life of the contract
Continuity assurances that services will be provided by the vendor
Communications process and frequency between the user of services and provider
Duration of contract
Level of access provided to vendor
Regulatory requirements
For a sample of suppliers, determine if services have been assessed for criticality to the organisation, and determine if continuity of
services has been addressed within the supplier contract, including contingency planning by the supplier, to ensure continuous
service to the organisation.
For a sample of supplier relationships, determine if legal counsel and management approved the supplier contracts.
Select a sample of supplier invoices, determine if they identify charges for contracted services, as specified within service
contracts, and assess the reasonableness of charges compared to various internal, external and industry comparable performance.
Inspect a sample of supplier service reports to determine if the supplier regularly reports on agreed-upon performance criteria and
if performance reporting is objective, measurable and in alignment with defined SLAs and the supplier contract.
ITASSURANCE GUIDE: USINGCOBIT
162
Take the following steps to document the impact of the control weaknesses:
Through inquiry of user and IT management and benchmarking of the organisation to similarly sized organisations and
organisations within the same industry, identify any supplier relationships that have been excluded from the supplier register.
Consider the following supplier relationships:
Private branch exchange (PBX) suppliers
Paper and form suppliers
Maintenance support suppliers
Offsite data storage and hot-site services providers
Service organisations providing data processing (e.g., ASP, co-location)
External software developers and quality assurance
Inquire of supplier management to ascertain if they are knowledgeable of the nature of the service supplier relationship and
contracted services.
Inspect a sample of service supplier billings for out-of-scope billings, and determine the involvement of supplier management in
reviewing and approving the overage.
For a sample of service suppliers, obtain the suppliers reported performance metrics, and review for deviations from agreed-upon
performance objectives. Determine if supplier management was aware of any deviations and the reasonableness of actions taken
for deviation (e.g., establishment of action plan, service fee penalties for non-performance).
For a sample of supplier relationships, determine if the level of services compares to the stated contractual obligations. For changes
in the supplier relationships, determine if the risk assessments has been updated and if the supplier contract has been appropriately
modified.
Inspect a sample of supplier-reported performance metrics, and identify where performance objectives have not consistently been
attained.
Determine if management has identified and assessed the performance failures, and if an assessment has been performed,
re-evaluate the relationship or evaluate the need for modifying the relationship.
For supplier relationships with the greatest impact on the organisation, determine if contingency plans exist for the recovery or
secondary sourcing of contracted services.
Determine the availability of supplier third-party assessments (e.g., SAS No. 70, ISA 402 or attestation reports) or audit reports
and whether management has received and reviewed the reports. For reported control deficiencies (i.e., report qualifications,
testing exceptions), determine if management has discussed the deficiencies with the supplier and if an action plan has been
implemented. Through review of past or subsequent reports, determine if the supplier promptly remediates control deficiencies.
Determine if key suppliers are included in the annual risk assessment and audit planning process.
Inspect a sample of supplier-reported performance metrics, and identify where performance objectives have not consistently been
attained.
Determine if management has identified and assessed the performance failures and if corrective action and a process for ongoing
monitoring has been implemented.
For a sample of service suppliers, obtain the suppliers reported performance metrics, and review them for deviations from
agreed-upon performance objectives.
Determine if supplier management is aware of the deviation and the reasonableness of actions taken (e.g., establishment of action
plan, service fee penalties for non-performance).

La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de con-
trol en tecnologa de informacin con autoridad, actualizados, de carcter in-
ternacional y aceptados generalmente para el uso cotidiano de gerentes de
empresas y auditores.
COBIT

DIRECTRICES DE AUDITORIA

Julio de 2000
3a Edicin

Emitido por el Comit Directivo de COBIT y
El IT Governance Institute
TM

IT GOVERNANCE INSTITUTE 130
D DIRECTRICES IRECTRICES DE DE A AUDITORIA UDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS2
S S S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeacin &
Organizacin
Adquisicin &
Implementacin
Monitoreo
3 3 3 3 3
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d

Control sobre el proceso de TI de:

administracin de servicios prestados por terceros

que satisface los requerimientos de negocio de:

asegurar que los roles y responsabilidades de las terceras partes estn
claramente definidas, que cumplan y continen satisfaciendo los re-
querimientos

se hace posible a travs de:

medidas de control dirigidas a la revisin y monitoreo de
acuerdos y procedimientos existentes, en cuanto a su efecti-
vidad y suficiencia, con respecto a las polticas de la organi-
zacin

y toma en consideracin:

x acuerdos de servicio con terceras partes
x Administracin de contratos
x acuerdos de confidencialidad
x requerimientos legales y regulatorios
x monitoreo y reporte de la entrega de servicios
x Evaluacin de riesgos de la empresa y de TI
x Recompensas y sanciones por el desempeo
x Contabilidad organizacional interna y externa
x Anlisis de costos y de variaciones de los nive-
les de servicio

DS 2 ADMINISTRACIN DE SERVICIOS PRESTADOS POR TERCEROS
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento travs de:
Entrevistas:
Director de Informacin
Presidencia de la funcin de servicios de informacin
Administrador de contrato/nivel de servicio de servicios de informacin
Administracin de las operaciones de la funcin de servicios de informacin
Oficial de seguridad

Obteniendo:
Polticas y procedimientos generales para la organizacin asociadas con los servicios adquiridos y en particular, con
las relaciones con proveedores como terceras partes
Polticas y procedimientos de la funcin de servicios de informacin asociadas con: relaciones con terceras partes, pro-
cedimientos de seleccin de proveedores, contenido de los contratos de dichas relaciones, seguridad lgica y fsi-
ca, mantenimiento de la calidad por parte de los proveedores, planeacin de contingencias y outsourcing
Una lista de todas las relaciones actuales con terceras partes y de los contratos asociados con cada una
El reporte del nivel de servicio relacionado con las relaciones y servicios proporcionados por terceras partes
Las minutas de las reuniones en las que se discuten la revisin de los contratos, la evaluacin del desempeo y la admi-
nistracin de las relaciones
Los acuerdos de confidencialidad para todas las relaciones con terceras partes
Las listas de seguridad de acceso con los perfiles y recursos disponibles para los vendedores
OBJETIVOS DE CONTROL
1 Interfases con Proveedores
2 Relaciones de propietarios
3 Contratos con Terceros
4 Calificaciones de Terceros
5 Contratos con Fuentes Externas
6 Continuidad de Servicios
7 Relaciones de Seguridad
8 Monitoreo
Evaluar los controles:
Considerando s:
Existen polticas y procedimientos de TI asociadas con las relaciones con terceras partes, y si stas son consistentes
con las polticas generales de la organizacin
Existen polticas que consideran especficamente la necesidad de contratos, de una definicin del contenido de los mis-
mos, del propietario o administrador de las relaciones responsable de asegurar la creacin, mantenimiento, moni-
toreo y renegociacin de los contratos
Considerando si, contina
Las interfaces estn definidas para agentes independientes involucrados en la conduccin del proyecto y dems partes
como los subcontratados.
Los contratos representan un registro completo de las relaciones con los proveedores como terceras partes
Los contratos estn establecidos especficamente para la continuidad de los servicios, y que dichos contratos incluyen
una planeacin de contingencias por parte del proveedor para asegurar la continuidad del servicio a los usuarios de
stos
El contenido de los contratos incluye por lo menos lo siguiente:
x aprobacin formal administrativa y legal
x entidad legal que proporciona los servicios
x servicios proporcionados
x acuerdos cualitativos y cuantitativos de nivel de servicio
x costo de los servicios y frecuencia de su pago
x proceso de solucin de problemas
x sanciones por bajo desempeo
x proceso de disolucin
x proceso de modificacin
x reporte de servicio - contenido, frecuencia y distribucin
x funciones entre las partes del contrato durante la vida del mismo
x aseguramiento de continuidad que indica que el servicio ser proporcionado por el proveedor
x usuarios de los servicios y procesos y frecuencia de las comunicaciones del proveedor
x duracin del contrato
x nivel de acceso proporcionado al proveedor
x requerimientos de seguridad
x garantas de confidencialidad
x derecho a acceso y derecho a auditar
Los acuerdos escritos han sido negociados apropiadamente
Los terceros en potencia se han calificado adecuadamente mediante la evaluacin de sus habilidades para proveer el
servicio requerido (especial cuidado)
Evaluar la suficiencia:
Probando que:
Se cuenta con la lista de contratos y los contratos actuales son precisos
Ningn servicio es proporcionado por algn proveedor no incluido en la lista de contratos mencionada
Los proveedores mencionados en los contratos efectivamente estn llevando a cabo los servicios definidos
La administracin/los propietarios de los proveedores comprenden su responsabilidad dentro del contrato
Las polticas y procedimientos de la funcin de servicios de informacin asociadas con las relaciones con terceras partes
existen y son consistentes con las polticas generales de la organizacin
Existen polticas que consideran especficamente la necesidad de establecer contratos, la definicin del contenido de los
mismos, del propietario o administrador de la relacin responsable de asegurar que los contratos sean creados, man-
tenidos, monitoreados y renegociados segn se requiera
Los contratos representan un registro completo de las relaciones con los proveedores como terceras partes
Los contratos estn establecidos para asegurar especficamente la continuidad de los servicios, y que dichos contratos
incluyen una planeacin de contingencias por parte del proveedor para asegurar el servicio continuo a los usuarios
El contenido de los contratos incluyen por lo menos lo siguiente:
x aprobacin formal administrativa y legal
x entidad legal para proporcionar los servicios
x servicios proporcionados
x acuerdos cuantitativos y cualitativos del nivel de servicio
x costo y frecuencia de los servicios y su pago
x proceso de solucin de problemas
x sanciones por bajo desempeo
x proceso de disolucin
x proceso de modificacin
x reporte de servicios - contenido, frecuencia y distribucin
x funciones entre las partes del contrato durante la vida del mismo
x aseguramiento de la continuidad de los servicios prestados por el proveedor
x usuarios de los servicios y frecuencia del proceso de comunicaciones del proveedor
x duracin del contrato
x nivel de acceso proporcionado al proveedor
x requerimientos de seguridad
x garantas de confidencialidad
x derecho de acceso y derechos a llevar a cabo auditoras
Los usuarios tienen conciencia, conocimiento y comprenden la necesidad de contar con polticas de contratos y con los
contratos mismos para proporcionar servicios
Existe una independencia adecuada entre el proveedor y la organizacin
Se dan independientemente la bsqueda y la seleccin de proveedores
La lista de seguridad de acceso incluye nicamente un nmero mnimo de proveedores requeridos, y que dicho acceso es
el mnimo necesario
El acceso de hardware y software a los recursos de la organizacin es administrado y controlado para minimizar su utili-
zacin por parte de los proveedores
El nivel real de servicios proporcionados se compara en gran medida con las obligaciones contractuales
Las instalaciones, personal, operaciones y controles sobre el outsourcing aseguran un nivel de desempeo requerido com-
parable con el esperado
El monitoreo continuo de liberacin y entrega de servicios por parte de terceros es llevado a cabo por la administracin
Se llevan a cabo auditoras independientes a las operaciones llevadas a cabo por el contratista
Existen los reportes de evaluacin para terceros con el fin de evaluar sus capacidades para entregar el servicio requerido
Se conserva la historia de las actividades pasadas y presentes relacionadas con litigios/problemas legales con los provee-
dores
Las interfases de los agentes independientes involucrados en la conduccin del proyecto estn documentadas en el con-
trato.
Los contratos con proveedores PBX (Private Branch Exchange) estn cubiertos
Comprobar el riesgo de los objetivos de control no alcanzados:
Llevando a cabo:
Mediciones ("Benchmarking") de los servicios de terceras partes contra organizaciones similares o estndares internacio-
nales apropiados reconocidos como las mejores prcticas de la industria
Una revisin detallada de cada uno de los contratos de terceras partes para determinar provisiones cualitativas y cuantita-
tivas que confirmen la definicin de las obligaciones
Identificando:
Provisiones que describen, coordinan y comunican la relacin entre el proveedor y el usuario de los servicios de informa-
cin
Facturas de terceras parte que reflejan cargos precisos por servicios por contrato seleccionados
El vnculo de la organizacin con los proveedores como terceras partes que asegura la comunicacin de problemas de
contrato entre las partes y los usuarios de los servicios
La aprobacin de todos los contratos por parte de la administracin y el consejo legal
La puesta en prctica de evaluaciones de riesgos para confirmar la necesidad de las relaciones o la necesidad de modifi-
car la relacin
La revisin continua y las acciones correctivas tomadas por la administracin sobre los reportes de contratos
Lo razonable de la aplicacin de los cargos en comparacin con el desempeo interno, externo y de la industria
La existencia de planes de contingencia para todos los servicios contratados, especficamente para los servicios de recu-
peracin en caso de desastre de la funcin de servicios de informacin
Para las funciones de fuentes externas, se cuenta con procedimientos para detectar defectos aparentes u oportunidades
para mejorar el desempeo o reducir costos
La implementacin de recomendaciones contenidas en auditoras independientes llevadas a cabo por la parte contratante
1
DIRECTRICES GERENCIALES

COBIT

Julio de 2000
3ra Edicin

Publicado por El Comit de Direccin de COBIT y el IT Governance Institute
TM

La Misin de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos
de control en tecnologa de informacin con autoridad, actualizados,
de carcter internacional y aceptados generalmente para el uso cotidiano
de gerentes de empresas y auditores.
Ejercicio: Gestin de Acuerdos con Proveedores Ejercicio: Gestin de Acuerdos con Proveedores Ejercicio: Gestin de Acuerdos con Proveedores
91
DS2 Entrega y Soporte
Administrar Servicios de Terceros

El Control sobre el proceso de TI de Administrar Servicios de Terceros con el objetivo del negocio de
asegurar que los roles y responsabilidades de terceros estn claramente definidos, cumplidos y que
continen satisfaciendo los requerimientos

Asegura la entrega de informacin al negocio que satisface los Criterios de Informacin requeridos y
se mide por los Indicadores Clave de Objetivo

Es posibilitado por medidas de control dirigidas a la revisin y el monitoreo de acuerdos y
procedimientos existentes para su efectividad y cumplimiento con la poltica de la organizacin

Considera los Factores Crticos de xito que respaldan Recursos de TI especficos y se mide
por medio de los Indicadores Clave de Desempeo.

P Efectividad
P Eficiencia
S Confidencialidad
S Integridad
S Disponibilidad
S Cumplimiento
S Confiabilidad
gente
aplicaciones
tecnologa
instalaciones
datos
Criterios de Informacin Recursos de TI
() aplicable a (P) primario y (S) secundario
Existen requerimientos de servicio y medidas de desempeo claramente definidos
La organizacin retiene responsabilidad y control, y administra los servicios externos de manera proactiva
El proveedor de servicio tiene un mecanismo establecido para reportar sobre las medidas de desempeo
Los terceros proveedores tienen establecido un programa de garanta de calidad
Todos los productos, incluyendo los requerimientos operativos y de desempeo estn suficientemente
definidos y entendidos por todas las partes
Estn implementados procedimientos efectivos de cambio para los requerimientos de servicios y las
medidas de desempeo
Los contratos estn sujetos a una revisin legal y conclusin exitosas
Hay provisiones para un manejo y una administracin adecuados, resolviendo problemas financieros,
operativos, legales y de control
La aplicacin de contratos de nivel de servicio mutuamente acordados se basa en recompensas y
penalizaciones acordadas asociadas
Un administrador interno de contrato es el nico punto de contacto con el tercero
Existe un proceso de Solicitud de Propuesta (RFP, siglas de los trminos en ingls), que tiene criterios
preestablecidos y acordados de evaluacin
Est establecido un proceso para clasificar problemas de servicio sobre la base de su importancia y las
respuestas requeridas.
Factores Crticos de xito
92
Porcentaje de proveedores de servicio con objetivos acordados formalmente
Porcentaje de acuerdos significativos para los cuales se emprenden revisiones de calificacin de proveedor
de servicio
Porcentaje de proveedores de servicio que estn formalmente calificados
Nmero de terceros contratistas con metas y productos esperados bien definidos
Satisfaccin mutua con la relacin en curso
Nmero de terceros contratistas que no satisfacen los objetivos o los niveles de servicio
Nmero y costos de problemas contractuales con terceros que fluyen a partir de acuerdos inadecuados o de
la falta de cumplimiento contra acuerdos adecuados
Indicadores Clave de Objetivo
Nmero y frecuencia de reuniones de revisin
Nmero de enmiendas de contrato
Frecuencia de reportes de nivel de servicio
Nmero de problemas pendientes
Demora para resolver los problemas
Porcentaje de contratos pendientes de revisin legal
Demora desde la ltima revisin de contrato frente a las condiciones del mercado
Nmero de contratos de servicio que no usan trminos y condiciones estndar o excepciones aprobadas
Indicadores Clave de Desempeo

Auditoría de Procesos Práctica.v0

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoría de Procesos Práctica.v0

Caricato da

Copyright:

Formati disponibili

Introduccin a la Auditora de Procesos de Sistemas de Informacin

Curso de Introduccin a la Auditora de Procesos de Sistemas de Informacin

Potrebbero piacerti anche