4. Uso
de
la
cascada
de
metas
para
la
definición
del
Cuadro
de
Mando
Integral
de
TI
Mapeo
entre
metas
empresariales
a
metas
de
TI
5. Marco
de
procesos
de
COBIT
5
Procesos para el gobierno de TI
Evaluar,
dirigir
y
controlar
Procesos para la gestión de TI
Alinear,
planificar
y
organizar
Construir,
adquirir
e
implementar
Entregar,
servir
y
proveer
soporte
Monitorear,
evaluar
y
valorar
EDM01
Establecer y
mantener el marco
de gobierno de TI
EDM02
Asegurar la
entrega de
beneficios
EDM03
Asegurar la
optimización de
riesgos
EDM04
Asegurar la
optimización de
recursos
EDM05
Asegurar
la
transparencia
MEA01 Desempeño
y cumplimiento
MEA02
Sistema
de
control
interno
MEA03
Cumplimiento de
los requisitos
externos
APO01
Gestionar el
marco de TI
APO02
Gestionar
la estrategia
APO03
Gestionar
la arquitectura
empresarial
APO04
Gestionar
la innovación
APO05
Gestionar
el portafolio
APO06
Gestionar
el presupuesto y
los costos
APO07
Gestionar
los recursos
humanos
APO08
Gestionar
las relaciones
APO09
Gestionar los
acuerdos de
servicio
APO10
Gestionar
los proveedores
APO11
Gestionar calidad
APO12
Gestionar el
riesgo
APO13
Gestionar
la seguridad
BAI01
Gestionar los
programas y
proyectos
BAI02
Gestionar la
definición de
requisitos
BAI03
Gestionar la
identificación de
soluciones
BAI04
Gestionar la
disponibilidad y
capacidad
BAI05
Gestionar
la habilitación del
cambio
organizacional
BAI06
Gestionar los
cambios
BAI07
Gestionar
la aceptación del
cambio y
la transición
BAI08
Gestionar
el conocimiento
BAI09
Gestionar los
activos
BAI010
Gestionar
la configuración
DSS01
Gestionar
operaciones
DSS02
Gestionar
solicitudes de
servicio e incidentes
DSS03
Gestionar los
problemas
DSS04
Gestionar
continuidad
DSS05
Gestionar
los servicios
de seguridad
DSS06
Gestionar controles
procesos del
negocio
6. Se
diseño
un
marco
de
procesos
basado
en
COBIT
5
+
eSCM
7. Ejemplo
de
proceso
en
el
Marco
Integral
de
Procesos
TES01 Gestionar la estrategia de tercerización de servicios
8. Importancia
“Dolores”
Escenarios
de
riesgos
Cascada
del
CMI
a
procesos
TI
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
100 3.18 3.24
90 1.4 1.3 3.20 1.2
80 3.19 3,2 3.16
2.3 3,4 3.11
3.21
1.1
70 3.10 3.15 3,3 3,5 3,9 3.12
60 3.13 1.5 3,7 3,8
50 1.7 2.4 1.6 2.1 3,1 2.2
40 3,6 2.5
30 3.14 3.22 3.17
20 3.23
10
Mapa de
R iesgos
Probabilidad de Ocurrencia
GradodeImpactoPotencial
Desempeño
Evaluación
de
capacidad
actual
de
los
procesos
Se
evaluaron
los
procesos
por
su
importancia
y
su
desempeño
10. La
cascada
permite
identificar
a
los
procesos
de
mayor
contribución
a
las
metas
de
TI
y
del
negocio
Mapeo
entre
metas
empresariales
a
metas
de
TI Mapeo
entre
metas
de
TI
a
procesos
13. Importancia
“Dolores”
Escenarios
de
riesgos
Cascada
del
CMI
a
procesos
TI
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
100 3.18 3.24
90 1.4 1.3 3.20 1.2
80 3.19 3,2 3.16
2.3 3,4 3.11
3.21
1.1
70 3.10 3.15 3,3 3,5 3,9 3.12
60 3.13 1.5 3,7 3,8
50 1.7 2.4 1.6 2.1 3,1 2.2
40 3,6 2.5
30 3.14 3.22 3.17
20 3.23
10
Mapa de
R iesgos
Probabilidad de Ocurrencia
GradodeImpactoPotencial
Desempeño
Evaluación
de
capacidad
actual
de
los
procesos
Se
evaluaron
los
procesos
por
su
importancia
y
su
desempeño
14. Con
base
a
la
evaluación
y
a
los
recursos
se
establecieron
y
priorizaron
iniciativas
de
mejoras
15. Esquema
de
Operación
Tercerizado§ Diseña,
implementa
y
actualiza
los
procesos
tercerizados
§ Verifica
que
los
procesos
cross-‐functional se
ejecuten
conforme
lo
acordado
con
el
negocio.
§ Integra
los
resultados
del
desempeño
e
integra
y
coordina
los
planes
de
mejora
continua
§ Adopta
y
opera
los
procesos
§ Comunica
el
desempeño
de
los
procesos
e
implementa
acciones
correctivas
§ Emite
el
marco
de
Gobierno
y
Gestión
de
TI
§ Determina
los
procesos
que
serán
tercerizados
§ Vigila
el
cumplimiento
de
los
objetivos
de
los
procesos
§ Evalúa
el
desempeño,
autoriza
la
mejora
continua
Negocio
Proveedor
Integrador
Proveedores
Operación
16. DoloresIntegración
proveedores
con
prácticas
propias
que
genera
un
“caos”
en
la
operación.
Los
responsables
del
lado
del
negocio
sin
herramientas
para
gestionar
a
un
nivel
adecuado
…
“por
los
cielos
o
en
la
tierra”
No
se
habla
el
mismo
lenguaje
Conflictos
por
interpretaciones
sobre
términos
de
los
procesos
y
las
prácticas
esperadas
El
proveedor
integrador
trae
sus
procesos
y
al
salir
se
los
lleva…
“Adiós
a
los
procesos”
No
hay
responsabilidades
claramente
definidas
a
nivel
proceso
17. § Definición
enfocada
en
actividades
clave
§ Especificar
el
“qué”
y
los
criterios
claves
operativos
§ Establecimiento
de
puntos
de
control
y
evaluación
de
cumplimiento
§ Evaluaciones
independientes
y
retención
de
la
información
de
los
resultados
§ Definición
de
la
matriz
de
responsabilidad
y
el
modelo
de
operación
tercerizado.
1
2
3
Principios
de
Diseño
18. Diseño
del
Marco
de
gestión
y
control
de
proveedores
Identificador Política
TI-‐SP-‐CN-‐CPIII
Acerca
del
manteniendo
y
control
de
los
elementos
de
configuración
1
Los
repositorios
de
configuración
(CMDB/CMS)
se
deben
mantener
actualizados
en
forma
coordinada
y
conforme
a
las
políticas
del
subproceso
Gestionar
los
cambios
1.1
El
responsable
del
subproceso
debe
asegurar
que
se
cuenta
con
procedimientos
y
métodos
documentados
y
probados
para
identificar
los
cambios
a
los
CIs,
con
respecto
a
la
línea
base
1,2
Los
cambios
propuestos
a
los
CIs,
deben
evaluarse
para
garantizar
la
integridad
y
precisión
con
respecto
de
la
línea
base.
1,3
Los
cambios
de
configuración
a
los
CIs
deben
ser
realizados
únicamente
con
peticiones
de
cambio
autorizadas.
Se
deben
realizar
revisiones
períodicas
al
estado
de
los
CIs,
para
identificar
cambios
no
autorizados
y
reportar
las
desviaciones
al
dueño
del
proceso
Transición
2
La
creación
y
los
cambios
a
las
líneas
base
de
configuración,
deben
realizarse
conforme
a
procedimientos
documentados
y
aprobados
por
el
responsable
del
subproceso.
2.1
Los
cambios
a
las
líneas
base
de
configuración
deben
ser
documentados
y
formalizados,
incluyendo
las
razones
e
implicaciones
de
los
mismos,
una
vez
que
la
petición
de
cambio
es
revisada,
aprobada
y
autorizada.
Marco
de
Procesos
Mejores
Prácticas Práctica
Actuales
Marco
de
Políticas
19. Definición
del
marco
de
gestión
y
control
de
proveedoresIdentificación
de
Roles
Internos
Diseño
del
Marco
de
Gestión
y
control
§ SME´s internos
especialistas
y
dueños
del
proceso
tercerizado
§ Definición
de
el
“qué”
y
“cuáles”
son
las
características
§ Identificación
de
productos
clave
de
control
y
de
gestión
Definición
del
lenguaje
a
utilizar
§ Selección
de
marcos
de
referencia
y/o
estándares
de
trabajo
Acompañamiento
de
los
SME´s -‐ Empoderamiento
20. Jerarquía
del
Marco
de
Control
y
Gestión
Procedimientos
y
Prácticas
del
Proveedor
Procedimientos Prácticas
de
trabajo
Plan
de
Abastecimiento
del
Proceso
(Sourcing)
Matriz
de
Autoridad Modelo
Operativo
Marco
de
Políticas
y
Procesos
de
Negocio
Políticas Procesos
Marco para el control y la gestión de
los procesos de TI
Marco para el control y la gestión
de los procesos tercerizados
Conformidad
Marco para el control y la
gestión de los procedimientos de
cada proveedor
Conformidad
“Ni
tanto
que
queme
al
santo,
ni
tanto
que
no
lo
alumbre”
21. Ejemplo
de
política
con
sus
reglas
Identificador Política
TI-‐SP-‐CN-‐CPIII
Acerca
del
mantenimiento
y
control
de
los
elementos
de
configuración
1 Los
repositorios
de
configuración
(CMDB/CMS)
se
deben
mantener
actualizados
en
forma
coordinada
y
conforme
a
las
políticas
del
subproceso
Gestionar
los
cambios
1.1
El
responsable
del
subproceso
debe
asegurar
que
se
cuenta
con
procedimientos
y
métodos
documentados
y
probados
para
identificar
los
cambios
a
los
CIs,
con
respecto
a
la
línea
base
1,2
Los
cambios
propuestos
a
los
CIs,
deben
evaluarse
para
garantizar
la
integridad
y
precisión
con
respecto
de
la
línea
base.
1,3
Los
cambios
de
configuración
a
los
CIs
deben
ser
realizados
únicamente
con
peticiones
de
cambio
autorizadas.
Se
deben
realizar
revisiones
períodicas
al
estado
de
los
CIs,
para
identificar
cambios
no
autorizados
y
reportar
las
desviaciones
al
dueño
del
proceso
Transición
2 La
creación
y
los
cambios
a
las
líneas
base
de
configuración,
deben
realizarse
conforme
a
procedimientos
documentados
y
aprobados
por
el
responsable
del
subproceso.
2.1
Los
cambios
a
las
líneas
base
de
configuración
deben
ser
documentados
y
formalizados,
incluyendo
las
razones
e
implicaciones
de
los
mismos,
una
vez
que
la
petición
de
cambio
es
revisada,
aprobada
y
autorizada.
22. Implementación
del
Marco
de
Control
Aprobación
de
Políticas
por
el
negocio
Identificación
de
Brechas
con
el
proveedor
Integrador
Integración
de
proveedores
de
Operación
Generación
de
planes
Medición
de
la
gestión
y
desempeño
§ Actividades
de
alineación
y
ajuste
a
los
procesos
§ Modificación
del
contrato
Ajuste
y
validación
de
practicas
del
proveedor
Mejora
Continua
Colaboración
Negocio
– Proveedor
Integrador Colaboración
Proveedor
Integrador
-‐
Proveedor
Operación
Supervisión
Negocio
Negocio
– Proveedor
Integrador
§ Definición
de
OLA’s
23. Indicadores
de
gestión
y
rendimiento
Matriz
de
responsabilidad
y
modelo
de
operación
tercerizado
Mecanismos
de
reporte
y
distribución
de
información
Actividades
de
revisión,
verificación
y
validación
Instalaciones,
herramientas,
aplicaciones
Gestión
del
rendimiento
del
proveedor
Medición
Plan
de
Gestión
Abastecimiento
Calidad
Recursos
Comunicación
24. Integración
de
proveedores
nuevos
con
prácticas
especificas
para
el
negocio.
“integración
controlada”
Los
responsables
del
lado
del
negocio
con
las
herramientas
necesarias
para
gestionar
a
un
nivel
adecuado
…
“en
el
lugar
exacto”
Homologación
de
lenguaje…
comunicación
habilitada
No
más
conflictos
por
interpretaciones
sobre
términos
de
los
procesos
y
las
prácticas
esperadas
El
proveedor
integrador
utiliza
los
procesos
de
negocio
y
al
salir……
No
importa
Roles
y
responsabilidades
definidos
y
comunicados
Beneficios