Introducción a la Auditoría de Procesos de Sistemas de Información

Ejercicios
Introducción a la Auditoría de
Procesos de Sistemas de Información
Ejercicios
Damián Ruiz Soriano (CISA, CISSP, 27001 Lead Auditor)
Departamento de Auditoría de Producción (Área de Auditoría de Sistemas). Bankia
fruizs@bankia.com

Noviembre de 2012









4
4.1














Marco de Trabajo
Objetivos de Control
Directrices Gerenciales
Modelos de Madurez
Extracto de
Procesos y Descripciones














PLANEAR Y ORGANIZAR


P
L
A
N
E
A
R

Y

O
R
G
A
N
I
Z
A
R

PO1 Definir un Plan Estratégico de TI
PO2 Definir la Arquitectura de la Información
PO3 Determinar la Dirección Tecnológica
PO4 Definir los Procesos, Organización y Relaciones de TI
PO5 Administrar la Inversión en TI
PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia
PO7 Administrar Recursos Humanos de TI
PO8 Administrar la Calidad
PO9 Evaluar y Administrar los Riesgos de TI
PO10 Administrar Proyectos
Planear y Organizar
Definir un Plan Estratégico de TI
PO1
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
DESCRIPCIÓN DEL PROCESO.
P01 Definir un Plan Estratégico de TI.
La planeación estratégica de TI es necesaria para gestionar y dirigir todos los recursos de TI en línea con la estrategia y prioridades
del negocio. La función de TI y los interesados del negocio son responsables de asegurar que el valor óptimo se consigue desde los
proyectos y el portafolio de servicios. El plan estratégico mejora la comprensión de los interesados clave de las oportunidades y
limitaciones de TI, evalúa el desempeño actual, identifica la capacidad y los requerimientos de recursos humanos, y clarifica el nivel
de investigación requerido. La estrategia de negocio y prioridades se reflejarán en portafolios y se ejecutarán por los planes
estratégicos de TI, que especifican objetivos concisos, planes de acción y tareas que están comprendidas y aceptadas tanto por el
negocio como por TI.
Planear y
Organizar
Adquirir e
Implementar
Entregar y Dar
Soporte
Monitorear y
Evaluar








Control sobre el proceso TI de
Definir un plan estratégico para TI
Que satisface el requerimiento del negocio de TI para
Sostener o extender los requerimientos de gobierno y de la estrategia del negocio, al mismo tiempo que se mantiene la
transparencia sobre los beneficios, costos y riesgos
Enfocándose en
La incorporación de TI y de la gerencia del negocio en la traducción de los requerimientos del negocio a ofertas de
servicio, y el desarrollo de estrategias para entregar estos servicios de una forma transparente y rentable
Se logra con
• El compromiso con la alta gerencia y con la gerencia del negocio para alinear la planeación
estratégica de TI con las necesidades del negocio actuales y futuras
• El entendimiento de las capacidades actuales de TI
• La aplicación de un esquema de prioridades para los objetivos del negocio que cuantifique los
requerimientos del negocio
Y se mide con
• El porcentaje de objetivos de TI en el plan estratégico de TI, que dan soporte al plan
estratégico del negocio
• El porcentaje de proyectos TI en el portafolio de proyectos que se pueden rastrear hacia el
plan táctico de TI
• El retraso entre las actualizaciones del plan estratégico de TI y las actualizaciones de los
planes tácticos de TI




29
Planear y Organizar
Definir la Arquitectura de la Información
PO2
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
33


DE .
ación.
los
ue
los datos de la organización, el esquema de clasificación de datos y los niveles de seguridad. Este
d de la toma de decisiones gerenciales asegurándose que se proporciona información confiable y segura, y
licaciones y de las entidades.
eso TI de
• El aseguramiento de la exactitud de la arquitectura de la información y del modelo de datos

• La frecuencia de actividades de validación de datos



SCRIPCIÓN DEL PROCESO
P02. Definir la Arquitectura de la Inform
La función de sistemas de información debe crear y actualizar de forma regular un modelo de información del negocio y definir
sistemas apropiados para optimizar el uso de esta información. Esto incluye el desarrollo de un diccionario corporativo de datos q
contiene las reglas de sintaxis de
proceso mejora la calida
permite racionalizar los recursos de los sistemas de información para igualarse con las estrategias del negocio. Este proceso de TI
también es necesario para incrementar la responsabilidad sobre la integridad y seguridad de los datos y para mejorar la efectividad y
control de la información compartida a lo largo de las ap

Planear y
Organizar


Adquirir e
Implementar


Entregar y Dar
Soporte
Control sobre el proc
Definir la arquitectura de la información
Que satisface el requerimiento del negocio de TI para
Agilizar la respuesta a los requerimientos, proporcionar información confiable y consistente, para integrar de forma
transparente las aplicaciones dentro de los procesos del negocio
Monitorear y
Evaluar
Enfocándose en
El establecimiento de un modelo de datos empresarial que incluya un esquema de clasificación de información
que garantice la integridad y consistencia de todos los datos
Se logra con
• La asignación de propiedad de datos
• La clasificación de la información usando un esquema de clasificación acordado
Y se mide con
• El porcentaje de elementos de datos redundantes / duplicados
• El porcentaje de aplicaciones que no cumplen con la metodología de arquitectura de la
información usada por la empresa

Planear y Organizar
Determinar la Dirección Tecnológica
PO3
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
37




DE O.
listas y
rminos de productos, servicios y mecanismos de aplicación. El plan se debe
r y abarca aspectos tales como arquitectura de sistemas, dirección tecnológica, planes de adquisición,

requerimientos.
• La definición de estándares de infraestructura tecnológica basados en requerimientos de


SCRIPCIÓN DEL PROCES
P03. Determinar la Dirección Tecnológica.
La función de servicios de información debe determinar la dirección tecnológica para dar soporte al negocio. Esto requiere de la
creación de un plan de infraestructura tecnológica y de un comité de arquitectura que establezca y administre expectativas rea
claras de lo que la tecnología puede ofrecer en té
actualizar de forma regula
estándares, estrategias de migración y contingencias. Esto permite contar con respuestas oportunas a cambios en el ambiente
competitivo, economías de escala para consecución de personal de sistemas de información e inversiones, así como una
interoperabilidad mejorada de las plataformas y de las aplicaciones.

Planear y
Organizar

Adquirir e
Implementar
Entregar y Dar
Soporte
Control sobre el proceso TI de
Determinar la dirección tecnológica
Que satisface el requerimiento del negocio de TI para
Contar con sistemas aplicativos estándares, bien integrados, rentables y estables, así como recursos y capacidades que
satisfagan requerimientos de negocio, actuales y futuros
Monitorear y
Evaluar
Enfocándose en
La definición e implementación de un plan de infraestructura tecnológica, una arquitectura y estándares que
tomen en cuenta y aprovechen las oportunidades tecnológicas
Se logra con
• El establecimiento de un foro para dirigir la arquitectura y verificar el cumplimiento
• El establecimiento de un plan de infraestructura tecnológica equilibrado versus costos, riesgos y
arquitectura de información
Y se mide con
• El número y tipo de desviaciones con respecto al plan de infraestructura tecnológica
• Frecuencia de las revisiones /actualizaciones del plan de infraestructura tecnológica
• Número de plataformas de tecnología por función a través de toda la empresa


Planear y Organizar
Definir los Procesos, Organización y Relaciones de TI
PO4
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
41




DE O.
laciones de TI.
ntrol, así como el involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comité
ar la vigilancia del consejo directivo sobre TI, y uno ó más comités de dirección, en los cuales participen
io, TI se debe involucrar en los
ecisión.
eso TI de
en
os y competentes
efinición
• La definición de un marco de trabajo de procesos de TI
• El establecimiento de un cuerpo y una estructura organizacional apropiada

ctividades clave de TI fuera de la organización de TI que no son aprobadas y que
no están sujetas a los estándares organizacionales de TI



SCRIPCIÓN DEL PROCES
P04. Definir los Procesos, Organización y Re
Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, rendición de cuentas,
autoridad, roles, responsabilidades y supervisión. La organización está embebida en un marco de trabajo de procesos de TI que
asegure la transparencia y el co
estratégico debe garantiz
tanto el negocio como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del negocio. Deben
existir procesos, políticas de administración y procedimientos para todas las funciones, con atención específica en el control, el
aseguramiento de la calidad, la administración de riesgos, la seguridad de la información, la propiedad de datos y de sistemas y la
segregación de funciones. Para garantizar el soporte oportuno de los requerimientos del negoc
procesos importantes de d



Planear y
Organizar
Adquirir e
Implementar
Entregar y Dar
Soporte
Control sobre el proc
Definir los procesos, organización y relaciones de TI
Que satisface el requerimiento del negocio de TI para
Agilizar la respuesta a las estrategias del negocio mientras se cumplen los requerimientos de gobierno y se establec
Monitorear y
Evaluar
puntos de contacto definid
Enfocándose en
El establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables, y en la d
e implementación de procesos de TI con dueños, y en la integración de roles y responsabilidades hacia los
procesos de negocio y de decisión
Se logra con
• La definición de roles y responsabilidades
Y se mide con
• El porcentaje de roles con descripciones de puestos y autoridad documentados
• El número de unidades/procesos de negocio que no reciben soporte de TI y que deberían
recibirlo, de acuerdo con la estrategia
• Número de a

Planear y Organizar
Administrar la Inversión en TI
PO5
© 2007 IT Governance Institute. All rights reserved. www.itgi.org

47

DESCRIPCIÓN DEL PROCESO.
P05. Administrar la Inversión en TI.
Establecer y mantener un marco de trabajo para administrar los programas de inversión en TI que abarquen costos, beneficios,
prioridades dentro del presupuesto, un proceso presupuestal formal y administración contra ese presupuesto. Los interesados
(stakeholders) son consultados para identificar y controlar los costos y beneficios totales dentro del contexto de los planes
estratégicos y tácticos de TI, y tomar medidas correctivas según sean necesarias. El proceso fomenta la asociación entre TI y los
interesados del negocio, facilita el uso efectivo y eficiente de recursos de TI, y brinda transparencia y responsabilidad dentro del costo
total de la propiedad, la materialización de los beneficios del negocio y el retorno sobre las inversiones en TI.






Control sobre el proceso TI de
Administrar la Inversión en TI
Que satisface el requerimiento del negocio de TI para
Mejorar de forma continua y demostrable la rentabilidad de TI y su contribución a la rentabilidad del negocio con servicios
integrados y estandarizados que satisfagan las expectativas del usuario.
Enfocándose en
Decisiones de portafolio e inversión en TI efectivas y eficientes, y el establecimiento y seguimiento de presupuestos
de TI de acuerdo a la estrategia de TI y a las decisiones de inversión.
Se logra con
• El pronóstico y la asignación de presupuestos
• La definición de criterios formales de inversión (retorno de inversión -ROI, periodo de reintegro, valor
presente neto -NPV)
• La medición y evaluación del valor del negocio en comparación con el pronóstico
Y se mide con
• El porcentaje de reducción en el costo unitario del servicio de TI
• Porcentaje del valor de la desviación respecto al presupuesto en comparación con el
presupuesto total
• Porcentaje de gasto de TI expresado en impulsores de valor del negocio (Ej. Incremento en
ventas / servicios debidos a la mejora en conectividad



Planear y
Organizar
Adquirir e
Implementar
Entregar y Dar
Soporte
Monitorear y
Evaluar

Planear y Organizar
Comunicar las Aspiraciones y la Dirección de la Gerencia
PO6
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
51


D
Dirección de la Gerencia.
L laborar un marco de trabajo de control empr ra TI, y definir y comunicar las políticas. Un programa de
c ica ar la m e servic po s ie etc.,
aprobados y apoyados por la dirección. La comunicación apoya e los objetivos de TI y asegura la concienciación y el
entendim y de TI. El proceso debe limiento de las leye y reglamentos relevant s.





ontrol sobre el proceso TI de
omunicar las aspiraciones y la dirección de la gerencia
Que satisface el requerimiento del negocio de TI para
Una información precisa y oportuna sobre los servicios de TI actuales y futuros, los riesgos asociados y las responsabilidades
Enfocándose en
Proporcionar políticas, procedimientos, directrices y otra documentación aprobada, de forma precisa y entendible y
que se encuentre dentro del marco de trabajo de control de TI a los interesados
Se logra con
• La definición de un marco de trabajo de control para TI
• La elaboración e implantación de políticas para TI
• El refuerzo de políticas de TI
Y se mide con
• El número de interrupciones en el negocio debidas a interrupciones en el servicio de TI
• Porcentaje de interesados que entienden el marco de trabajo de control de TI de la empresa
• Porcentaje de interesados que no cumple las políticas



ESCRIPCIÓN DEL PROCESO.
P06. Comunicar las Aspiraciones y la
a dirección debe e esarial pa
omun ción continua se debe implementar para articul isión, los objetivos d
l logro de
io, las lítica y procedim ntos,
iento de los riesgos de negocio garantizar el cump s e
Planear y
Organizar
Adquirir e
Implementar

Entregar y Dar
Soporte
C
Monitorear y
Evaluar
C

Planear y Organizar
Administrar Recursos Humanos de TI
PO7
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
55


D
A var una fuerza de trabajo para la creaci ega de servicios ra el negocio. Esto se logra
si d el recluta iento, la evaluación del desempeño, la promoción
la termin es crítico, ya que las personas son , y el ambiente de gobierno y de control interno
d de el person


trol sobre el proceso TI de
dministrar los recursos humanos de TI
Que satisface el requerimiento del negocio de TI para
mpetente y motivada para crear y entregar servicios de TI
Enfocándose en
La contratación y entrenamiento del personal, la motivación por medio de planes de carrera claros, la asignación
de roles que correspondan a las habilidades, el establecimiento de procesos de revisión definidos, la creación de
descripción de puestos y el aseguramiento de la conciencia de la dependencia sobre los individuos
Se logra con
• La revisión del desempeño del personal
• La contratación y entrenamiento de personal de TI para apoyar los planes tácticos de TI
• La mitigación del riesgo de sobre-dependencia de recursos clave
Y se mide con
• El nivel de satisfacción de los interesados respecto a la experiencia y habilidades del personal
• La rotación de personal de TI
• Porcentaje de personal de TI certificado de acuerdo a las necesidades del negocio



ESCRIPCIÓN DEL PROCESO.
P07. Administrar los Recursos Humanos de TI.
dquirir, mantener y moti ón y entr de TI pa
guien o prácticas definidas y aprobadas que apoyan
ación. Este proceso
miento, entrenam
activos importantes
y
epen fuertemente de la motivación y competencia d al.
Planear y
Organizar

Adquirir e
Implementar
Entregar y Dar
Soporte

Monitorear y
Evaluar
Con
A
Adquirir gente co

Planear y Organizar
Administrar la Calidad
PO8
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
59


D
Se debe elaborar y mantener un sistema de administración de c cual incluya procesos y estándares probados de desarrollo y
d u la planeación, impla de ma administ ción de cali ad
proporci mientos y políticas clara ientos de calidad se deben manifestar y
d e bles. La me m e an e mo itoreo ión
sultados a los intere de d es sen al pa garantizar u TI
stá dando valor al negocio, mejora continua y transparencia par


ontrol sobre el proceso TI de
dministrar la calidad
Que satisface el requerimiento del negocio de TI para
La mejora continua y medible de la calidad de los servicios prestados por TI
Enfocándose en
ición de un sistema de administración de calidad (QMS, por sus siglas en inglés), el monitoreo continuo del
desempeño contra los objetivos predefinidos, y la implantación de un programa de mejora continua de servicios de
TI
Se logra con
• La definición de estándares y prácticas de calidad
• El monitoreo y revisión interna y externa del desempeño contra los estándares y prácticas de calidad
definidas
• La mejorara del QMS de manera continua
Y se mide con
• Porcentaje de Interesados (Stakeholders) satisfechos con la calidad (ponderado por
importancia)
• Porcentaje de procesos de TI revisados de manera formal por aseguramiento de calidad de
modo periódico que satisfaga las metas y objetivos de calidad
• Porcentaje de procesos que reciben revisiones de aseguramiento de calidad (QA)



ESCRIPCIÓN DEL PROCESO.
P08. Administrar la Calidad.
alidad, el
e adq isición. Esto se facilita por medio de
onando requerimientos, procedi
ntación y mantenimiento
s de calidad. Los requerim
l siste de ra d ,
ocum ntar con indicadores cuantificables y alcanza jora continua se logra por edio d l const t n , correcc
de desviaciones y la comunicación de los re
e
sados. La administración calida e ci ra q e
a los interesados.

Planear y
Organizar

Adquirir e
Implementar
Entregar y Dar
Soporte
Monitorear y
Evaluar
C
A
La defin

Planear y Organizar
Evaluar y Administrar los Riesgos de TI
PO9
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
63


D
s Riesgos de TI.
C imiento a un marco de trabajo de administrac El marco d el común y
a d trategias de mitigación y riesgos re to p cia re m d
o to no planeado se debe ide ar. en p st gia
mitigació los riesgos residuales a un resultad eva ació debe ser entendi
ara los Interesados (Stakeholders) y se debe expresar en térmi rmitirles alinear los riesgos a un nivel
ceptable de tolerancia.


trol sobre el proceso TI de
valuar y administrar los riesgos de TI
Que satisface el requerimiento del negocio de TI para
Enfocándose en
La elaboración de un marco de trabajo de administración de riesgos el cual está integrado en los marcos
gerenciales de riesgo operacional, evaluación de riesgos, mitigación del riesgo y comunicación de riesgos
residuales
Se logra con
• La garantía de que la administración de riesgos está incluida completamente en los procesos
administrativos, tanto interna como externamente, y se aplica de forma consistente
• La realización de evaluaciones de riesgo
• La recomendación y comunicación de planes de acción para remediar riesgos
Y se mide con
• Porcentaje de objetivos críticos de TI cubiertos por la evaluación de riesgos
• Porcentaje de riesgos críticos de TI identificados con planes de acción elaborados
• Porcentaje de planes de acción de administración de riesgos aprobados para su implantación



ESCRIPCIÓN DEL PROCESO.
P09. Evaluar y Administrar lo
rear y dar manten ión de riesgos. e trabajo documenta un niv
corda o de riesgos de TI, es siduales. Cualquier impac oten l sob las etas e la
rganización, causado por algún even ntificar, analizar y evalu Se deb ado tar e rate s de
n de riesgos para minimizar nivel aceptable. El
nos financieros, para pe
o de la lu n ble
p
a
Planear y
Organizar
Adquirir e
Implementar
Entregar y Dar
Soporte

Monitorear y
Evaluar
Con
E
Analizar y comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de negocio

Planear y Organizar
Administrar Proyectos
PO10
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
67


D
Establecer un marco de trabajo de administración de programas y proyectos para la admin os proyectos de TI
e c orrecta asignación de prioridades y la c na os. El
marco d incluir un plan maestro, asignación de re e entrega aprobación de los usuarios, u
e lidad, un p pruebas, revis e pruebas post an ción
d s izar la administración de lo la entrega de valor para el negocio. Este
e e y de cancelación ora la comun olucramiento del
n o r y la calidad de proyectos, y m za la contribuci n a los
p m



ontrol sobre el proceso TI de
dministrar proyectos
Que satisface el requerimiento del negocio de TI para
La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados
Enfocándose en
Un programa y un enfoque de administración de proyectos definidos, el cual se aplica a todos los proyectos de TI,
Se logra con
• La definición e implantación de marcos de trabajo y enfoques de programas y de proyectos
• La emisión de directrices de administración para proyectos
• La planeación de proyectos para todos los proyectos incluidos en el portafolio de proyectos
Y se mide con
• Porcentaje de proyectos que satisfacen las expectativas de los interesados (a tiempo, dentro
del presupuesto, y con satisfacción de los requerimientos – ponderados por importancia)
• Porcentaje de proyectos con revisión post-implantación
• Porcentaje de proyectos que siguen estándares y prácticas de administración de proyectos
ESCRIPCIÓN DEL PROCESO.
P10. Administrar Proyectos.
istración de todos l
stable idos. El marco de trabajo debe garantizar la c
e trabajo debe
oordi ción de todos los proyect
cursos, definición d bles, n
nfoque de entrega por fases, aseguramiento de la ca lan formal de
s riesgos del proyecto y
de proyectos, mej
ión d y -impl ta
espué de la instalación para garant
nfoqu reduce el riesgo de costos inesperados
y de los usuarios finales, asegura el valo
icación y el inv
egoci los entregables de los aximi ó
rogra as de inversión facilitados por TI.
Planear y
Organizar
Adquirir e
Implementar

Entregar y Dar
Soporte
Monitorear y
Evaluar
C
A
lo cual facilita la participación de los interesados y el monitoreo de los riesgos y los avances de los proyectos
















ADQUIRIR E IMPLEMENTAR
plicativo
AI3 Adquirir y mantener infraestructura tecnológica
AI4 Facilitar la operación y el uso
AI5 Adquirir recursos de TI
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios

A
D
Q
U
I
R
I
R

E

I
M
P
L
E
M
E
N
T
A
R




AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software a
Adquirir e Implementar
Identificar Soluciones Automatizadas
AI1
© 2007 IT Governance Institute. All rights reserved. www.itgi.org

73


DESCRIPCIÓN DEL PROCESO.
I1 Identificar Soluciones Automatizadas
a necesidad de una nueva aplicación o función requiere de análisis antes de la compra o desarrollo para garantizar que los
quisitos del negocio se satisfacen con un enfoque efectivo y eficiente. Este proceso cubre la definición de las necesidades,
ativas, realiza una revisión de la factibilidad tecnológica y económica, ejecuta un análisis de riesgo y de
osto-beneficio y concluye con una decisión final de “desarrollar” o “comprar”. Todos estos pasos permiten a las organizaciones
inimizar el costo para Adquirir e Implementar soluciones, mientras que al mismo tiempo facilitan el logro de los objetivos del
egocio.




Control sobre el proceso TI de
Identificar soluciones automatizadas
Que satisface el requerimiento
Traducir los requerimientos funcionales y de control a un diseño efectivo y eficiente de soluciones automatizadas
Enfocándose en
La identificación de soluciones técnicamente factibles y rentables
Se logra con
• La definición de los requerimientos técnicos y de negocio
• Realizar estudios de factibilidad como se define en los estándares de desarrollo
• Aprobar (o rechazar) los requerimientos y los resultados de los estudios de factibilidad
Y se mide con
• Número de proyectos donde los beneficios establecidos no se lograron debido a suposiciones
de factibilidad incorrectas
• Porcentaje de estudios de factibilidad autorizados por el dueño del proceso
• Porcentaje de usuarios satisfechos con la funcionalidad entregada



A
L
re
considera las fuentes altern
c
m
n
Planear y
Organizar

Adquirir e
Implementar
Entregar y Dar
Soporte
Monitorear y
Evaluar
del negocio de TI para
Adquirir e Implementar
Adquirir y Mantener Software Aplicativo
AI2
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
77

D

L disponibles de acuerdo con lo mientos del negocio. Est so cubre el diseño de las
a io troles aplicativos dad, y e a n í
a o a izaciones l negocio de forma apropiada con las
aplicacio




trol sobre el proceso TI de
dquirir y dar mantenimiento a software aplicativo
Que satisface el requerimiento del negocio de TI para
Construir las aplicaciones de acuerdo con los requerimientos del negocio y haciéndolas a tiempo y a un costo razonable
Enfocándose en
Garantizar que exista un proceso de desarrollo oportuno y confiable
Se logra con
• La traducción de requerimientos de negocio a especificaciones de diseño
• La adhesión a los estándares de desarrollo para todas las modificaciones
• La separación de las actividades de desarrollo, de pruebas y operativas
Y se mide con
• Número de problemas en producción por aplicación, que causan tiempo perdido significativo
• Porcentaje de usuarios satisfechos con la funcionalidad entregada



ESCRIPCIÓN DEL PROCESO.
AI2 Adquirir y Mantener Software Aplicativo
as aplicaciones deben estar s requeri e proce
plicac nes, la inclusión apropiada de con y requerimientos de seguri
apoyar la operatividad de
l des rrollo y la configuració en s de
cuerd los estándares. Esto permite a las organ
nes automatizadas correctas
Planear y
Organizar
Adquirir e
Implementar
Entregar y Dar
Soporte

Monitorear y
Evaluar
Con
A

Adquirir e Implementar
Adquirir y Mantener Infraestructura Tecnológica
AI3
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
81


D
ológica
L eben contar con procesos para adquiri entar y actualizar la infra ura tecnológica. Esto requiere de
u oq r la as te as te ológi s co ven as y
la dispos Esto garantiza que exista un soporte tecnológico continuo para las aplicaciones
d oc

ontrol sobre el proceso TI de
rir y dar mantenimiento a la infraestructura tecnológica
Que satisface el requerimiento del negocio de TI para
Adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI
Enfocándose en
Proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la arquitectura definida de
TI y los estándares de tecnología
Se logra con
• El establecimiento de un plan de adquisición de tecnología que se alinea con el plan de
infraestructura tecnológica
• La planeación de mantenimiento de la infraestructura
• La implantación de medidas de control interno, seguridad y auditabilidad
Y se mide con
• El porcentaje de plataformas que no se alinean con la arquitectura de TI definida y los
estándares de tecnología
• El número de procesos de negocio críticos soportados por infraestructura obsoleta (o que
pronto lo será)
• El número de componentes de infraestructura que ya no se pueden soportar (o que ya no se
podrán en el futuro cercano)



ESCRIPCIÓN DEL PROCESO.
AI3 Adquirir y Mantener Infraestructura Tecn
as organizaciones d r, Implem estruct
n enf ue planeado para adquirir, mantener y protege
ición del ambiente de desarrollo y pruebas.
infraestructura de acuerdo con l estra gi cn ca n id
el neg io.




Planea r y
Organi r za
Adquirir e
Implementar

Entregar y Dar
Soporte
Monitorear y
Evaluar
C
Adqui
Adquirir e Implementar
Facilitar la Operación y el Uso
AI4
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
85


DE .
. Este proceso requiere la generación de documentación y manuales
del negocio de TI para
Garantizar la satisfacción de los usuarios finales mediante ofrecimientos de servicios y niveles de servicio, y de forma
transparente integrar las soluciones de aplicación y tecnología dentro de los procesos del negocio

Enfocándose en
Proporcionar manuales efectivos de usuario y de operación y materiales de entrenamiento para transferir el
conocimiento necesario para la operación y el uso exitosos del sistema.
Se logra con
• El desarrollo y la disponibilidad de documentación para transferir el conocimiento
• Comunicación y entrenamiento a usuarios y a la gerencia del negocio, al personal de apoyo y al
personal de operación
• La generación de materiales de entrenamiento
Y se mide con
• El número de aplicaciones en que los procedimientos de TI se integran en forma transparente
dentro de los procesos de negocio
• El porcentaje de dueños de negocios satisfechos con el entrenamiento De aplicación y los
materiales de apoyo.
• El número de aplicaciones que cuentan con un adecuado entrenamiento de apoyo al usuario
y a la operación



SCRIPCIÓN DEL PROCESO
AI4 Facilitar la Operación y el Uso
El conocimiento sobre los nuevos sistemas debe estar disponible
para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la
infraestructura.


Planear y
Organizar

Adquirir e
Implementar

Entregar y Dar
Soporte

Monitorear y
Evaluar
Control sobre el proceso TI de
Facilitar la operación y el uso

Que satisface el requerimiento
Adquirir e Implementar
Adquirir Recursos de TI
AI5
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
DESCRIPCIÓN DEL PROCESO.
AI5 Adquirir Recursos de TI
Se deben suministrar recursos TI, incluyendo pers
los procedimientos de adquisición, la selección
89

onas, hardware, software y servicios. Esto requiere de la definición y ejecución de
os de TI
Adquirir y mantener las habilidades de TI que respondan a la estrategia de entrega, en una infraestructura TI
integrada y estandarizada, y reducir el riesgo de adquisición de TI
Se logra con
• La obtención de asesoría profesional legal y contractual
• La definición de procedimientos y estándares de adquisición
• La adquisición de hardware, software y servicios requeridos de acuerdo con los procedimientos
definidos
Y se mide con
• El número de controversias en relación con los contratos de adquisición
• La reducción del costo de compra
• El porcentaje de interesados clave satisfechos con los proveedores



de proveedores, el ajuste de arreglos contractuales y la adquisición en sí. El hacerlo
así garantiza que la organización tenga todos los recursos de TI que se requieren de una manera oportuna y rentable.


Planear y
Organizar

Adquirir e
Implementar

Entregar y Dar
Soporte

Control sobre el proceso TI de
Adquirir recurs
Monitorear y
Evaluar
Que satisface el requerimiento del negocio de TI para
Mejorar la rentabilidad de TI y su contribución a la utilidad del negocio
Enfocándose en

Adquirir e Implementar
Administrar Cambios
AI6
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
93


DE .
mantenimiento de emergencia y parches, relacionados con la infraestructura y las aplicaciones
ientos,
mplantación. Esto garantiza la reducción de riesgos que impactan negativamente la estabilidad
dministrar cambios
Que satisface el requerimiento del negocio de TI para
Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la
repetición de trabajos en la prestación del servicio y en la solución.
Enfocándose en
Controlar la evaluación de impacto, autorización e implantación de todos los cambios a la infraestructura de TI,
aplicaciones y soluciones técnicas, minimizando errores que se deben a especificaciones incompletas de la
solicitud y detener la implantación de cambios no autorizados
Se logra con
• La definición y comunicación de los procedimientos de cambio, que incluyen cambios de emergencia
• La evaluación, la asignación de prioridad y autorización de cambios
• Seguimiento del estatus y reporte de los cambios
Y se mide con
• El número de interrupciones o errores de datos provocados por especificaciones inexactas o
una evaluación de impacto incompleta
• La repetición de aplicaciones o infraestructura debida a especificaciones de cambio
inadecuadas
• El porcentaje de cambios que siguen procesos de control de cambio formales



SCRIPCIÓN DEL PROCESO
AI6 Administrar Cambios
Todos los cambios, incluyendo el
dentro del ambiente de producción, deben administrarse formalmente y controladamente. Los cambios (incluyendo procedim
procesos, sistema y parámetros del servicio) se deben registrar, evaluar y autorizar previo a la implantación y revisar contra los
resultados planeados después de la i
o integridad del ambiente de producción.



Planear y
Organizar
Adquirir e

Implementar

Entregar y Dar
Soporte

Control sobre el proceso TI de
Monitorear y
Evaluar
A
Adquirir e Implementar
Instalar y Acreditar Soluciones y Cambios
AI7
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
97


DE .
luciones y Cambios
z que su desarrollo se completa. Esto requiere pruebas adecuadas en un
en línea
as y con los resultados.
Contar con sistemas nuevos o modificados que trabajen sin problemas importantes después de la instalación
Enfocándose en
Probar que las soluciones de aplicaciones e infraestructura son apropiadas para el propósito deseado y estén
libres de errores, y planear las liberaciones a producción
Se logra con
• El establecimiento de una metodología de prueba
• Realizar la planeación de la liberación (release)
• Evaluar y aprobar los resultados de las pruebas por parte de la gerencia del negocio
• Ejecutar revisiones posteriores a la implantación
Y se mide con
• Tiempo perdido de la aplicación o problemas de datos provocados por pruebas inadecuadas
• Porcentaje de sistemas que satisfacen los beneficios esperados, medidos en el proceso
posterior a la implantación
• Porcentaje de proyectos con plan de prueba documentado y aprobado



SCRIPCIÓN DEL PROCESO
AI7 Instalar y Acreditar So
Los nuevos sistemas necesitan estar funcionales una ve
ambiente dedicado con datos de prueba relevantes, definir la transición e instrucciones de migración, planear la liberación y la
transición en sí al ambiente de producción, y revisar la post-implantación. Esto garantiza que los sistemas operativos estén
con las expectativas convenid

Planear y
Organizar

Adquirir e
Implementar

Entregar y Dar
Soporte

Control sobre el proceso TI de
Monitorear y
Evaluar
Instalar y acreditar soluciones y cambios
Que satisface el requerimiento del negocio de TI para







Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS7 Educar y entrenar a los usuarios
DS10 Administrar los problemas
DS11 Administrar los datos
E
N
T
R
E
G
A
R

Y

D
A
R

S
O
P
O
R
T
E








ENTREGAR Y DAR SOPORTE
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS3 Administrar el desempeño y la capacidad
DS4
DS6 Identificar y asignar costos
DS8 Administrar la mesa de servicio y los incidentes
DS9 Administrar la configuración
DS12 Administrar el ambiente físico
DS13 Administrar las operaciones
Entregar y Dar Soporte
Definir y Administrar los Niveles de Servicio
DS1
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
101


DE O.
io
incluye el
n oportuna a los Interesados (Stakeholders) sobre el cumplimiento de los niveles de servicio. Este proceso
nto
ades
veles
te acordados.
• El número de servicios entregados que no están en el catálogo
• El número de reuniones formales de revisión del Acuerdo de Niveles de Servicio (SLA) con las
personas de negocio por año



SCRIPCIÓN DEL PROCES
DS1 Definir y Administrar los Niveles de Servic
Contar con una definición documentada y un acuerdo de servicios de TI y de niveles de servicio, hace posible una comunicación
efectiva entre la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso también
monitoreo y la notificació
permite la alineación entre los servicios de TI y los requerimientos de negocio relacionados.

Planear y
Organizar

Adquirir e
Implementar


Entregar y
Dar Soporte
Control sobre el proceso TI de
Definir y manejar niveles de servicio
Que satisface el requerimiento del negocio de TI para
Monitorear y
Evaluar
Asegurar la alineación de los servicios claves de TI con la estrategia del negocio
Enfocándose en
La identificación de requerimientos de servicio, el acuerdo de niveles de servicio y el monitoreo del cumplimie
de los niveles de servicio
Se logra con
• La formalización de acuerdos internos y externos en línea con los requerimientos y las capacid
de entrega
• La notificación del cumplimiento de los niveles de servicio (reportes y reuniones)
• La identificación y comunicación de requerimientos de servicios actualizados y nuevos para
planeación estratégica
Y se mide con
• El porcentaje de Interesados satisfechos de que la entrega del servicio cumple con los ni
previamen
Entregar y Dar Soporte
Administrar los Servicios de Terceros
DS2
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
105


D
c e asegurar que los servicios provistos por ter umplan con los requeri os del negocio, requiere de un
es ces a clara definición de roles, ades y
ct terceros, así como con la revisión y monitoreo de la efectividad y cumplimiento de dichos
rd e los servicios de te l s qu
e d a adecuada.
ontrol sobre el proceso TI de
dministrar servicios de terceros
Que satisface el requerimiento del negocio de TI para
Brindar servicios satisfactorios de terceros con transparencia acerca de los beneficios, riesgos y costos
Enfocándose en
lecimiento de relaciones y responsabilidades bilaterales con proveedores calificados de servicios
tercerizados y el monitoreo de la prestación del servicio para verificar y asegurar la adherencia a los convenios
Se logra con
• La identificación y categorización de los servicios del proveedor
• La identificación y mitigación de riesgos del proveedor
• El monitoreo y la medición del desempeño del proveedor
Y se mide con
• El número de quejas de los usuarios debidas a los servicios contratados
• El porcentaje de los principales proveedores que cumplen claramente los requerimientos
definidos y los niveles de servicio
• El porcentaje de los principales proveedores sujetos a monitoreo



ESCRIPCIÓN DEL PROCESO.
DS2 Administrar los Servicios de Terceros
La ne esidad d ceros c mient
proc o efectivo de administración de terceros. Este pro o se logra por medio de un responsabilid
expe ativas en los acuerdos con los
acue os. Una efectiva administración d rceros minimiza los riesgos de negocio asociados con proveedore e
no s esempeñan de form

Pla r y
Organizar
nea


Adquirir e
Implementar

Entregar y
Dar Soporte
Monitorear y
Evaluar
C
A
El estab
Entregar y Dar Soporte
Administrar el Desempeño y la Capacidad
DS3
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
109


D
dad
c e administrar el desempeño y la capacidad d ecursos de TI requiere de un proceso para revisar periódicamente el
m los recursos de TI. Este o d ecesidades futur s, basadas en los
r ajo, almacenamiento y cont brinda la de
m nera conti
ontrol sobre el proceso TI de
trar el desempeño y la capacidad
Que satisface el requerimiento del negocio de TI para
Optimizar el desempeño de la infraestructura, los recursos y las capacidades de TI en respuesta a las necesidades del
Enfocándose en
Cumplir con los requerimientos de tiempo de respuesta de los acuerdos de niveles de servicio, minimizando el
tiempo sin servicio y haciendo mejoras continuas de desempeño y capacidad de TI a través del monitoreo y la
medición.
Se logra con
• La planeación y la entrega de capacidad y disponibilidad del sistema
• Monitoreando y reportando el desempeño del sistema
• Modelando y pronosticando el desempeño del sistema.
Y se mide con
• Número de horas perdidas por usuario por mes, debidas a la falta de planeación de la
capacidad
• Porcentaje de picos donde se excede la meta de utilización
• Porcentaje de SLAs de tiempo de respuesta que no se satisfacen



ESCRIPCIÓN DEL PROCESO.
DS3 Administrar el Desempeño y la Capaci
La ne esidad d e los r
dese peño actual y la capacidad de proceso incluye el pronóstic
ingencias
e las n a
reque imientos de carga de trab . Este proceso
tán disponibles de ma
seguridad de que los recursos
nua. infor ación que soportan los requerimientos del negocio es

Planear y




Organizar
Adquirir e
Implementar
Entregar y
Dar Soporte
Monitorear y
Evaluar
C
Adminis
negocio
Entregar y Dar Soporte
Garantizar la Continuidad del Servicio
DS4
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
113


D
c e brindar continuidad en los servicios de TI r desarrollar, mantener y probar planes de continuidad de TI,
ace entrenar d n a n proceso ef vo de
tinu abilidad y el impa res en lo vic o nc n
es
ontrol sobre el proceso TI de
arantizar la continuidad del servicio
Asegurar el mínimo impacto al negocio en caso de una interrupción de servicios de TI
Enfocándose en
El desarrollo de resistencia (resilience) en las soluciones automatizadas y desarrollando, manteniendo y probando
los planes de continuidad de TI
Se logra con
• Desarrollando y manteniendo (mejorando) los planes de contingencia de TI
• Con entrenamiento y pruebas de los planes de contingencia de TI
• Guardando copias de los planes de contingencia y de los datos fuera de las instalaciones
Y se mide con
• Número de horas perdidas por usuario por mes, debidas a interrupciones no planeadas
• Número de procesos críticos de negocio que dependen de TI, que no están cubiertos por un
plan de continuidad



ESCRIPCIÓN DEL PROCESO.
DS4 Garantizar la Continuidad del Servicio
La ne esidad d equiere
alm nar respaldos fuera de las instalaciones y e forma periódica sobre los planes de co tinuid d
TI, s
. U ecti
con idad de servicios, minimiza la prob
ves del negocio.
cto de interrupciones mayo s ser ios de bre fu io es y
proc os cla
Pl near a y
Organizar



Adquirir e
Implementar
Entregar y
Dar Soporte

Monitorear y
Evaluar
C
G
Que satisface el requerimiento del negocio de TI para
Entregar y Dar Soporte
Garantizar la Seguridad de los Sistemas
DS5
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
117


D
s
c e mantener la integridad de la información y teger los activos de TI, r re de un proceso de administración de
gu l establecimiento y man seguridad, polí
nd e la iz onitoreos de seguridad y pruebas
ódi las d identificados. Una efectiva
admini seguridad protege todos los activos de pacto en g sado por vulnerabilidades o
en ridad.
ontrol sobre el proceso TI de
Garantizar la seguridad de los sistemas
Que satisface el requerimiento del negocio de TI para
Mantener la integridad de la información y de la infraestructura de procesamiento y minimizar el impacto de las
vulnerabilidades e incidentes de seguridad
Enfocándose en
La definición de políticas, procedimientos y estándares de seguridad de TI y en el monitoreo, detección, reporte y
ión de las vulnerabilidades e incidentes de seguridad
Se logra con
• El entendimiento de los requerimientos, vulnerabilidades y amenazas de seguridad.
• La administración de identidades y autorizaciones de los usuarios de forma estandarizada.
• Probando la seguridad de forma regular
Y se mide con
• El número de incidentes que dañan la reputación con el público
• El número de sistemas donde no se cumplen los requerimientos de seguridad
• El número de de violaciones en la segregación de tareas



ESCRIPCIÓN DEL PROCESO.
DS5 Garantizar la Seguridad de los Sistema
La ne esidad d de pro equie
la se ridad. Este proceso incluye e tenimiento de roles y responsabilidades de ticas,
está ares y procedimientos de TI. La administración d seguridad también incluye real
debilidades o incidentes de segurida
ar m
peri cas así como realizar acciones correctivas sobre
stración de la TI para minimizar el im el ne ocio cau
incid tes de segu






Planear y
Organizar
Adquirir e
Implementar
Entregar y
Dar Soporte
Monitorear y
Evaluar
C
resoluc
Entregar y Dar Soporte
Identificar y Asignar Costos
DS6
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
121


D
c e un sistema justo y equitativo para asignar costos de TI al negocio, requiere de un ición precisa y un acuerdo
los Es pe d un ste a p ra
ura costos de TI a los usuarios de c pe it negoci
isio io
ontrol sobre el proceso TI de
entificar y asignar costos
Que satisface el requerimiento del negocio de TI para
Enfocándose en
el registro completo y preciso de los costos de TI, un sistema equitativo para asignación acordado con los usuarios
de negocio, y un sistema para reportar oportunamente el uso de TI y los costos asignados
Se logra con
• La alineación de cargos con la calidad y cantidad de los servicios brindados
• La construcción y aceptación de un modelo de costos completo
• La aplicación de cargos con base en la política acordada
Y se mide con
• Porcentaje de facturas de servicios de TI aceptadas/pagadas por la gerencia del negocio.
• Porcentaje de variación entre los presupuestos, pronósticos y costos actuales.
• Porcentaje de costos totales de TI que son distribuidos de acuerdo con los modelos
acordados



ESCRIPCIÓN DEL PROCESO.
DS6 Identificar y Asignar Costos
La ne esidad d a med
con usuarios del negocio sobre una asignación justa. te proceso incluye la construcción y o
los servicios. Un sistema equitativo de
ración e si m a
capt r, distribuir y reportar ostos rm e al o tomar
dec nes más informadas respectos al uso de los servic s de TI.

Pla r nea y


Organizar
Adquirir e
Implementar

Entregar y
Dar Soporte
Monitorear y
Evaluar
C
Id
Transparentar y entender los costos de TI y mejorar la rentabilidad a través del uso bien informado de los servicios de TI
Entregar y Dar Soporte
Educar y Entrenar a los Usuarios
DS7
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
125


D
rios
ción efectiva de todos los usuarios de sistem TI, incluyendo aquellos dentro , se requieren identificar las
si po de usuarios. sidade ón
c o un entrenam resulta o de
n de la tecnología a disminuir los errores, incrementando la productividad y el cumplimiento
e los controles clave tales como las medidas de seguridad de los usuarios.
trol sobre el proceso TI de
Que satisface el requerimiento del negocio de TI para
El uso efectivo y eficiente de soluciones y aplicaciones tecnológicas y el cumplimiento del usuario con las políticas y
procedimientos
Enfocándose en
Un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI, la ejecución de una efectiva
estrategia de entrenamiento y la medición de resultados
Se logra con
• Establecer un programa de entrenamiento
• Organizar el entrenamiento
• Impartir el entrenamiento
• Monitorear y reportar la efectividad del entrenamiento
Y se mide con
• Número de llamadas de soporte debido a problemas de entrenamiento
• Porcentaje de satisfacción de los Interesados con el entrenamiento recibido
• Lapso de tiempo entre la identificación de la necesidad de entrenamiento y la impartición del
mismo



ESCRIPCIÓN DEL PROCESO.
DS7 Educar y Entrenar a los Usua
Para una educa as de de TI
nece dades de entrenamiento de cada gru
a llevar a cab
Además de identificar las nece
nto efectivo y para medir los
s, este proceso incluye la definici y
ejecu ión de una estrategia par
rementa el uso efectivo
ie
l
dos. Un programa efectiv
entre amiento inc
d


Planear y
Organizar

Adquirir e
Implementar

Entregar y
Dar Soporte
Con
Monitorear y
Evaluar
Educar y entrenar a los usuarios
Entregar y Dar Soporte
Administrar la Mesa de Servicio y los Incidentes
DS8
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
129


D
los Incidentes.
n s consultas y mas de los usuarios de TI, requi una mesa de servicio bien
ña ci uye la creació de una función de mesa
de serv isi iz y reso . os bene os el negocio
uye o a de consultas. Además, el negocio puede identificar la causa
raíz (ta arios) a través de un proceso de reporte efectivo.
ontrol sobre el proceso TI de
dministrar la mesa de servicio y los incidentes
Que satisface el requerimiento del negocio de TI para
Permitir el efectivo uso de los sistemas de TI garantizando la resolución y el análisis de las consultas de los usuarios finales,
Enfocándose en
Una función profesional de mesa de servicio, con tiempo de respuesta rápido, procedimientos de escalamiento
claros y análisis de tendencias y de resolución
Se logra con
• Instalación y operación de un servicio de una mesa de servicios
• Monitoreo y reporte de tendencias
• Definición de procedimientos y de criterios de escalamiento claros
Y se mide con
• Satisfacción del usuario con el soporte de primera línea
• Porcentaje de incidentes resueltos dentro de un lapso de tiempo aceptable / acordado.
• Índice de abandono de llamadas



ESCRIPCIÓN DEL PROCESO.
DS8 Administrar la Mesa de Servicio y
Respo der de manera oportuna y efectiva a la proble ere de
dise da y bien ejecutada, y de un proceso de administra
icio con registro, escalamiento de incidentes, anál
ón de incidentes. Este proceso incl n
s de tendencia, análisis causa-ra
lución rápid
lución L fici d
incl n el incremento en la productividad gracias a la res
les como un pobre entrenamiento a los usu

Planear y
Organizar

Adquirir e
Implementar


Entregar y
Dar Soporte
Monitorear y
Evaluar
C
A
incidentes y preguntas
Entregar y Dar Soporte
Administrar la Configuración
DS9
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
133


D
t tegridad de las configuraciones de hardware y software requiere establecer y mantener un repositorio de
figu la o a cial, el esta lec en o
orm auditoría de la información de la n de i rio e configuración conforme
ec ación de la configuración ad, m iza roblemas de pro cción y
elv mas más rápido.
ontrol sobre el proceso TI de
rar la configuración
Que satisface el requerimiento del negocio de TI para
Optimizar la infraestructura, recursos y capacidades de TI, y llevar registro de los activos de TI.
Enfocándose en
itorio completo y preciso de atributos de la configuración de los activos y de líneas
base y compararlos contra la configuración actual

establecimiento de un repositorio central de todos los ón
identificació n y su
de la in ón
Y se mide con
• El número de problemas de cumplimiento del negocio debido a inadecuada configuración de
los activos.
• El número de desviaciones identificadas entre el repositorio de configuración y la
configuración actual de los activos.
• Porcentaje de licencias compradas y no registradas en el repositorio



ESCRIPCIÓN DEL PROCESO.
DS9 Administrar la Configuración
Garan izar la in
con raciones completo y preciso. Este proceso incluye recolección de información de la c nfigur
s
ción ini b imi t
de n as, la verificación y configuración y la actualizació l repo to d
se n esite. Una efectiva administr facilita una mayor disponibilid inim los p du
resu e los proble

Planear y
Organizar

Adquirir e


Implementar
Entregar y
Dar Soporte
Monitorear y
Evaluar
C
Administ
Establecer y mantener un repos
Se logra con
• El
• La

elementos de la configuraci
mantenimiento n de los elementos de configuració
tegridad de los datos de configuraci Revisión
Entregar y Dar Soporte
Administración de Problemas
DS10
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
137


D
s
ministración de problemas requiere la ide ificación de problem l análisis de las causas desde su
ist uy n e m daci
a la egistros de problem las ac re va efecti proceso
dm les de ser la conv ncia y satisfacción del usuario
trol sobre el proceso TI de
Que satisface el requerimiento del negocio de TI para
Garantizar la satisfacción de los usuarios finales con ofrecimientos de servicios y niveles de servicio, reducir el retrabajo y
los defectos en la prestación de los servicios y de las soluciones
Enfocándose en
Registrar, rastrear y resolver problemas operativos; investigación de las causas raíz de todos los problemas
relevantes y definir soluciones para los problemas operativos identificados
Se logra con
• Realizando un análisis de causas raíz de los problemas reportados
• Analizando las tendencias
• Tomando propiedad de los problemas y con una resolución de problemas progresiva.
Y se mide con
• Número de problemas recurrentes con impacto en el negocio
• Porcentaje de problemas resueltos dentro del período de tiempo solicitado
• Frecuencia de los reportes o actualizaciones sobre un problema en curso, con base en la
severidad del problema



ESCRIPCIÓN DEL PROCESO.
DS10 Administración de Problema
Una efectiva ad ntificación y clas as, e
raíz, y la resolución de problemas. El proceso de admin ración de problemas también incl e la identificació de r co en ones
par mejora, el mantenimiento de r as y la revisión del estatus de
vicio, reduce costos y mejora
ciones cor
enie
cti s. Un vo
de a inistración de problemas mejora los nive


Planear y
Organizar

Adquirir e
Implementar

Entregar y
Dar Soporte
Con
Monitorear y
Evaluar
Administración de problemas
Entregar y Dar Soporte
Administración de Datos
DS11
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
DESCRIPCIÓN DEL PROCESO
DS11 Administración de Datos
Una e
141

f ministración de datos requiere de la identific de requerimientos de datos. El proceso de administración de
rm e el establecimiento de procedim istrar la ería de medios, el resp la
pe propiada de medios de da yu a ga antiz la c lida
ación del negocio.
trol sobre el proceso TI de
dministración de datos
Que satisface el requerimiento del negocio de TI para
de la información y garantizar la disponibilidad de la información cuando se requiera.
Enfocándose en
Mantener la integridad, exactitud, disponibilidad y protección de los datos
Se logra con
• Respaldando los datos y probando la restauración
• Administrando almacenamiento de datos en sitio y fuera de sitio.
• Desechando de manera segura los datos y el equipo
Y se mide con
• Satisfacción del usuario con la disponibilidad de los datos.
• Porcentaje de restauraciones exitosas de datos.
• Número de incidentes en los que tuvo que recuperarse datos sensitivos después que los
medios habían sido desechado



ectiva ad ación
info ación también incluy ientos efectivos para admin libr aldo y
recu ración de datos y la eliminación a
dad de la inform
. Una efectiva administración tos a da r ar a d,
oportunidad y disponibili

Planear y Organizar



Adquirir e
Implementar

Entregar y
Dar Soporte
Monitorear y
Evaluar
Con
A
Optimizar el uso
s


Entregar y Dar Soporte
Administración del Ambiente Físico
DS12
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
145

D
nte Físico
t el equipo de cómputo y del personal, requie stalaciones bien diseñadas y bi ministradas. El proceso de
ini re ), sele ión e
ala s ini el cc o f co. a
ini ente físico reduce las interrup cio ocasionadas por daños al equipo de cómputo y al
on
trol sobre el proceso TI de
dministración del ambiente físico
requerimiento del negocio de TI para
Proteger los activos de cómputo y la información del negocio minimizando el riesgo de una interrupción del servicio
Enfocándose en
Proporcionar y mantener un ambiente físico adecuado para proteger los activos de TI contra acceso, daño o robo
Se logra con
• Implementando medidas de seguridad físicas.
• Seleccionando y administrando las instalaciones
Y se mide con
• Tiempo sin servicio ocasionado por incidentes relacionados con el ambiente físico
• Número de incidentes ocasionados por fallas o brechas de seguridad física
• Frecuencia de revisión y evaluación de riesgos físicos.



ESCRIPCIÓN DEL PROCESO.
DS12 Administración del Ambie
La pro ección d re de in en ad
adm strar el ambiente físico incluye la definición de los
ciones apropiadas y el diseño de procesos efectivo
ón efectiva del ambi
querimientos físicos del centro de dato
para monitorear factores ambientales y
ciones del nego
s (site la cc d
inst adm strar a es ísi L
adm straci
pers al.




Planear y
Organizar
Adquirir e
Implementar

Entregar y
Dar Soporte
Monitorear y
Evaluar
Con
A
Que satisface el

Entregar y Dar Soporte
Administración de Operaciones
DS13
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
149


D
nto de información completo y apropiado req e una efectiva administración del procesamiento de datos y del
ten ceso incluye la defini de o ió p i ración
tiv ado, protección de dato de salida sensitivos, monitoreo de infraestructura y mantenimiento
stración de operaciones ayuda a mantener la integridad de los datos y reduce los

ontrol sobre el proceso TI de
Adm
Que satisface el requerimiento del negocio de TI para
Mantener la integridad de los datos y garantizar que la infraestructura de TI puede resistir y recuperase de errores y fallas
Enfocándose en
Cumplir con los niveles operativos de servicio para procesamiento de datos programado, protección de datos de
salida sensitivos y monitoreo y mantenimiento de la infraestructura
Se logra con
• Operando el ambiente de TI en línea con los niveles de servicio acordados y con las instrucciones
definidas
• Manteniendo la infraestructura de TI
Y se mide con
• Número de niveles de servicio afectados a causa de incidentes en la operación.
• Horas no planeadas de tiempo sin servicio a causa de incidentes en la operación.
• Porcentaje de activos de hardware incluidos en los programas de mantenimiento.



ESCRIPCIÓN DEL PROCESO.
DS13 Administración de Operaciones
Un procesamie uiere d
man imiento del hardware. Este pro ción de políticas y procedimientos perac n ara una admin st
efec a del procesamiento program
ardware. Una efectiva admini
s
preventivo de h
retrasos en el trabajo y los costos operativos de TI.

Planear y
Organizar

Adquirir e
Implementar
Entregar y
Dar Soporte
Monitorear y
C
Evaluar
inistrar operaciones







M
O
N
I
T
O
R
E
A
R

Y

E
V
A
L
U
A
R








MONITOREAR Y EVALUAR
ME1 Monitorear y Evaluar el Desempeño de TI
ME2 Monitorear y Evaluar el Control Interno
ME3 Garantizar el Cumplimiento Regulatorio
ME4 Proporcionar Gobierno de TI

Monitorear y Evaluar
Monitorear y Evaluar el Desempeño de TI
ME1
© 2007 IT Governance Institute. All rights reserved. www.itgi.org

153


DESCRIPCIÓN DEL PROCESO.
E1 Monitorear y Evaluar el Desempeño de TI
na efectiva administración del desempeño de TI requiere un proceso de monitoreo. El proceso incluye la definición de indicadores de
esempeño relevantes, reportes sistemáticos y oportunos de desempeño y tomar medidas expeditas cuando existan desviaciones. El
toreo se requiere para garantizar que las cosas correctas se hagan y que estén de acuerdo con el conjunto de direcciones y
olíticas.



Control sobre el proceso TI de
Que satisface el requerimiento del negocio de TI para
Transparencia y entendimiento de los costos, beneficios, estrategia, políticas y niveles de servicio de TI de acuerdo con los
requisitos de gobierno
Enfocándose en
Monitorear y reportar las métricas del proceso e identificar e implementar acciones de mejoramiento del
desempeño
Se logra con
• Cotejar y traducir los reportes de desempeño de proceso a reportes gerenciales
• Comparar el desempeño contra las metas acordadas e iniciar las medidas correctivas necesarias
Y se mide con
• Satisfacción de la gerencia y de la entidad de gobierno con los reportes de desempeño
• Número de acciones de mejoramiento impulsadas por las actividades de monitoreo
• Porcentaje de procesos críticos monitoreados



M
U
d
moni
p
Planear y
Organizar

Adquirir e
Implementar
Entregar y Dar
Soporte
Monitorear y
Evaluar
Monitorear y evaluar el desempeño de TI


Monitorear y Evaluar
Monitorear y Evaluar el Control Interno
ME2

© 2007 IT Governance Institute. All rights reserved. www.itgi.org
157


D
e ma de control interno efectivo para TI r n proceso bien definido de monitoreo. Este proceso incluye el
tore iones de control, resulta pa e s. U
cio rno es proporc r seguridad respecto a las operaciones eficientes y efectivas y el
plimi licables.



trol sobre el proceso TI de
onitorear y evaluar el control interno
Que satisface el requerimiento del negocio de TI para
Proteger el logro de los objetivos de TI y cumplir las leyes y reglamentos relacionados con TI
Enfocándose en
toreo de los procesos de control interno para las actividades relacionadas con TI e identificar las acciones
to
Se logra con
• La definición de un sistema de controles internos integrados en el marco de trabajo de los procesos
de TI
• Monitorear y reportar la efectividad de los controles internos sobre TI
• Reportar las excepciones de control a la gerencia para tomar acciones
Y se mide con
• Número de brechas importantes del control interno
• Número de iniciativas para la mejora del control
• Número y cubrimiento de auto evaluaciones de control



ESCRIPCIÓN DEL PROCESO.
ME2 Monitorear y Evaluar el Control Interno
Establec r un progra equiere u
moni o y el reporte de las excepc dos de las auto-evaluaciones y revisione
iona
s por rte d tercero n
benefi clave del monitoreo del control inte
cum ento de las leyes y regulaciones ap
Pl near y
Or zar
a
gani

Adquirir e
Implementar
Entregar y Dar
Soporte
Monitorear y
Evaluar
Con
M
El moni
de mejoramien


Monitorear y Evaluar
Garantizar el Cumplimiento con Requerimientos Externos
ME3

© 2007 IT Governance Institute. All rights reserved. www.itgi.org
161


D
mientos Externos
fectiva del cumplimiento regulatorio requi tablecimiento de un proceso independiente de revisión para
ti egulaciones. Este d t
n tándares profesionales, planeación, desempeño del trabajo de auditoría y reportes y
seguimiento a las actividades de auditoría. El propósito de este proceso es proporcionar un aseguramiento positivo relativo al
de las leyes y regulaciones.

trol sobre el proceso TI de
arantizar el cumplimiento regulatorio
requerimiento del negocio de TI para
Cumplir las leyes y regulaciones
Enfocándose en
La identificación de todas las leyes y regulaciones aplicables y el nivel correspondiente de cumplimiento de TI y la
optimización de los procesos de TI para reducir el riesgo de no cumplimiento
Se logra con
• La identificación de los requisitos legales y regulatorios relacionados con TI
• La evaluación del impacto de los requisitos regulatorios
• El monitoreo y reporte del cumplimiento de los requisitos regulatorios
Y se mide con
• El costo del no cumplimiento de TI, incluyendo arreglos y multas
• Tiempo promedio de demora entre la identificación de los problemas externos de
cumplimiento y su resolución
• Frecuencia de revisiones de cumplimiento



ESCRIPCIÓN DEL PROCESO.
ME3 Garantizar el Cumplimiento con Requeri
Una supervisión e ere del es
garan zar el cumplimiento de las leyes y r proceso incluye la definición de un declaración e audi oría,
indepe dencia de los auditores, ética y es
plimiento de TI cum
Planear y
Organizar

Adquirir e
Implementar

Entregar y Dar
Soporte

Monitorear y
Evaluar
Con
G
Que satisface el

Monitorear y Evaluar
Proporcionar Gobierno de TI
ME4

© 2007 IT Governance Institute. All rights reserved. www.itgi.org
165


D
de un marco de trabajo de gobierno efectivo, incluye la definición de estructuras, procesos, liderazgo, roles y
pon í que I estén alin s y ue d con
te s empresariales.

trol sobre el proceso TI de
roporcionar gobierno de TI
Que satisface el requerimiento del negocio de TI para
La integración de un gobierno de TI con objetivos de gobierno corporativo y el cumplimiento con las leyes y regulaciones
Enfocándose en
oración de informes para el consejo directivo sobre la estrategia, el desempeño y los riesgos de TI y
er a los requerimientos de gobierno de acuerdo a las directrices del consejo directivo
Se logra con
• El establecimiento de un marco de trabajo para el gobierno de TI, integrado al gobierno corporativo
• La obtención de aseguramiento independientes sobre el estatus del gobierno de TI
Y se mide con
• La frecuencia de informes del consejo directivo sobre TI a los interesados (incluyendo el nivel
de madurez)
• La frecuencia de los reportes de TI hacia el consejo directivo (incluyendo el nivel de madurez)
• Frecuencia de revisiones independientes del cumplimiento de TI



ESCRIPCIÓN DEL PROCESO.
ME4 Proporcionar Gobierno de TI
El establecimiento
res sabilidades organizacionales para garantizar as las inversiones empresariales en T eada de ac r o las
estra gias y objetivo
Planea r y
Organizar

Adquirir e
Implementar
Entregar y Dar
Soporte

Monitorear y
Evaluar
Con
P
La elab
respond










era tabla proporciona un mapeo inverso que muestra para cada proceso de TI, las metas de
son soportadas.
Las tablas ayudan a demostrar el alcance de COBIT y la relación general de negocio entre COBIT y los
ncia en
s de T ara da
, por lo daptars resa determinada.
iga hac sados p la
las ién contienen una indicación de los criterios de información más
portantes soportados por e






APÉNDICE I - TABLA DE ENLACES ENTRE METAS Y
PROCEDIMIENTOS.
Este apéndice brinda una visión global de cómo se relacionan las metas genéricas del negocio con las
metas de TI con los procesos de TI y con los criterios de información. Se proporcionan tres tablas:
1. La primera tabla muestra las equivalencias de las metas del negocio, de acuerdo al balanced
scorecard, con las metas de TI y con los criterios de información
1
. Esto ayuda a mostrar, para una
meta genérica de negocios determinada, las metas de TI que por lo general dan soporte a esta
meta, y los criterios de información de COBIT que se relacionan con la meta del negocio.
2. La segunda tabla muestra las equivalencias de las metas de TI con los procesos de TI de COBIT, así
como los criterios de información sobre los cuales se basa la meta de TI
2
.
3. La terc
TI que
impulsores del negocio, permitiendo
por medio de las meta
en metas orgánicas y
así establecer la equivale
I, y los procesos de TI requeridos p
tre las metas típicas de negocio,
rles soporte. Las tablas se basan
e a la emp tanto, se deben usar como guía y a
ia los criterios de información u
tamb
Para proporcionar una l
3ª edición de COBIT, las tab
im
ara los requisitos de negocio de
l negocio y por las metas de TI.

Notas:
1
Los criterios de información contenidos en la gráfica de metas de negocio s criterios
para las metas de TI relacionadas y en una evaluación subjetiva de aquellos q a meta del
negocio. No se hizo el intento para indicar si son primarios o secundarios. Esto tivos y los usuarios
pueden seguir un proceso similar al evaluar sus propias metas de negocio
2
Las referencias primarias y secundarias de los criterios de información en la gráfica de metas de TI se basan en un
agregado de los criterios para cada proceso de TI y en una evaluación subjetiva de qué es primario y qué es secundario
para la meta de TI., debido a que algunos procesos tienen mayor impacto en la meta de TI que otros. Estos son tan solo
indicativos y los usuarios pueden seguir un proceso similar al evaluar sus propias metas de TI
A
P
É
N
D
I
C
E

I

M
E
T
A
S

AP
ABLA DE ENLACES ENTRE METAS Y
PROCEDI MI ENTOS.
ÉNDICE I
T
e basan en un agregado de los
ue son más relevantes para l
s son tan solo indica
APÉNDICE I
IT GOVERNANCE INSTITUTE

169

A
p
e
n
d
i
c
e

I



T
a
b
l
a
s

d
e

E
n
l
a
c
e

E
n
t
r
e

M
e
o
c
e
s
o
s

t
a
s

y

P
r
COBIT 4.1

© 2007 IT Governance Institute. All rights reserved. www.itgi.org
170



Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 1 de 18






Carácterísticas de un proceso. Ejercicio.




A partir del Modelo de Procesos Genérico identificar sus elementos
en el documento de definición del Proceso de Gestión de Incidencias
de la empresa Infolabs



Gestor Gestor Gestor


Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 2 de 18





Tabla de Contenidos

1. Proceso de Gestión de Incidencias ........................................................................................................................................................................................ 3
1.1. Definición ....................................................................................................................................................................................................................................... 3
1.2. Objetivos. Alcance ....................................................................................................................................................................................................................... 3
1.3. Responsabilidades del proceso de Gestión de Incidencias ................................................................................................................................................. 4
1.4. Desencadenantes, entradas y salidas del proceso ............................................................................................................................................................... 4
2. Descripción del proceso .......................................................................................................................................................................................................... 5
2.1. Relaciones con otros procesos ................................................................................................................................................................................................... 5
2.2. Actividades y procedimientos del Proceso ............................................................................................................................................................................. 5
2.3. Control de Calidad del Proceso de Gestión de Incidencias .............................................................................................................................................. 10
2.4. Indicadores .................................................................................................................................................................................................................................. 11
3. Roles y Responsabilidades..................................................................................................................................................................................................... 12
3.1. Responsable del Proceso de Gestión de Incidencias .......................................................................................................................................................... 13
3.2. Gestor de Incidencias ................................................................................................................................................................................................................ 13
3.3. Coordinador de Incidencias .................................................................................................................................................................................................... 14
3.4. Agentes de Incidencias ............................................................................................................................................................................................................. 14
3.5. Especialistas de Incidencias ..................................................................................................................................................................................................... 15
3.6. Gestor de Escalado .................................................................................................................................................................................................................... 15
3.7. Matriz RACI ................................................................................................................................................................................................................................... 16
4. Anexos ..................................................................................................................................................................................................................................... 18
4.1. Glosario de Términos .................................................................................................................................................................................................................. 18



Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 3 de 18
1. Proceso de Gestión de Incidencias
1.1. Definición
… proceso reactivo de soporte que se encarga de resolver de forma efectiva las incidencias reportadas por los usuarios y las incidencias de infraestructura detectadas, con el
foco principal de restablecer la operación normal del servicio con la máxima celeridad posible, minimizando el impacto y de acuerdo con las necesidades de los clientes.
Se denomina incidencia a cualquier evento que no forma parte de la operativa normal de un servicio que provoca, o puede provocar, la interrupción, el mal funcionamiento
o la degradación en la calidad del servicio, aunque no sea apreciado por el usuario final…
1.2. Objetivos. Alcance
Los objetivos del proceso de Gestión de Incidencias son:
● Gestionar el ciclo de vida de la incidencias
● Restablecer la operación normal del servicio lo antes posible…
● Minimizar el impacto negativo de incidencias en la operación de negocio
● Asegurar la calidad y disponibilidad de servicio de acuerdo con los ANS’s.
● Mantener la comunicación entre la organización de TI y sus clientes acerca del
estado de una incidencia sobre un servicio
● Proporcionar información de gestión
En el siguiente cuadro se reflejan las actividades, a nivel general, que forman parte del alcance del proceso de GI y las que explícitamente quedan fuera del alcance:
Alcance
● Detección y registro de incidencias.
● Clasificación y soporte inicial a los usuarios sobre la incidencia
● Investigación y diagnosis de incidencias
● Resolución de incidencias y restauración del servicio a su operación normal
● Cierre de la incidencia y comunicación al usuario.
Fuera del alcance
● Supervisión de eventos (incluida la correlación)
● Una solicitud para un nuevo servicio o un servicio adicional
● Incluir siempre un análisis de la causa raíz
● Incluir siempre una solución permanente. Una solución temporal puede ser
suficiente.
El alcance del proceso de Gestión de Incidencias se puede definir bajo los siguientes conceptos:
(1) Tipo de elementos de entrada a Gestión de Incidencias. Los elementos de entrada que se contemplan en el proceso de Gestión de Incidencias de InfoLabs son:
Incidencias, Petición, Consulta y Queja.
● Incidencia: Cualquier evento que implique el mal funcionamiento o degradación del servicio, o pueda causarlo en breve, aunque no sea apreciado por el Cliente.
Dentro del proceso de Gestión de Incidencias existirá un Subproceso que contemplará los siguientes elementos de entrada:
o Petición: Solicitudes de servicio que pueda realizar el usuario y que deberán estar incluidas en un catálogo.
o Consulta: Solicitud de información técnica o funcional de servicios.
o Queja: Indicaciones del incorrecto cumplimiento o insatisfacción del usuario en el tratamiento/resolución de una llamada de servicio.
(2) Entornos a los que aplican las incidencias. El ámbito de la gestión de incidencias se circunscribe al ámbito de la Gerencia de Producción
(3) Componentes afectados: serán los que se encuentren registrados en la CMDB de dicha gerencia
Quedan fuera del alcance del proceso de GI las peticiones de nuevos servicios (Proceso de…) y la gestión de problemas (Proceso de Gestión de Problemas).


Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 4 de 18

1.3. Responsabilidades del proceso de Gestión de Incidencias
A continuación se describen las responsabilidades del proceso de Gestión de Incidencias en el ámbito de Infolabs:
● El proceso Gestión de incidencias registra, prioriza y resuelve las incidencias que se producen en la infraestructura y servicios de forma que el impacto en los Acuerdos de
Nivel de Servicio con los clientes sea el menor posible
● Las incidencias que no puedan ser resueltas inmediatamente por operación se pueden asignar a grupos especializados. Se deberá establecer una solución definitiva o
temporal lo antes posible para restaurar el servicio a los usuarios con el mínimo trastorno para su trabajo. Una vez resuelta la incidencia y restaurado el servicio acordado, se
cierra la incidencia.
● Para permitir que cualquier miembro de operaciones proporcione al usuario un informe de progreso actualizado, se debe mantener un registro de la incidencia durante
todo el ciclo de la incidencia y un historial auditable del progreso de la incidencia.
● Por gestionar las incidencias se entiende:
 Detección y registro de incidencias
 Clasificación de las incidencias y soporte inicial
 Investigación y diagnóstico
 Resolución y restauración
 Cierre de las incidencias
 Comunicación y Control de las incidencias
1.4. Desencadenantes, entradas y salidas del proceso
Los desencadenantes del proceso de Gestión de Incidencias pueden ser:
● “Humano”: Solicitud de resolución de incidencia, consulta, queja o reclamación. Llegan a través de una llamada telefónica, correo electrónico, registro web o nota interior.
● “Tecnológico”: Eventos de monitorización procedentes de las herramientas apropiadas y que tras la correlación apropiada se convierten en incidencias.
Las principales entradas al proceso son:
o Información de componentes, usuarios y servicios (CMDB)
o Registro de soluciones conocidas y de documentación de soporte (sistema de
gestión del conocimiento)
o Notificaciones de planificación de cambios (Proceso Gestión de Cambios)
o Notificaciones de parada de servicio (Producción)
o Notificación de activación de nuevo servicio (Producción)
o Categorías de incidencias
o Matriz de prioridades
o Tiempos de respuesta y asignación de incidencias
o Documentación e información relacionada con escaladas y transferencias:
(1) Matriz de transferencia, (2) Matriz de Escalado y (3)Grupos y responsables
Las principales salidas del proceso son:
o Registro de incidencia, petición, consulta o queja.
o Registro de una nueva solución conocida
o Registro de un problema
o Notificaciones a usuarios (entrega nuevo servicio, indisponibilidad de servicio,
etc.)
o Petición de Cambio para la resolución de una incidencia.
o Informes de gestión (coste de los servicios, uso real de servicios, áreas de
mejora en servicios, etc.




Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 5 de 18
2. Descripción del proceso
2.1. Relaciones con otros procesos

2.2. Actividades y procedimientos del Proceso
Las actividades principales del proceso de Gestión de Incidencias son:
● Registro de la Incidencia, Petición, Consulta o Queja (IPCQ)
● Asignar la IPCQ
● Diagnóstico/Resolución en 1er Nivel
● Diagnóstico/Resolución en 2º Nivel
● Gestión de Escalado
● Diagnóstico/Resolución a través del Equipo de Escalado
● …
● Control de la IPCQ
● Cierre de la IPCQ

En el siguiente diagrama de flujo y tabla se recoge
una visión general de las actividades del proceso y sus relaciones:







Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 6 de 18


Nº Procedimiento Entrada / Desencadenante Descripción Criterio de Salida / Finalización
1.1 Registro de la IPCQ Desencadenante:
 Llamada/mail/registro
web/nota interior del usuario
para informar de una IPCQ
 Personal de TI que informan
de una incidencia
 Herramientas de
monitorización
Una llamada/mail/registro web/nota interior del usuario al punto único de contacto puede ser
para informar de una incidencia, realizar una consulta o petición de servicio o formular una
queja.
El agente de incidencias (1er Nivel) recibe la información y la revisa para evaluar si es una
llamada nueva, una llamada duplicada o relacionada con otra actualmente abierta.
El agente autentifica al usuario y revisa la información, la clasifica por el tipo de llamada
(incidencia, consulta, queja o petición de servicio) y se prioriza en función de la urgencia e
impacto.
Llamada/mail/registro web/nota
interior registrada en la herramienta
de gestión de incidencias
1.2 Asignar la IPCQ Entrada:
 IPCQ registrada
El agente de incidencias (1er Nivel) realiza una primera valoración de la IPCQ y la asigna al
grupo de resolución adecuado.
Se determina si la incidencia necesita un escalado inmediato. Si se necesita escalado, se pasa
al procedimiento 1.5 (Gestión de escalado).
Se asigna la incidencia a un coordinador de incidencias, que realiza el procedimiento 1.8
Control de la incidencia.
En función de la categoría de la incidencia y la prioridad, la incidencia se envía a uno de los
siguientes procedimientos:
1.3 Diagnóstico/resolución en 1er Nivel
1.4 Diagnóstico/resolución en 2º Nivel (Especialistas).
La IPCQ asignada al grupo
adecuado para la resolución y al
coordinador de incidencias
1.3 Diagnóstico /
Resolución en 1er
Nivel
Entrada:
 IPCQ Asignada
El técnico asignado acepta la incidencia, revisa los detalles, analiza para diagnosticar e
identificar las acciones necesarias para resolver la incidencia lo antes posible.
Solicitud para cerrar la IPCQ o
Solicitud para escalar la IPCQ
1.4 Diagnóstico /
Resolución en 2º
Nivel
(Especialistas)
Entrada:
 IPCQ Asignada
El técnico asignado acepta la incidencia, revisa los detalles, realiza un análisis para diagnosticar
e identificar las acciones necesarias para resolver la incidencia lo antes posible.
Solicitud para cerrar la
incidencia/petición o
Solicitud para escalar la incidencia.


Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 7 de 18
Nº Procedimiento Entrada / Desencadenante Descripción Criterio de Salida / Finalización
1.5 Gestión del
escalado
Entrada:
 Incidencia Registrada
 Matriz de escalado /
transferencia
El gestor de escalado gestiona la incidencia durante su ciclo de vida para asegurar que se
cumplen los niveles de servicio y que se resuelve la incidencia para satisfacción del usuario.
El gestor de escalado es responsable de reunir un equipo de escalado (cuando convenga)
para resolver las interrupciones críticas, complejas o políticas.
Se procesan las incidencias que no se puedan resolver a través de los niveles de resolución
marcados por el proceso estándar debido al impacto de la incidencia en el negocio,
restricciones de tiempo o nivel de dificultad.
La responsabilidad, gestión y seguimiento de las incidencias escaladas es del Gestor de
escalados
Solicitud para la incidencia
Creación de un equipo de
escalado para resolver la
incidencia
1.6 Diagnóstico /
Resolución a través
del equipo de
escalado
Entrada:
 Incidencia escalada
 Razones de escalado
El jefe del equipo de escalado asignado acepta la incidencia y revisa los detalles.
El equipo realiza un análisis, identifica y ejecuta las acciones necesarias para resolver la
incidencia lo antes posible.
El jefe del equipo de escalado documenta las acciones realizadas e informa de los resultados a
quien proceda en cada caso.
Solicitud para cerrar la incidencia o
Petición de Cambio (PdC) o
Solicitud de apertura de Problema

1.7 Realizar la petición
de servicio,
resolver consulta,
responder queja
Entrada:
 PCQ asignada
El técnico asignado acepta la petición de servicio, y ejecuta las acciones necesarias para
satisfacer la petición lo antes posible.
Si la petición no está en el catálogo de peticiones se evaluará su posible inclusión.
Una vez realizada se notifica al Coordinador para notificar al cliente y cerrar la petición de
servicio (1.9). ó El técnico asignado responde a la consulta realizada. Ó El Coordinador/Gestor
de incidencias contacta con el usuario para dar respuesta a su queja.
Solicitud para cerrar la PCQ
Petición asignada al coordinador
1.8 … … … …
1.9 … … … …

2.2.1. Procedimiento 1.1 Registro de la IPCQ

2.2.2. Procedimiento 1.2 Asignación de la IPCQ



Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 8 de 18

2.2.3. Procedimiento 1.3 Diagnóstico / Resolución en 1er Nivel
























Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 9 de 18
Nº Instrucción de
trabajo
Entrada / Desencadenante Descripción Criterio de Salida /
Finalización
Rol en el
proceso
1.3.1 Analizar la incidencia Incidencia asignada a 1er Nivel
(Desde 1.2)
(Desde 1.8)
Tomar la incidencia asignada, analizar la información registrada y
buscar referencias en el histórico de incidencias, problemas abiertos y
en el sistema de gestión del conocimiento.
Si la incidencia tiene su origen en un problema abierto, se relacionará
con éste. Si una entrada del sistema de gestión del conocimiento
permite la resolución de la incidencia, ésta se relacionará con dicha
entrada.
Incidencia analizada en
1er nivel
(Hacia 1.3.2)
Agente 1er
Nivel
1.3.2 Resolver la incidencia Incidencia analizada en primer
nivel
(Desde 1.3.1)
Se evalúa si para resolver la incidencia será necesario realizar un
desarrollo correctivo o un cambio en la infraestructura.
Si es así, se iniciará una Petición de Cambio que seguirá el proceso de
Gestión de Cambios.
Si no, se pasa a resolver la incidencia
Incidencia resuelta o
preparada para transferir
o escalar
(Hacia 1.3.3)
Agente 1er
Nivel
1.3.3 Documentar el
estado de la
incidencia
Incidencia resuelta o lista para
transferir o escalar.
Tabla de estados de la incidencia
(Desde 1.3.2)
Actualizar el registro en la herramienta de gestión de incidencias con el
estado actual de la incidencia y toda la información relativa a la misma
Registro de la incidencia
actualizado con el
estado e información
relativa al intento de
resolución
(Hacia 1.3.4)
Agente 1er
Nivel
1.3.4 ¿Incidencia resuelta? Registro de la incidencia
actualizado
(Desde 1.3.3)
Si la incidencia se ha resuelto, se procede a su cierre.
En caso de no poder resolver en 1er Nivel , se deberá transferir a
segundo nivel y si es necesario, escalar.
Incidencia resuelta y
preparada para su cierre
(Hacia 1.9.1)
o incidencia no resuelta
(Hacia 1.3.5)
Agente 1er
Nivel
1.3.5 ¿Requiere escalado? Incidencia no resuelta
(Desde 1.3.4)
Matriz de Transferencia
Tabla de TMR/TMA
Matriz de Escalado
Si la incidencia no ha podido ser resuelta en el 1er Nivel por dificultad
técnica o falta de conocimiento o superación del TMA (tiempo
máximo de asignación) en primer nivel, se transfiere a 2º Nivel
(especialistas)
Si la incidencia cumple alguno de los criterios de escalado, se escala.
Incidencia transferida a
2º Nivel
(Hacia 1.4.1)
o escalada
(Hacia 1.5.1)
Agente 1er
Nivel





Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 10 de 18
2.3. Control de Calidad del Proceso de Gestión de Incidencias
Las principales actividades que forman el control de calidad del proceso de Gestión de Incidencias son:
● Informes de indicadores
● Evaluar y mejorar el proceso
En el siguiente diagrama de flujo y tabla se recoge una visión general de las actividades del control de calidad proceso y sus relaciones:

1.10
Evaluar y mejorar el
proceso
1.11
Informes de
indicadores



Nº Procedimiento Entrada / Desencadenante Descripción Criterio de Salida / Finalización
1.10 Evaluación y mejora del
proceso
Indicadores del proceso, directivas
futuras, expectativas de nivel de
servicio al cliente, revisión de la
planificación del plan de mejora,
información de los usuarios y de los
componentes del proceso
Realización de revisiones periódicas para la
mejora de la eficiencia y eficacia del proceso.
La evaluación se basa, utilizando métricas
acordadas, en atributos como el tiempo, la
calidad del servicio y la satisfacción del usuario
Mejoras implantadas, costes reducidos,
eficacia y eficiencia del proceso mejorada
1.11 Informe de indicadores Indicadores obtenidos
Requerimientos de informes
Generación de informes periódicos y especiales
según requisitos y planes para la toma de
decisiones
Informes generados y distribuidos
Información para el procedimiento 1.10



Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 11 de 18
2.4. Indicadores
Es necesario establecer los indicadores que nos permitirán, en base a los objetivos propuestos, evaluar el correcto funcionamiento del Proceso de Gestión de Incidencias. Las
medidas de estos indicadores se plasmarán en informes periódicos que se utilizarán para la evaluación del proceso.
A continuación se enumeran algunos indicadores típicos para poder monitorizar inicialmente la actividad y la calidad del proceso. Las medidas de dichos indicadores serán
extraídas a través de la herramienta de soporte al proceso y su implantación física dependerá de las capacidades de la misma.

● Número de IPCQ registradas: Total de IPCQ que han sido registradas en
la herramienta de soporte al proceso
● Tiempo medio de resolución: Tiempo medio de resolución de las IPCQ
cerradas (suma de los tiempos de resolución de cada una de las IPCQ
cerradas).
● Número de IPCQ cerradas: Número de IPCQ cerradas en un período
establecido. Porcentaje respecto del total de IPCQ registradas en ese
mismo período.
● Número y porcentaje de incidencias resueltas en cada nivel de
resolución: Volumen y porcentaje de incidencias resueltas en primer,
segundo y tercer nivel respectivamente respecto del total de
incidencias resueltas.
● Número y porcentaje de incidencias rechazadas al inicio: Número de
incidencias y porcentaje respecto al total de incidencias que han sido
rechazadas por “fuera de ámbito”.
● Número de incidencias reasignadas entre niveles de resolución:
Número de incidencias que han pasado varias veces por el mismo
nivel de resolución.

● Número y porcentaje de incidencias escaladas: Número y porcentaje,
respecto al total de incidencias registradas, de incidencias que han sido
escaladas jerárquicamente.
● Tiempo medio de intento de resolución por grupo de resolución: Del tiempo
medio de resolución de la incidencia, extraer cuanto tiempo (también en
media) ha estado cada grupo de resolución intentando resolverlas
● Porcentaje de tiempos de permanencia de las incidencias en cada grupo
implicado: Del tiempo medio de resolución de la incidencia, tiempo medio
que ha estado la incidencia asignada a cada grupo de resolución.
● Tiempo medio entre registro de la IPCQ y la asignación al grupo
correspondiente: Tiempo medio, sobre el total de incidencias cerradas, entre
el registro de incidencias y la asignación al grupo de resolución
correspondiente según la matriz de transferencia.
● Porcentaje de IPCQ por usuario y/o grupos de usuarios: Distribución de
incidencias/peticiones, en porcentaje, en función de los grupos iniciadores
definidos y, dentro de éstos, según el usuario o grupo de usuario definidos
según la organización.


Los indicadores se definirán por categoría, así como por período de tiempo (por ejemplo, mensual), permitiendo la visualización de la evolución dentro del período y entre
períodos.



Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 12 de 18
Persona
Grupo
Departamento
Función Función
Persona
Función
Rol
Actividad Actividad
Proceso
Rol
Actividad Actividad
Proceso
Rol
Actividad Actividad
Proceso
Actividad
Rol Rol
Rol
Grupo
Departamento
3. Roles y Responsabilidades
En este apartado se describen los roles y responsabilidades identificados para el proceso de Gestión de Incidencias. En la implantación de los procesos de TI, los roles de
proceso deben asociarse con los empleados de TI en función de las funciones de su puesto de trabajo. Una función podría incluir uno o más roles de proceso y un mismo rol
puede ser desempeñado por varias funciones, tal y como indica el siguiente esquema:














Los roles significativos identificados para el Proceso de Gestión de Incidencias son:

Acrónimo Descripción
RPGdI Responsable del Proceso de Gestión de Incidencias. Vela por la calidad del proceso
GdI Gestor de Incidencias. Vela por el día a día del proceso generando los informes de indicadores necesarios
CdI Coordinador de Incidencias. Vela por el día a día de la ejecución de las actividades del proceso controlando todas las incidencias
desde un punto de vista de supervisión. Genera informes. Existen distintos coordinadores en los distintos niveles de soporte.
AdI Agentes de Incidencias. Primer nivel de resolución. Nivel 0 y 1 de soporte
EdI Especialistas de Incidencias. Técnicos para la resolución de incidencias. Segundo y Tercer nivel de soporte
GdE Gestor de Escalado. Responsable de las actividades y recursos necesarios para la resolución de incidencias escaladas
JEdE Jefe del Equipo de Escalado. Lidera el equipo de escalado que se crea para la resolución de una incidencia escalada
EdE Equipo de escalado Grupo de técnicos para la resolución de una incidencia escalada


Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 13 de 18
3.1. Responsable del Proceso de Gestión de Incidencias
Es el responsable último del proceso. Es el responsable de su definición, implantación y control a través de las diversas organizaciones o departamentos involucrados. Es
también responsable de la mejora continua del proceso y en el caso de que el proceso no se ejecute según lo establecido es responsable de identificar las causas y tomar las
medidas correctoras pertinentes y escalarlas adecuadamente dentro de la organización. Además, el responsable del Proceso de Gestión de Incidencias es el responsable de
la aprobación de todos los cambios propuestos al proceso, de desarrollar planes de mejora al proceso y de asegurar que la documentación está actualizada
Responsabilidades:
● Diseñar, revisar y mejorar continuamente el proceso de Gestión de Incidencias, proponiendo las modificaciones pertinentes.
● Definir, implantar y controlar el proceso de Gestión de Incidencias a través de las diversas organizaciones o departamentos involucrados, escalando el mal
funcionamiento del mismo a la dirección de TI en caso de que sea necesario.
● Asegurar que se realizan todas las actividades del proceso de forma eficaz y eficiente.
● Asegurar que todos los implicados están suficientemente involucrados en el proceso.
● Proponer los recursos necesarios para el proceso.
● Asegurar la comunicación y formación referente al proceso de Gestión de Incidencias.
● Revisar los informes de indicadores del proceso y actualizar el plan de mejora del proceso de Gestión de Incidencias.
● Asegurar que se establecen unas buenas relaciones de trabajo con todas las organizaciones implicadas, tanto internas como externas.
● Asegurar la coordinación entre los procesos.
3.2. Gestor de Incidencias
Es el responsable operativo del Proceso de Gestión de Incidencias. Asesora al responsable del proceso.
Responsabilidades:
● Apoya al Responsable del Proceso de Gestión de Incidencias en la mejora continua del proceso.
● Se asegura que el personal de soporte tiene niveles de conocimientos adecuados.
● Ejecuta el proceso Gestión de incidencias.
● Es responsable de gestionar el proceso Gestión de incidencias.
● Solicita y revisa informes de métricas.
● Proporciona información de gestión sobre la calidad del servicio de TI y la satisfacción del usuario.
● Gestiona el rendimiento del personal de soporte del proceso Gestión de incidencias, crea y ejecuta planes de acción cuando conviene para asegurar una mejora
continua.
● Es responsable de la gestión de incidencias que no se resuelven mediante el proceso Gestión de incidencias estándar.
● Conocimiento para nombrar al siguiente nivel de gestión.
● Realiza la distribución de recursos dentro del proceso de Gestión de Incidencias.
● Proporciona orientación sobre cómo trasladar una incidencia activa del nivel de revisión técnica al nivel de gestión.
● Asiste a los ingenieros de soporte en el proceso dentro de su dominio de responsabilidad.


Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 14 de 18
● Identificación de mejoras del proceso.
● Aprueba la publicación de incidencias generalizadas.
● Reevaluación de la carga de trabajo entre los niveles de soporte.
● Identifica y desarrolla habilidades requeridas.
● Desarrolla, genera y revisa los informes de indicadores del proceso de Gestión de Incidencias.
3.3. Coordinador de Incidencias
Responsabilidades:
● Supervisa a todos los grupos de soporte involucrados en la resolución de incidencias.
● Realiza un seguimiento de los registros de incidencias abiertas.
● Resuelve bloqueos en el flujo de incidencias y direcciona las asignaciones inválidas.
● Revisa el estado de las incidencias abiertas.
● Coordina la resolución de incidencias con diferentes grupos de trabajo.
● Proporciona información al usuario final sobre el estado de las incidencias.
● Comunica la evolución de la resolución de la incidencia a los grupos implicados si así lo cree oportuno.
● Solicita al Gestor de Incidencias la publicación de una incidencia generalizada.
● Se comunica con el usuario para validar que se ha resuelto la incidencia y cierra el registro.
● Evalúa la prioridad de la incidencia y determina si las necesidades de prioridad se deben ajustar en función de información adicional.
● Ayuda en la identificación y desarrollo de habilidades requeridas.
3.4. Agentes de Incidencias
Responsabilidades:
● Acepta las llamadas / e-mail/ registros web de los usuarios finales: recepción y filtrado de incidencias.
● Registra y clasifica todas las incidencias documentando correctamente toda la información relacionada con la incidencia.
● Contribuye a la gestión de conocimiento asociada a la resolución de incidencias.
● Realiza las actividades necesarias para la resolución de las incidencias de su ámbito o las transfiere a los especialistas de incidencias para su resolución si están fuera de su
ámbito.
● Se asegura de que el usuario final está de acuerdo en que la resolución satisface sus necesidades antes del cierre de la incidencia: verificación y comunicación con el
iniciador.
● Cierra la incidencia tras la verificación con el usuario.
● Proporciona información sobre la calidad del soporte de primer nivel y realiza sugerencias de mejora del servicio a los responsables.



Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 15 de 18
3.5. Especialistas de Incidencias
Responsabilidades:
● Proporciona capacidades o conocimientos de un dominio concreto (técnico, de negocio y/o de aplicación) que ayudan a asegurar la rápida resolución de las
incidencias.
● Proporciona soluciones temporales (workarounds) para las incidencias.
● Realiza peticiones de cambio si se precisa.
● Realiza las actividades necesarias para la resolución de las incidencias de su ámbito.
● Proporciona información sobre la calidad del soporte y realiza sugerencias de mejora del servicio a los responsables.
● Completa de forma precisa y extensa los registros de incidencia.
● Evalúa la prioridad de la incidencia y determina si las necesidades de prioridad se deben ajustar en función de información adicional.
3.6. Gestor de Escalado
Responsabilidades:
● Realiza las evaluaciones de escalado y gestiona el proceso de escalado.
● Se asegura de que las comunicaciones sobre los escalados son planificadas y ordenadas.
● Nombra al Jefe del Equipo de Escalado para que se responsabilice de la resolución de una incidencia escalada.
● Realiza revisiones de control del estado del escalado.
● Usa los resultados de revisión posterior al escalado para determinar las acciones de seguimiento y lecciones aprendidas.
● ….


Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 16 de 18
Rol
Actividad RPGdI GdI CdI AdI EdI GdE JEdE EdE
1.1 Registro de la IPCQ A,R
1.2 Asignar la IPCQ C I,A A,R
1.3 Diagnóstico / Resolución en 1er Nivel C A A,R
1.4 Diagnóstico / Resolución en Especialistas C I,A,C I A,R
1.5 Gestión del escalado I,C I,C I,C I,C A,R
1.6 Diagnóstico / Resolución a través del equipo de escalado I I,C I,C I,C I A,R R,C
1.7 Realizar la PCQ A R R
1.8 Control de la IPCQ A,R I I
1.9 Cierre de la IPCQ A,R R,I I
1.10 Evaluación y mejora del proceso A,R C C
1.11 Informe de indicadores A,R,C A,R A,R,C
Actividades de operación del proceso
Actividades de control de calidad del proceso
R=Responsable ejecución
A=(accountable) Responsable último, puede delegar debe supervisar
C=Consultar antes de hacer
I=Informar después de hacer

3.7. Matriz RACI
La matriz que especifica para cada una de las actividades el papel que juega cada uno de los participantes en un proceso se denomina Matriz RACI. Las siglas de RACI vienen
de:
R Responsable de realizar/ejecutar tarea
A Responsable último, puede delegar, debe supervisar
C Consultar antes de hacer
I Informar después de hacer

En la siguiente tabla se especifican los roles descritos en el Proceso de Gestión de Cambios que se incluyen en la matriz RACI.
Acrónimo Descripción
RPGdI Responsable del Proceso de Gestión de Incidencias EdI Especialistas de Incidencias
GdI Gestor de Incidencias GdE Gestor de Escalado
CdI Coordinador de Incidencias JEdE Jefe del Equipo de Escalado
AdI Agentes de Incidencias EdE Equipo de escalado

A continuación se muestra la matriz RACI para los procedimientos del proceso:














Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 17 de 18
Rol
Procedimiento / Instrucción de trabajo RPGdI GdI CdI AdI EdI GdE JEdE EdE
1.1 Registro de la IPCQ
1.1.1 Registro de la IPCQ A,R
1.1.2 Categorizar la IPCQ A,R
1.1.3 ¿Es válida la IPCQ? A,R
1.1.4 Priorizar la IPCQ A,R
1.2 Asignar la IPCQ
1.2.1 Asignar al nivel/grupo de trabajo adecuado A,R
1.2.2 ¿Requiere escalado inmediato? C A R
1.2.3 Asignar la responsabilidad a Coordinador de Incidencias I A,R
1.3 Diagnóstico / Resolución en 1er Nivel
1.3.1 Analizar la incidencia A,R
1.3.2 Resolver la incidencia A,R
1.3.3 Documentar el estado de la incidencia A,R
1.3.4 ¿Incidencia resuelta? A,R
1.3.5 ¿Requiere escalado? C A R
1.4 Diagnóstico / Resolución en Especialistas
1.4.1 Analizar la incidencia. Re-priorizar y re-categorizar si procede A,R
1.4.3 Resolver la incidencia I A,R
1.4.4 Documentar el estado de la incidencia A,R
1.4.4 ¿Incidencia resuelta? A,R
1.4.6 ¿Requiere escalado? C A R
1.4.7 ¿Nivel de soporte superior disponible? C A,R
1.4.8 Asignar al siguiente nivel de soporte I A,R
Actividades de operación del proceso
Actividades de control de calidad del proceso
R=Responsable ejecución
A=(accountable) Responsable último, puede delegar debe supervisar
C=Consultar antes de hacer
I=Informar después de hacer


La siguiente tabla muestra la matriz RACI detallada para las instrucciones de trabajo:









Caso práctico: Gestión de Incidencias



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 18 de 18
4. Anexos
4.1. Glosario de Términos
Término Definición
Función Tarea que corresponde realizar a una institución o entidad, o a sus órganos o personas, asociado explícitamente a un cargo o posición
dentro de la organización
RACI Matriz que especifica para cada una de las actividades el papel que juega cada uno de los participantes. RACI viene de:
R: Responsable de realizar/ejecutar tarea
A: Responsable último, puede delegar, debe supervisar
C: Consultar antes de hacer
I: Informar después de hacer
Métricas Definición de elementos medibles del proceso o función
Diagramas de flujo Secuencia gráfica de actividades de un proceso o procedimiento
Mejor práctica Actividades identificadas en organizaciones que funcionan excepcionalmente bien en la práctica y que son ampliamente reconocidas
como la mejor manera de optimizar el rendimiento de las organizaciones en áreas específicas
Incidencia Evento que no forma parte de la operativa normal de un servicio que provoca, o puede provocar, la interrupción, el mal
funcionamiento o la degradación en la calidad del servicio, aunque no sea apreciado por el usuario final
Problema Avería o mal funcionamiento persistente en un componente o servicio que causa una degradación de su operatividad y cuya causa
raíz es desconocida. Se identifica en base a una o más incidencias con síntomas comunes o bien de una única incidencia significativa y
cuya causa es desconocida
Petición de Servicio Solicitud de usuario relacionada con los servicios proporcionados por TI a los usuarios




Ejercicio: Ejemplos de Programas de Trabajo



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 1 de 16








Auditoría de Gestión de Acuerdos con Proveedores

EJEMPLOS DE PROGRAMA DE TRABAJO

o Ejemplo nº1. Auditoría de la empresa TeVeo
o Ejemplo nº2. CoBIT
o Ejemplo nº3. FFIEC













Identificación
del Alcance
Identificación
Objetivos Control
Elaboración
Modelo
Valoración
Identificación
Prácticas de control
Identificación
Objetivos de control
Desarrollo del
Modelo de
Madurez
Planificación
Trabajo de
Campo
Elaboración
Informe
Identificación
intervinientes
Diagrama del
alcance
Obtener
conocimiento
Validar
Metas
y
Métricas
Obtención de
parámetros de
logro y
desempeño


Ejercicio: Ejemplos de Programas de Trabajo



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 2 de 16


Auditoría de Gestión de Acuerdos con Proveedores
PROGRAMAS DE TRABAJO
Ejemplo nº1. Auditoría de la empresa TeVeo

DESCRIPCION DE LOS OBJETIVOS A CUBRIR
COD DESCRIPCION DE LOS OBJETIVOS A CUBRIR
10 Evaluar los criterios usados para definir los niveles de servicio requeridos.
20 Evaluar el cumplimiento de los acuerdos de nivel de servicio internos y con terceras
compañías.
30 Evaluar las actividades de supervisión, control y mejora continua que se desarrollan como
consecuencia de la valoración de los niveles de servicio.


PASOS DEL PROGRAMA
10 020 CONTRATOS Y ANS – Inventario

Solicitar los contratos de TI y ANS, que están en vigor o en proceso de negociación
entre las unidades de TI:
o cada una de las empresas incluidas en el alcance.
o proveedores externos
con el objetivo de identificar: las partes involucrada, el servicio a ser prestado
(globalmente) y el coste.
Verificar si existen contratos entre áreas de negocios y empresas de TI, en los que no
hayan participado las genéricas de TI.
Para los contratos obtenidos, verificar si:
o tienen ANS.
o presentan procedimientos que recogen el detalle de los servicios a ser
proporcionados y como éstos se regulan.
o recogen como agentes activos de su gestión a las unidades de TI
o disponen de cláusulas que detallen la existencia de una función encargada de
gestionar y velar por el cumplimiento de lo recogido en el contrato. En caso de
que exista, identificar la persona o personas que tiene asignada esta función y
validar si en el detalle de sus responsabilidades queda recogida la misma.

10 030 SERVICIOS A SER PRESTADOS

Identificar e inventariar el conjunto de servicios a ser prestados bajo ANS. Verificar si
existe correspondencia entre el conjunto de servicios recogidos en los contratos y los
recogidos en el ANS a través de sus INS (Indicadores de Nivel de Servicio).
Identificar la existencia de servicios para los que no exista INS que permita controlarlo y
medirlo.
Identificar la existencia de cláusulas para desactivar ANS/INS, bajo determinados
condicionantes. Verificar la existencia de ANS/INS desactivados y validar si la
información que sustenta la desactivación está estructurada.
Identificar (ver nota) la existencia de servicios contratados y que no estén siendo
prestados y de servicios que estén siendo prestados y que no han sido recogidos en
contrato.
Identificar y validar los mecanismo usados para trasladar los requerimientos de servicio
(ANS/INS) desde los proveedores externos a los requerimientos de servicios de los
clientes internos.
Identificar la existencia de discrepancias en la definición de los ANS/INS, por existencia
de fuentes de información diversa.




Ejercicio: Ejemplos de Programas de Trabajo



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 3 de 16

20 040 ESTRUCTURA ORGANIZATIVA - Áreas de Sistemas

Identificar las áreas dentro de las Áreas de la Dirección de Sistemas que realizan la
gestión de los Acuerdos de Nivel de Servicio con clientes internos y con los proveedores
externos.
Validar si estas áreas tiene asignadas funciones relacionadas con la gestión de los
Acuerdos de Nivel de Servicio y el ámbito de actuación para éstas funciones (región -
país). (Asignación Responsabilidades)
En la medida de lo posible identificar si estas personas tienen objetivos de desempeño
ligados al cumplimiento de ANS.

10 050 ESTRUCTURA ORGANIZATIVA - Áreas de Negocio

Identificar las áreas dentro de las distintas empresas que han establecido ANS de TI,
obtener para estas áreas las personas encargadas de realizar la gestión de los mismos.
Validar si las áreas o personas de estas áreas tienen asignadas funciones
relacionadas con la gestión de los Acuerdos de Nivel de Servicio. (Asignación
Responsabilidades).

10 060 FORMALIZACIÓN ANS

Verificar si se está usando algún procedimiento o metodología para elaborar los ANS que
se fijan con los proveedores y con los clientes internos. Identificar y validar si estas
metodologías detallan la existencia de elementos de gestión y servicio para los ANS.
Identificar las causas por la que se establecen ANS con los clientes internos. Validar si
bajo estas causas existen áreas que no han establecido ANS (por ejemplo: áreas que no
mantienen ANS de TI, pero que si realizan peticiones a sistemas de forma sistemática y
periódica).
Identificar y validar el sistema de aprobación y puesta en marcha de los ANS, Verificar si
se requiere la aprobación por parte de las gerencias usuarias para la puesta en
explotación de los ANS.

20 070 ANS/INS - Datos y acceso

Identificar y valorar las fuentes de información que son usadas en el cálculo de los INS,
origen de los datos y almacenamiento.
Valorar el entorno de seguridad de las fuentes de información; considerar ubicación y
gestión. Además en caso de que exista una herramienta formal para la gestión de los
ANS/INS validar:
o Usuarios y perfiles de acceso a la herramienta con capacidad para modificar la
información.
o Capacidad de acceder a los datos sin autorización,
Verificar si existe la posibilidad de acceso (independiente) por parte de los clientes a
esta información, para que éstos puedan realizar cálculos en paralelo de los indicadores.

Nota: Este paso abarca la relación del área de TI tanto con los cliente internos como con
los proveedores externos, Por tanto deberán considerarse los ANS/INS tanto con los
cliente internos como con los proveedores externos.

20 080 ANS/INS – Recálculo

Verificar y validar los elementos que conforma los INS existentes en los ANS. Considerar
si al menos se incluye: código INS, definición, fórmula de cálculo, datos para el cálculo
(objetivos y claros), unidad de medida, periodicidad del cálculo, valor objetivo, esquema
de penalizaciones.
Recalcular los INS a partir de los datos origen con el objetivo de contrastar y validar la
información recogida en los informes de gestión.

Seleccionar una muestra que recoja los indicadores más relevantes conforme al criterio
de "importancia para el negocio", Se podría pedir opinión a las áreas de negocio con el
objeto de que nos identifiquen aquellos que desde el punto de vista del negocio se
consideran críticos.




Ejercicio: Ejemplos de Programas de Trabajo



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 4 de 16

20 090 ANS/INS - Información de gestión

Identificar las personas, áreas o empresas que elaboran los informes de gestión.
Identificar el proceso seguido para la elaboración de los informes de gestión (pintar
flujograma/s),
Evaluar el grado de automatización de estos informes y la homogeneidad en el tiempo
del tipo de contenido, del formato de presentación, de la periodicidad de generación y
de la información que recogen.
Validar si estos informes recogen información del tipo:
o Volumen de actividad.
o Cambios realizados durante el periodo y cambios planificados.
o Información de capacidad y rendimiento de los recursos de TI.
Validar si para cada servicio contrato al menos se da información referente a:
o Descripción del servicio.
o Cobertura.
o Objetivos.
o Mediciones efectuadas.

Identificar y validar los servicios sobre los que no se dé ninguna información. Identificar
los destinatarios y distribución de la información de gestión.
Identificar y evaluar los mecanismos usados para refrendar la conformidad con lo
especificado en los informes de gestión, por parte de los receptores del servicio (por
ejemplo actas de conformidad, correos).

30 100 ANS/INS - gestión y seguimiento

Identificar y evaluar los mecanismos que permiten, a los destinatarios del servicio, el
poder realizar seguimientos independientes de los servicios bajo ANS (por ejemplo
recálculos en paralelo). Verificar y evaluar la homogeneidad de las acciones o soluciones
implementadas para llevar a cabo este seguimiento.
Identificar si se han desarrollado medidas encaminadas a recabar la opinión de los
clientes internos sobre la calidad del servicio que se les presta. Considerar las
valoraciones del tipo Calidad Percibida.
Identificar casos de incumplimiento (penalización), validar las actuaciones que se
desencadenan y donde y como queda reflejada esta penalización.

Nota: Se generará un cuestionario con el objetivo de recabar la opinión del cliente sobre la
calidad del servicio de TI que percibe.

30 110 ANS - mejora / autorización

Identificar como se articulada la mejora continua en el proceso a través de la adaptación
de los ANS/INS. Considerar: desencadenante, documentación requerida y canales de
comunicación.
Verificar si el proceso es homogéneo y está formalizado (procedimiento). Para ello
obtener una muestra sobre las modificaciones que se hayan requerido y analizarla.









Ejercicio: Ejemplos de Programas de Trabajo



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 5 de 16


Auditoría de Gestión de Acuerdos con Proveedores
PROGRAMAS DE TRABAJO
Ejemplo nº2. CoBIT


PASOS DE AUDITORÍA
COBIT
ref.
A. Seguimiento y revisión de los informes de auditoría anteriores
Desarrollar benchmarking sobre los servicios prestados DS1
B. Pasos preliminares
Revisar las políticas de outsourcing
DS2
Obtener una lista de los contratos existentes con terceras partes y compararlos con un listado
de proveedores.
Determinar el alcance de la revisión y seleccionar diferentes contratos para el testeo
Revisar los procedimientos existentes en la organización relativos a la adquisición de servicios
y relaciones con terceras partes
C. Pasos detallados
Gestión y planificación
DS2
Para cada contrato seleccionado: Revisar el contenido de todos los requerimientos(ver
Cuestionario de Control Interno ICQ)
Revisar los planes de transición desarrollados y ver si se tuvo en cuenta a todas las áreas
afectadas. Asegurar que se desarrolló un proceso de análisis que justifique la necesidad del
outsourcing.
Revisar la metodología de análisis de riesgo usada en el proceso de decisión del outsourcer
Revisar los procesos para la selección de proveedores
Revisar el/los plan/es de retorno existente
Revisar los procesos de asignación de costes y pagos
Revisar los procedimientos de soporte técnico
Seguridad
Revisar los planes de contingencia del outsourcer y los procedimientos de back-up
valorándose su adecuación
Revisar los procesos de control de acceso que posee el outsourcer y como se alinea con los
requerimientos de nuestra información
Revisar los procesos de terminación del servicio para proveedores, contratistas y
subcontratistas.
Determinar si los procesos de control de accesos limitan el acceso cuando es apropiado
Revisar los procesos de control de acceso para: Sistemas Operativos / Aplicaciones / Redes y
Comunicaciones / Acceso Remoto
Revisar los procesos de inventario tecnológico desarrollados
En los locales del outsourcer revisar los controles de seguridad física incluyendo
procedimientos de acceso, administración y mantenimiento
Administración

Revisión de facturas y recibos comparándolos con los presupuestos aprobados, con el objeto
de buscar variaciones significativas
Revisar los procedimientos internos para el monitoreo del desempeño de la actividad del
outsourcer
Revisar las opciones de compra que presenta el outsourcer (si aplica)


Ejercicio: Ejemplos de Programas de Trabajo



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 6 de 16



CUESTIONARIO DE CONTROL INTERNO (ICQ)


Preg

Enunciado
Respuesta
CoBiT
ref.
si no n.a
Gestión y Planificación
¿Están claramente definidos en el contrato los requerimientos y
objetivos esperados?

DS2
¿Recogen las políticas de la organización los procesos de compra de
servicios, y en particular la relación con terceras partes o vendedores?

DS2
¿Han sido claramente definidos los beneficios y objetivos de negocio
que se persiguen al optar por una solución de outsourcer?

DS2
Han sido considerados los siguientes aspectos referentes a los
outsourcers?
Costes
Habilidad para atender y entender las necesidades
Flexibilidad
Capacidad para asumir esfuerzos independientemente de la
localización
Presencia en industrias afines
Suficiente experiencia en el manejo de la tecnología
Habilidad para la gestión de problemas
Niveles y calidad de servicio aceptables

DS2
¿Qué criterios se han seguido para la selección del proveedor? DS2
¿Existen y se siguen procesos de revisión y aprobación de contratos? DS2
¿Recoge el contrato con el outsourcer los siguientes puntos?:
Gestión y aprobación formal y legal
Detalle de los servicios proporcionados
Acuerdos de Nivel de Servicio: Aspectos cuantitativos y aspectos
cualitativos
Coste del servicio
Requerimiento y frecuencia de los pagos
Procesos de resolución de problemas
Penalizaciones
Procedimiento para la disolución de la relación contractual
Procedimiento para la modificación del contrato
Procedimientos de reporte (Contenido, Frecuencia y Distribución)
Roles y responsabilidades de los responsables
Procesos que aseguren la continuidad del proceso de negocio
Mecanismos de comunicación cliente/proveedor existentes y
frecuencia de los mismos
Duración del contrato
Niveles de acceso definidos y proporcionados al proveedor
Requerimientos de seguridad
Garantías de confidencialidad
Derechos de acceso y derechos de auditar

DS2
¿Existen planes de transición, con requerimientos completos para
todas las entidades afectadas?

DS2
¿Han sido identificados y obtenidos todos los requerimientos de DS2


Ejercicio: Ejemplos de Programas de Trabajo



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 7 de 16

experiencia técnica?
¿Posee el outsourcer capacidad para dar servicio independientemente
de la localización?

DS2
¿Se han proyectado planes que posibiliten la transición al outsourcing,
tales como..?
Planes de contingencia
Planes de formación
Definición clara de:
 Requerimientos Hardware
 Requerimientos Software
 Niveles de servicio
 Procedimientos para gestión de errores
 Aspectos legales

DS2
¿Se han proporcionado o fijado garantías? En caso afirmativo
detallarlo en los papeles de trabajo

DS2
¿Se está de acuerdo con las garantías dadas? DS2
¿Se han definido niveles de calidad del servicio? DS2
El Acuerdo de Nivel de Servicio, incluye:
Definición del Servicio
Coste del Servicio
Niveles de Servicio mínimos
Nivel de soporte para las distintas funciones del servicio
Disponibilidad, fiabilidad, capacidad de crecimiento
Planes recuperación ante desastres y planes de contingencia
Requerimientos de seguridad
Cambio de procesos para cualquier punto del acuerdo
Han sido escritos y formalmente aprobados entre proveedores y
usuarios del servicio
Períodos efectivos u períodos de revisión, renovación, no-
renovación
Contenido y frecuencia de los reportes de rendimiento y pago por
los servicios
Cargas realistas comparadas con históricos, la industria, etc.
Cálculo de cargas
Compromiso de mejora del servicio

DS1
¿Se han definido las responsabilidades de los usuarios y proveedores? DS1
¿Ha permitido la función/operación de outsourcing mejoras en los
niveles de servicio del cliente?

DS2
¿Se han obtenido ventajas competitivas debido a la relación con el
outsourcer? (listarlas todas)

DS2
¿Existe flexibilidad en los costes? DS2
¿Se han definido con claridad las responsabilidades para el
mantenimiento y soporte técnico?

DS2



Ejercicio: Ejemplos de Programas de Trabajo



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 8 de 16

Seguridad
¿Han sido definidos con claridad los requerimientos de seguridad en el
contrato?

DS2
¿Se han implementado medidas para la revocación y eliminación de
accesos por causa de terminación o cambio en la relación?

DS2
¿Posee el outsourcer adecuados procedimientos de back-up? DS2
¿Posee el outsourcer adecuados controles de seguridad lógica? DS2
¿Posee el outsourcer adecuados controles de acceso físico,
administración y mantenimiento?

DS2
¿Están los recursos tecnológicos, PCs, software y licencias
apropiadamente asignados y registrados en documentos de
inventario?

DS2
¿Ha implementado el outsourcing una segregación en el acceso a la
información que impida a otros clientes acceder a nuestra
información?

DS2
Administración
¿Están siendo verificadas y validadas las facturas y recibos, producto
de la relación?

DS2
¿Es monitoreada la capacidad del proveedor? DS2
¿Son monitoreados de forma estrecha los procesos de compra de
material tecnológico?

DS2






Ejercicio: Ejemplos de Programas de Trabajo



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 9 de 16



A continuación se muestran otros puntos a ser desarrollados dentro de un programa de auditoria válido
para la revisión del CONTROL DE LA ACTIVIDAD DESARROLLADA POR EL OUTSOURCING:


PASOS DE AUDITORÍA
CoBIT
ref.
Evaluar la estructura organizativa empresarial encargada de la gestión y supervisión del servicio
Solicitar el organigrama y descripción de funciones de la estructura organizativa empresarial
encargada de la gestión del servicio
PO4
Evaluar el nivel y calidad del servicio proporcionado por los proveedores externos
Solicitar y evaluar los contratos de outsourcing existentes, obteniendo los indicadores de
seguimiento de cada uno de los servicios contratados
DS2
Verificar la existencia de Normativas y Procedimientos que regulen la actividad de los
servicios proporcionados por los outsourcers, tales como:
Reporte y resolución de problemas e incidencias
Administración y operación de servidores
Backups y recuperaciones
Control de cambios
Operación de cada servicio de Microinformática
Administración, gestión y operación de la electrónica de red y comunicaciones
Gestión de inventarios
Etc.
Y comprobar su cumplimiento
DS1
Evaluar cada uno de los servicios ofrecidos por cada uno de los proveedores y verificar su
medición, y su inclusión o no en los respectivos ANS
Solicitar y revisar los informes de control y seguimiento del nivel de servicio. Comprobar
que aparecen todos los parámetros definidos en el ANS. Evaluar los parámetros definidos y
su forma de cálculo.
Evaluar la periodicidad de las revisiones realizadas a los contratos y el procedimiento para
realizarla

Identificar desviaciones de cumplimiento y acciones correctoras y/o sancionadoras
emprendidas
Solicitar la relación de problemas comunicados y registrados al Help Desk que incluya fecha
de ocurrencia, descripción del error, persona que llama, fecha de escalado (si aplicable),
solución adoptada, fecha de resolución y persona que soluciona.
Evaluar el tipo de problemas reportados, con el tiempo de solución obtenido y las soluciones
adoptadas
Evaluar la existencia de operativas de actuación ante problemas repetidos y confirmar que
las soluciones adoptadas ante el mismo tipo de problemas son coherentes
Revisar los procedimientos de asignación de costes
Revisar la correcta facturación de los servicios de las contratas según lo establecido en los
contratos
DS6
Solicitar las políticas, normas o procedimientos relativas a presupuestación, asignación de
costes y facturación y evaluar su cumplimiento
Revisar que el procedimiento de solicitud de servicios requiere aprobación formal y
aceptación sobre los costes incurridos
Solicitar la relación de servicios facturables. Verificar que son identificables y cuantificables
Revisar el sistema de asignación de costes



Ejercicio: Ejemplos de Programas de Trabajo



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 10 de 16

Revisar el procedimiento de generación de informes por servicios prestados. Verificar que se
detallan cada uno de los servicios prestados con su coste unitario

Averiguar si se realiza algún tipo de benchmarking con empresas externas
Revisar que los clientes disponen de un procedimiento para supervisar variaciones entre los
costes planificados según el presupuesto y los servidos. Solicitar los presupuestos de IT del
año pasado y compararlo con los servicios facturados
Realizar un seguimiento sobre los gastos en IT soportados sobre las siguientes funciones:
HW
Periféricos y consumibles
Telecomunicaciones
Help Desk
Costes fijos / variables




Ejercicio: Ejemplos de Programas de Trabajo



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 11 de 16



Auditoría de Gestión de Acuerdos con Proveedores
PROGRAMAS DE TRABAJO
Ejemplo nº3. FFIEC


EXAMINATION PROCEDURES

EXAMINATION OBJECTIVES: EXAMINATION OBJECTIVE: Assess the effectiveness of
the institution’s risk management process as it relates to the outsourcing of information systems and
technology services.

Tier I objectives and procedures relate to the institution’s implementation of a process for
identifying and managing outsourcing risks.
Tier II objectives and procedures provide additional validation and testing techniques as
warranted by risk to verify the effectiveness of the institution’s process on individual
contracts.

Tier I and Tier II are intended to be a tool set examiners will use when selecting examination
procedures for their particular examination. Examiners should use these procedures as necessary to
support examination objectives.
TIER I OBJECTIVES AND PROCEDURES

Work
Paper
Reference Comment
Objective 1: Determine the appropriate scope for the examination.
1. Review past reports for weaknesses involving outsourcing. Consider:
▪ Regulatory reports of examination of the institution and service provider(s); and
▪ Internal and external audit reports of the institution and service provider(s) (if
available).


2. Assess management’s response to issues raised since the last examination.
Consider:
▪ Resolution of root causes rather than just specific issues; and
▪ Existence of any outstanding issues.


3. Interview management and review institution information to identify:
▪ Current outsourcing relationships and changes to those relationships since the last
examination. Also identify any:
· Material service provider subcontractors,
· Affiliated service providers,
· Foreign-based third party providers;
▪ Current transaction volume in each function outsourced;
▪ Any material problems experienced with the service provided;
▪ Service providers with significant financial or control related weaknesses; and
▪ When applicable, whether the primary regulator has been notified of the
outsourcing relationship as required by the Bank Service Company Act or Home
Owners’ Loan Act.




Ejercicio: Ejemplos de Programas de Trabajo



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 12 de 16


Work
Paper
Reference Comment
Obj ect i ve 2: Eval uat e t he quant i t y of ri sk present f rom t he i nst i t ut i on’s out sourci ng arrangement s.
1. Assess the level of risk present in outsourcing arrangements. Consider risks
pertaining to:
▪ Functions outsourced;
▪ Service providers, including, where appropriate, unique risks inherent in foreign-
based service provider arrangements; and
▪ Technology used.


Obj ect i ve 3: Eval uat e t he qual i t y of ri sk management
1. Evaluate the outsourcing process for appropriateness given the size and
complexity of the institution. The following elements are particularly important:
▪ Institution’s evaluation of service providers consistent with scope and criticality of
outsourced services; and
▪ Requirements for ongoing monitoring.


2. Evaluate the requirements definition process.
▪ Ascertain that all stakeholders are involved; the requirements are developed to
allow for subsequent use in request for proposals (RFPs), contracts, and
monitoring; and actions are required to be documented; and
▪ Ascertain that the requirements definition is sufficiently complete to support the
future control efforts of service provider selection, contract preparation, and
monitoring.


3. Evaluate the service provider selection process.
▪ Determine that the RFP adequately encapsulates the institution’s requirements and
that elements included in the requirements definition are complete and sufficiently
detailed to support subsequent RFP development, contract formulation, and
monitoring;
▪ Determine that any differences between the RFP and the submission of the
selected service provider are appropriately evaluated, and that the institution takes
appropriate actions to mitigate risks arising from requirements not being met; and
▪ Determine whether due diligence requirements encompass all material aspects of
the service provider relationship, such as the provider’s financial condition,
reputation (e.g., reference checks), controls, key personnel, disaster recovery plans
and tests, insurance, communications capabilities and use of subcontractors.


4. Evaluate the process for entering into a contract with a service provider.
Consider whether:
▪ The contract contains adequate and measurable service level agreements;
▪ Allowed pricing methods do not adversely affect the institution’s safety and
soundness, including the reasonableness of future price changes;
▪ The rights and responsibilities of both parties are sufficiently detailed;
▪ Required contract clauses address significant issues, such as financial and control
reporting, right to audit, ownership of data and programs, confidentiality,
subcontractors, continuity of service, etc;
▪ Legal counsel reviewed the contract and legal issues were satisfactorily resolved;
and
▪ Contract inducement concerns are adequately addressed.


5. Evaluate the institution’s process for monitoring the risk presented by the service
provider relationship. Ascertain that monitoring addresses:
▪ Key service level agreements and contract provisions;
▪ Financial condition of the service provider;
▪ General control environment of the service provider through the receipt and




Ejercicio: Ejemplos de Programas de Trabajo



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 13 de 16


Work
Paper
Reference Comment
review of appropriate audit and regulatory reports;
▪ Service provider’s disaster recovery program and testing;
▪ Information security;
▪ Insurance coverage;
▪ Subcontractor relationships including any changes or control concerns;
▪ Foreign third party relationships; and
▪ Potential changes due to the external environment (i.e., competition and industry
trends). Key service level agreements and contract provisions;
▪ Financial condition of the service provider;
▪ General control environment of the service provider through the receipt and
review of appropriate audit and regulatory reports;
▪ Service provider’s disaster recovery program and testing;
▪ Information security;
▪ Insurance coverage;
▪ Subcontractor relationships including any changes or control concerns;
▪ Foreign third party relationships; and
▪ Potential changes due to the external environment (i.e., competition and industry
trends).
6. Review the policies regarding periodic ranking of service providers by risk for
decisions regarding the intensity of monitoring (i.e., risk assessment). Decision
process should:
▪ Include objective criteria;
▪ Support consistent application;
▪ Consider the degree of service provider support for the institution’s strategic and
critical business needs, and
▪ Specify subsequent actions when rankings change.


7. Evaluate the financial institution’s use of user groups and other mechanisms to
monitor and influence the service provider.


Obj ect i ve 4: Di scuss correct i ve act i on and communi cat e f i ndi ngs
1. Determine the need to complete Tier II procedures for additional validation to
support conclusions related to any of the Tier I objectives.


2. Review preliminary conclusions with the EIC regarding:
▪ Violations of law, rulings, regulations;
▪ Significant issues warranting inclusion in the Report as matters requiring attention
or recommendations; and
▪ Potential impact of your conclusions on the institution’s risk profile and composite
or component IT ratings.


3. Discuss findings with management and obtain proposed corrective action for
significant deficiencies.


4. Document conclusions in a memo to the EIC that provides report ready
comments for the Report of Examination and guidance to future examiners.


5. Organize work papers to ensure clear support for significant findings by
examination objective.






Ejercicio: Ejemplos de Programas de Trabajo



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 14 de 16

TIER 2 OBJECTIVES AND PROCEDURES

Work
Paper
Reference
Comment
A. IT REQUIREMENTS DEFINITION
1. Review documentation supporting the requirements definition process to
ascertain that it appropriately addresses:
▪ Scope and nature;
▪ Standards for controls;
▪ Minimum acceptable service provider characteristics;
▪ Monitoring and reporting;
▪ Transition requirements;
▪ Contract duration, termination, and assignment’ and
▪ Contractual protections against liability.


B. DUE DILIGENCE
1. Assess the extent to which the institution reviews the financial stability of the
service provider:
▪ Analyzes the service provider’s audited financial statements and annual reports;
▪ Assesses the provider’s length of operation and market share;
▪ Considers the size of the institution’s contract in relation to the size of the
company;
▪ Reviews the service provider’s level of technological expenditures to ensure on-
going support; and
▪ Assesses the impact of economic, political, or environmental risk on the service
provider’s financial stability.


2. Evaluate whether the institution’s due diligence considers the following:
▪ References from current users or user groups about a particular vendor’s
reputation and performance;
▪ The service provider’s experience and ability in the industry;
▪ The service provider’s experience and ability in dealing with situations similar
to the institution’s environment and operations;
▪ The cost for additional system and data conversions or interfaces presented by
the various vendors;
▪ Shortcomings in the service provider’s expertise that the institution would need
to supplement in order to fully mitigate risks;
▪ The service provider’s proposed use of third parties, subcontractors, or partners
to support the outsourced activities;
▪ The service provider’s ability to respond to service disruptions;
▪ Key service provider personnel that would be assigned to support the
institution;
▪ The service provider’s ability to comply with appropriate federal and state laws.
In particular, ensure management has assessed the providers’ ability to comply
with federal laws (including GLBA and the USA PATRIOT Act ); and
▪ Country, state, or locale risk.





Ejercicio: Ejemplos de Programas de Trabajo



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 15 de 16


C. SERVICE CONTRACT

1. Verify that legal counsel reviewed the contract prior to closing.
▪ Ensure that the legal counsel is qualified to review the contract particularly if it
is based on the laws of a foreign country or other state; and
▪ Ensure that the legal review includes an assessment of the enforceability of
local contract provisions and laws in foreign or out-of-state jurisdictions.


2. Verify that the contract appropriately addresses:
▪ Scope of services;
▪ Performance standards;
▪ Pricing;
▪ Controls;
▪ Financial and control reporting;
▪ Right to audit;
▪ Ownership of data and programs;
▪ Confidentiality and security;
▪ Regulatory compliance;
▪ Indemnification;
▪ Limitation of liability;
▪ Dispute resolution;
▪ Contract duration;
▪ Restrictions on, or prior approval for, subcontractors;
▪ Termination and assignment, including timely return of data in a machine-
readable format;
▪ Insurance coverage;
▪ Prevailing jurisdiction (where applicable);
▪ Choice of Law (foreign outsourcing arrangements);
▪ Regulatory access to data and information necessary for supervision; and
▪ Business Continuity Planning.


3. Review service level agreements to ensure they are adequate and measurable.
Consider whether:
▪ Significant elements of the service are identified and based on the institution’s
requirements;
▪ Objective measurements for each significant element are defined;
▪ Reporting of measurements is required;
▪ Measurements specify what constitutes inadequate performance; and
▪ Inadequate performance is met with appropriate sanctions, such as reduction in
contract fees or contract termination.


4. Review the institution’s process for verifying billing accuracy and
monitoring any contract savings through bundling.





Ejercicio: Ejemplos de Programas de Trabajo



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información. Pág 16 de 16


D. MONITORING SERVICE PROVIDER RELATIONSHIP(S)

1. Evaluate the institution’s periodic monitoring of the service provider
relationship(s), including:
▪ Timeliness of review, given the risk from the relationship;
▪ Changes in the risk due to the function outsourced;
▪ Changing circumstances at the service provider, including financial and control
environment changes;
▪ Conformance with the contract, including the service level agreement; and
▪ Audit reports and other required reporting addressing business continuity,
security, and other facets of the outsourcing relationship.


2. Review risk rankings of service providers to ascertain
▪ Objectivity;
▪ Consistency; and
▪ Compliance with policy.


3. Review actions taken by management when rankings change, to ensure policy
conformance when rankings reflect increased risk.


4. Review any material subcontractor relationships identified by the service
provider or in the outsourcing contracts. Ensure:
▪ Management has reviewed the control environment of all relevant
subcontractors for compliance with the institution’s requirements definitions
and security guidelines; and
▪ The institution monitors and documents relevant service provider
subcontracting relationships including any changes in the relationships or
control concerns.


CONCLUSIONS



Examiner
Date


Reviewer’s Initials







TeVeo, S.A.
DIRECCIÓN DE AUDITORÍA
Área de Auditoría de Sistemas de Información














Auditoría del
Proceso de Control de Proveedores
(Gerencia de Producción)

















Julio 2010



Auditoría del Proceso de Control de Proveedores
de la Gerencia de Producción
Julio 2010


Área de Auditoría de Sistemas de Información Página 2 de 12



I NDI CE


1. INTRODUCCIÓN __________________________________________________________ 3
1.1. Objetivos _____________________________________________________________ 3
1.2. Alcance y limitaciones __________________________________________________ 3
2. HECHOS OBSERVADOS __________________________________________________ 4
2.1. Marco General de Control _______________________________________________ 4
2.1.1. Políticas y procedimientos del proceso _________________________________ 5
2.1.2. Roles y responsabilidades ____________________________________________ 6
2.2. Controles específicos del proceso ________________________________________ 7
2.2.1. Monitorización y reporte ______________________________________________ 7
2.2.2. Revisión de los niveles de servicio _____________________________________ 8
2.2.3. Programas de mejora del servicio ______________________________________ 9
2.3. Esquema de medición y gestión del proceso ______________________________ 9
2.3.1. Esquema de medición de desempeño del proceso _______________________ 9
2.3.2. Marco de gestión de los indicadores y métricas definidas ________________ 10
3. CONCLUSIONES ________________________________________________________ 11
4. OPINIÓN Y RECOMENDACIONES _________________________________________ 12





Auditoría del Proceso de Control de Proveedores
de la Gerencia de Producción
Julio 2010


Área de Auditoría de Sistemas de Información Página 3 de 12

1. INTRODUCCIÓN
1.1. Objetivos
La presente auditoría informática tiene como objetivo principal revisar el marco de gestión y control de
los proveedores de servicios tecnológicos que prestan servicios a las distintas Áreas de la Gerencia
de Producción.
1.2. Alcance y limitaciones
El alcance de la auditoría abarca la gestión y control de proveedores asociados a servicios tecnológicos
de la Gerencia de Producción, quedando excluidos del alcance los proveedores de desarrollo de
software.
En la actualidad la gestión de proveedores de servicios tecnológicos está soportada desde tres
procesos/actividades:
El marco general que Teveo S.A. establece mediante el Proceso de Control de Proveedores de la
Gerencia de Compras.
Un proceso específico para proveedores tecnológicos, el Proceso de Gestión de Proveedores de
Tecnología de la Gerencia de Producción.
La actividad de supervisión que efectúan individualmente cada uno de los responsables peticionarios y
beneficiarios de los servicios externalizados formalizados bajo acuerdos de nivel de servicio (ANS
1
).
Para estos procesos y actividades, las áreas de revisión han sido las siguientes:
Análisis del marco general de control en los aspectos de definición e implementación de roles y
responsabilidades, así como la cobertura procedimental que regula el proceso.
Revisión de los controles propios de un proceso de gestión de proveedores sobre actividades de:
(1) monitorización y reporte del servicio proporcionado, (2) revisión de los acuerdos, (3) y programas
de mejora del servicio.
Estudio del esquema de medición de desempeño del proceso y del marco de gestión de sus
resultados (indicadores y métricas).
A continuación, se presenta gráficamente en la Figura 1 las tres áreas de revisión y su contenido:

Figura 1
Áreas de revisión del Proceso de Gestión de Proveedores.

Para este análisis se han elaborado unas baterías de controles basadas en dos fuentes de metodologías
de control y buenas prácticas: ITIL
2
y COBIT
3
.

1
De manera general es un acuerdo escrito entre un proveedor de un servicio y un cliente donde se documentan los objetivos clave
del servicio y las responsabilidades de ambas partes. Proporciona la base para gestionar las relaciones entre proveedor y cliente.
2
Primera edición en castellano del año 2006 del libro original Service Delivery del año 2001. Se han utilizado las indicaciones para
la Gestión de Niveles de Servicio.
Roles y responsabilidades
Marco general de control
Políticas y procedimientos
Controles específicos del proceso
Esquema de medición
Métricas
Marco de gestión
Monitorización y Reporte
Revisión del Servicio
Programas de Mejora



Auditoría del Proceso de Control de Proveedores
de la Gerencia de Producción
Julio 2010


Área de Auditoría de Sistemas de Información Página 4 de 12

Para la realización del presente informe se han mantenido entrevistas con responsables del Área de
Compras Tecnológicas, el Área de Gestión de Servicios Tecnológicos, el Área de Organización y el Área
de Calidad; y se ha analizado información económica, contractual y de gestión de proveedores a través
de la aplicación de Gestión de Proveedores (GP).
Asimismo, indicar que la revisión fue desarrollada durante el periodo comprendido entre los meses de
mayo y junio de 2010, por lo que las conclusiones obtenidas corresponden a dicho periodo.


2. HECHOS OBSERVADOS
2.1. Marco General de Control
Dentro del ámbito de la presente auditoría, como intervinientes en la definición, implementación y
administración del proceso, se han identificado los siguientes agentes:
 Gestores de los acuerdos. Son los peticionarios y beneficiarios de los servicios externalizados bajo
un ANS. Realizan tareas de monitorización, seguimiento y reporte del servicio prestado.
 El Área de Compras Tecnológicas perteneciente a la Gerencia de Compras que mediante el
Proceso de Control de Proveedores realiza un seguimiento del proveedor desde el punto de vista
económico-financiero y de la calidad del servicio prestado.
 El Área de Gestión de Servicios Tecnológicos perteneciente a la Gerencia de Producción cuya
actividad de definición, relación y supervisión de proveedores está regulada por el Proceso de
Gestión de Proveedores de Tecnología.
Estos tres agentes, sus procesos y actividades quedas descritas según el siguiente esquema de la Figura
2.
Figura 2
Marco de definición y control de proveedores.




3
COBIT significa Objetivos de Control para Información y Tecnología Relacionada. Es un estándar para el control de las TI
desarrollado y promovido por el Instituto de Gobierno de TI que identifica procesos de TI, un enfoque de alto nivel para controlarlos
así como objetivos de control detallados y directrices de auditoría para evaluarlos. Se han utilizado los controles de los procesos de
“Definición y Gestión de niveles de servicio” y “Gestión de Servicios con terceros”.



Auditoría del Proceso de Control de Proveedores
de la Gerencia de Producción
Julio 2010


Área de Auditoría de Sistemas de Información Página 5 de 12

A continuación, en este capítulo se revisan los aspectos básicos de un marco general de control: (1)
grado de estandarización de procedimientos y tareas formalizadas o no documentalmente y (2) marco de
definición de roles y responsabilidades en el proceso.

2.1.1. Políticas y procedimientos del proceso
Se ha identificado la siguiente documentación que contiene aspectos detallados relacionados con la
gestión de proveedores:
 Documento del Proceso de Control de Proveedores de la Gerencia de Compras de Teveo de mayo
de 2006.
 Documento del Proceso de Gestión de Proveedores de Tecnología (versión 2.2 del 20 de
noviembre del 2005) que contempla las actividades relacionadas con la definición de requisitos para
la contratación de trabajos a proveedores, el seguimiento de los mismos y la finalización de la
prestación.

Y para los anteriores procesos se han revisado los siguientes puntos de control:
Cuadro 2
Controles sobre las políticas y procedimientos del proceso.
Punto de control Resultado
Cobertura. El esquema de políticas y procedimientos cubre toda la casuística del proceso:
establecimiento de requisitos para proveedores, evaluación del servicio, seguimiento
continuo y pormenorizado de acuerdos, mantenimiento de acuerdos y el establecimiento de
medidas correctoras.
(1)
Grado de definición. Los procedimientos establecen las actividades del proceso, las
responsabilidades en la ejecución de las mismas, así como las salidas y registros a generar
durante la ejecución de dichas actividades.

Grado de actualización. El contenido de las políticas y procedimientos se encuentra
actualizado.
(2)
Formalización. Las políticas y procedimientos tienen un esquema de revisión y aprobación
definido y ejecutado.

Publicitación. Las políticas y procedimientos están publicadas y accesibles a todos los
intervinientes (desde usuarios finales hasta responsables).

Ámbito de aplicación. Existe un catálogo de proveedores con acuerdos de nivel de servicio y
las actividades del proceso se aplican sobre el catálogo completo de destinatarios del
proceso.
(3)
De la revisión de los anteriores puntos de control se han identificado los siguientes aspectos a destacar:
(1) La actual definición del Proceso de Control de Proveedores de la Gerencia de Compras presenta
las siguientes deficiencias de control:
- El proceso no contempla la actividad específica de seguimiento continuo y pormenorizado
del cumplimiento de los acuerdos que es realizada por parte del peticionario / beneficiario de
los servicios externalizados bajo un ANS (la actividad de seguimiento de proveedores es
responsabilidad del Área de Compras Tecnológicas de la Gerencia de Compras)
- El proceso no contempla la figura externa a la Gerencia de Compras del gestor del acuerdo
y sus responsabilidades en la monitorización y seguimiento de los servicios externalizados bajo
un ANS.
- Ausencia de actividades definidas que garanticen el reporte periódico a la Gerencia de
Compras por parte del gestor del acuerdo de los resultados de su monitorización y seguimiento
de los acuerdos.



Auditoría del Proceso de Control de Proveedores
de la Gerencia de Producción
Julio 2010


Área de Auditoría de Sistemas de Información Página 6 de 12

Aunque las anteriores actividades puedan estar ejecutándose correctamente en la operativa
rutinaria de los actuales gestores de acuerdos
4
, éstas deberían reflejarse y formalizarse en el
Proceso de Control de Proveedores de la Gerencia de Compras.
Adicionalmente, como algunos de los anteriores debilidades de control del Proceso de Control de
Proveedores de la Gerencia de Compras ya forman parte del Proceso de Gestión de Proveedores
de Tecnología de la Gerencia de Producción
5
, deberían revisarse las definiciones de ambos
procesos y sus interfaces buscando cubrir aspectos complementarios, evitar duplicidades y
buscar alineamientos.
(2) En el documento de definición del Proceso de Gestión de Proveedores de Tecnología no se
contemplan los recientes cambios organizativos (ej. nuevas Áreas).
(3) Durante el trabajo de campo no se ha identificado un catálogo corporativo específico de
servicios externalizados bajo un ANS como base para el seguimiento continuo y
pormenorizado del cumplimiento de acuerdos y sobretodo su control y la coordinación
global.
Aunque a nivel corporativo existen evidencias de seguimientos de los cumplimientos de los
acuerdos, estas actividades están descentralizadas no existiendo controles que garanticen que
sobre un catálogo corporativo de servicios externalizados bajo un ANS existan seguimientos del
cumplimiento de los acuerdos por parte de los peticionarios/beneficiarios de servicios
externalizados y gestores del acuerdo.

2.1.2. Roles y responsabilidades
Para los anteriores esquemas organizativos y sus definiciones de roles y responsabilidades se han
revisado los siguientes puntos de control:
Cuadro 3
Controles sobre roles y responsabilidades.
Punto de control Resultado
El proceso tiene asignado un propietario y claramente definido su papel y responsabilidades
en: (1) el diseño del proceso, (2) interacción con otros procesos, (3) rendición de cuentas
sobre los productos finales o entregables del proceso, (4) medición del rendimiento del
proceso e (5) identificación de mejoras de las oportunidades. (1)
El proceso contempla para todas las actividades, responsabilidades y potestades
concedidas a personas o equipos. Los roles y responsabilidades para la ejecución efectiva y
eficiente de las actividades clave están asignados, documentados y comunicados.
El modelo de definición de roles y responsabilidades sigue un esquema de mejores
prácticas en el proceso de gestión de proveedores de manera que al menos se contemplan
las figuras de: (1) gestión de requisitos, (2) seguimiento del proveedor –cumplimiento del
acuerdo- y (3) evaluador del proveedor.

Las distintas actividades cumplen el principio de segregación de funciones, esto es, que
todas estas actividades evitan la concentración de funciones en una misma persona o
agrupación organizativa.

En la matriz de responsabilidades no existen roles sin responsables y no existen roles con
más de un responsable (solapamientos).
(2)
(1) Aunque la parte de proceso correspondiente a la Gerencia de Producción, regulada por el Proceso
de Gestión de Proveedores de Tecnología tiene definidos, personalizados y asignados sus perfiles,
los actuales cambios organizativos hacen necesario revisar y reasignar las principales

4
Se tienen evidencias de que en las negociaciones que desde la Gerencia de Compras se efectúan, se tienen en cuenta datos de
gestión (indicadores) que desde los gestores de los acuerdos se proporcionan.
5
Sobre todo la actividades de seguimiento continuo y pormenorizado del cumplimiento de los acuerdos ejecutadas por parte del
peticionario/beneficiario de los servicios externalizados bajo un ANS contemplada en el Proceso de Gestión de Suministradores de
la Dirección de Sistemas.



Auditoría del Proceso de Control de Proveedores
de la Gerencia de Producción
Julio 2010


Área de Auditoría de Sistemas de Información Página 7 de 12

responsabilidades (el documento de responsables nominales dentro del proceso debe
actualizarse con la nueva estructura y responsables, así como formalizar la comunicación de
funciones y responsabilidades).
(2) En el actual marco de definición y control de proveedores soportado en el Proceso de Control de
Proveedores de la Gerencia de Compras y el Proceso de Gestión de Proveedores de Tecnología
(ver figura 2) existen actores y funciones donde se pueden presentar solapamientos (ej.
evaluar el servicio).
En opinión de Auditoría de Sistemas una revisión conjunta de estos dos procesos debería
asegurar la ausencia de solapamientos ya sea vía redefinición de roles, delegación de
funciones o subdivisión de actividades.


2.2. Controles específicos del proceso
En este capítulo se verifican los controles específicos para la revisión de la gestión de proveedores. En
este sentido, se ha segmentado el análisis en tres áreas de revisión que cubren los componentes claves
en una gestión de proveedores:
 Monitorización y reporte. Actividad que permite evaluar y gestionar el rendimiento de los
proveedores e identificar potenciales deficiencias.
 Revisión del servicio. Debe estar establecido un procedimiento de revisión de los acuerdos
orientado al cumplimiento de objetivos y detección de deficiencias.
 Programa de mejora del servicio. Actividades proactivas de detección y toma de acciones no
asociadas a deficiencias y/o incumplimientos.

Para la revisión se han elegido una muestra de dos colectivos de proveedores con los cuales existen
acuerdos de nivel de servicio:
 Proveedores que dan el servicio de solución de incidencias técnicas a la red comercial a través del
servicio ofrecido por el Centro de Atención de Usuarios. En particular, proveedores que dan soporte
técnico para incidencias con puestos de autoservicio, equipos de trabajo, y
recicladores/dispensadores: Más Systems, +Mantenimiento, Alaris (Spain), Tecnomás España
Solutions, Altec y MCR.
 Proveedores contemplados en el actual alcance del Proceso de Gestión de Suministradores:
Novatica, Range e Sindra.
2.2.1. Monitorización y reporte
Inmediatamente a continuación de alcanzar un ANS se debe promover la monitorización y elaboración de
informes sobre los logros del servicio. Los informes operativos deberían producirse con periodicidad,
incluir excepciones y ser debidamente comunicados. Para este conjunto de actividades se han revisado
los siguientes controles:
Cuadro 4
Controles sobre la monitorización y reporte de ANS.
Punto de control Resultado
Los ANS analizados disponen de indicadores cuantificables que permitan monitorizar y
evaluar el servicio.
(1)
El proveedor dispone de un procedimiento de comunicación/interlocución por el cual los
diferentes gestores autorizados y reconocidos de Bankia pueden comunicarse y gestionar
el servicio con el proveedor.




Auditoría del Proceso de Control de Proveedores
de la Gerencia de Producción
Julio 2010


Área de Auditoría de Sistemas de Información Página 8 de 12

Punto de control Resultado
Existen informes sobre los logros del servicio con una periodicidad establecida. 
Completitud de la información. Los informes contienen al menos la información estipulada
por el ANS para la gestión del mismo (datos, indicadores, objetivos, niveles de
cumplimiento, etc…) junto con detalles de cualquier tendencia o acciones específicas que
se estén tomando para mejorar la calidad del servicio.
(1)

(1) Para el proveedor Novatica, aunque existen propuestas de indicadores de niveles de servicio,
éstas no están formalizadas y no generan registros útiles para un marco de gestión.
Por otra parte, los indicadores que refleja el proveedor Sindra en su contrato no son los
utilizados en los seguimientos (se utilizan otros por motivos de eficacia y eficiencia).
Para todos los demás proveedores de la muestra, en los informes de seguimiento se hace uso de
los indicadores contemplados en los ANS.


2.2.2. Revisión de los niveles de servicio
El cumplimiento de los compromisos especificados en los ANS debe estar sometido a una actividad
periódica de revisión de información con un protocolo definido. Los resultados obtenidos tras evaluar la
cobertura de un conjunto de puntos de control se indican en el cuadro siguiente:
Cuadro 5
Controles sobre las actividades de revisión de niveles de servicio.
Punto de control Resultado
Reporte con el proveedor. Para las revisiones del servicio con los proveedores existe un
procedimiento de reporte definido y acordado de: (1) canales de comunicación y
destinatarios, (2) contenido de los reportes y (3) frecuencia.
(1)
Reporte interno. Para el control interno corporativo del cumplimiento de los niveles de
servicio de proveedores existe un procedimiento interno definido de: (1) canales de
comunicación y destinatarios, (2) contenido de los reportes y (3) frecuencia.
(2)
Revisiones con el proveedor. Existen reuniones específicas de revisión del servicio con los
proveedores con la finalidad de revisar el cumplimiento de los objetivos de nivel de servicio
fijados mediante indicadores. Estas reuniones están formalizadas, tienen una periodicidad
aceptable y están soportadas documentalmente (actas de reunión).

Indicadores. Las revisiones de los niveles de servicio están basadas en objetivos de nivel
de servicio mediante indicadores.

En el caso de incumplimientos de objetivos se generan informes de excepciones y existen,
tanto para el cliente como para el proveedor, acciones apropiadas para mejorar áreas en
las que no se estén consiguiendo los objetivos. Todas las acciones están registradas en
actas, y sometidas a revisión de su progreso en reuniones de seguimiento.

De la revisión de los anteriores puntos de control se han identificado los siguientes aspectos a destacar:
(1) Aunque existen evidencias de reportes entre proveedores y gestores de acuerdos no se ha
observado una definición normalizada que aplique de manera homogénea a todos los
proveedores objeto del proceso.
(2) Aunque existen evidencias de reportes por parte de gestores de los acuerdos a sus responsables
(ej. Directores de las diversas Área de la Gerencia de Producción) y al Área de
ComprasTecnológicas de la Gerencia de Compras, no se ha observado un procedimiento interno
definido de reporte formal orientado a un control interno corporativo del cumplimiento de
los niveles de servicio de proveedores (adicional al que efectúa el gestor del acuerdo).



Auditoría del Proceso de Control de Proveedores
de la Gerencia de Producción
Julio 2010


Área de Auditoría de Sistemas de Información Página 9 de 12

Aunque en la operativa habitual (facturación, negociación, renovación…) de la Gerencia de
Compras se contemplan los reportes del cumplimiento de compromisos los proveedores que
proporcionan los gestores de los acuerdos, esta actividad no está reflejada en los actuales
procedimientos. Por la importancia de la misma, esta actividad debería contemplarse en los
Procedimiento de Control de Proveedores de manera que se garantice que todos aquellos
acuerdos que lleven implícitos acuerdos de niveles de servicio con indicadores asociados a
objetivos, el gestor del acuerdo reporte de forma periódica, de manera que se garantice esta
información en todas las revisiones o renovaciones de acuerdos efectuadas por parte de la
Gerencia de Compras.

2.2.3. Programas de mejora del servicio
Cuando se identifique una dificultad subyacente que esté impactando negativamente sobre la calidad del
servicio, se debe promover un programa de mejora del servicio para identificar e implementar las
acciones que sean necesarias para superar las dificultades y restaurar la calidad del servicio. A
continuación, con el fin de evaluar esta actividad se ha analizado la existencia y adecuación del siguiente
control, no habiéndose identificado aspectos de mejora.

Cuadro 6
Controles sobre la revisión de los programas de mejora del servicio.
Punto de control Resultado
Se han identificado actividades de mejora de servicio como resultado de problemas
detectados que estaban impactando negativamente sobre la calidad del servicio.



2.3. Esquema de medición y gestión del proceso
En este capítulo se verifica que el proceso se encuentra bajo un esquema de medición de su desempeño
y que el esquema forma parte de un marco de gestión.

2.3.1. Esquema de medición de desempeño del proceso
En relación a la gestión de proveedores los dos principales procesos tienen previstos las siguientes
mediciones:
- Métricas orientadas a controlar el cumplimiento de los acuerdos
6
en el caso del Proceso de Gestión de
Suministradores.

- Indicadores basados en las evaluaciones que el Área de Calidad efectúa sobre una muestra o listado
de proveedores a demanda de la Gerencia de Compras para el Proceso de Control de Proveedores
de dicha Dirección
7
.
Con esta información, las medidas y métricas asociadas al proceso y su cobertura han sido evaluadas
según los siguientes puntos de control recogidos en el Cuadro 7:

6
Ej. La variación, respecto al mes anterior, del porcentaje de servicios acordados con proveedores que cumplen el Acuerdo de Nivel
de Servicio establecido con los mismos.
7
Ej. Número de proveedores evaluados o porcentaje de proveedores sujetos a medidas correctivas.



Auditoría del Proceso de Control de Proveedores
de la Gerencia de Producción
Julio 2010


Área de Auditoría de Sistemas de Información Página 10 de 12

Cuadro 7
Esquema de medición de desempeño del proceso.
Punto de control Resultado
Están definidas métricas que proporcionen visión de las salidas y el rendimiento de los
principales elementos del proceso.
(1)
Las métricas del proceso son específicas, medibles, procesables, realistas y orientadas a
resultados.

Están establecidos objetivos que se reflejen en metas, logros, o rendimiento de los
principales elementos del proceso. Los objetivos son específicos, medibles, procesables,
realistas y orientados a resultados.
(2)
De la revisión de los anteriores puntos de control se han identificado los siguientes aspectos a destacar:
(1) Tal y como se ha indicado anteriormente, el Proceso de Control de Proveedores de la Gerencia de
Compras no contempla una actividad específica de seguimiento continuo y pormenorizado del
cumplimiento de los acuerdos de nivel de servicio que efectúan los gestores de los acuerdos. Esta
actividad debería estar medida, supervisada e incluida en algún esquema de gestión que
garantice su ejecución, resultados y logros.
(2) Los indicadores del Proceso de Control de Proveedores de la Gerencia de Compras no tiene
definidos objetivos orientado a la consecución de metas o control del proceso.






2.3.2. Marco de gestión de los indicadores y métricas definidas
En este apartado se verifica que el esquema de métricas forma parte de un marco de gestión (ej. Comité)
orientado al control de proceso (eficacia y eficiencia), toma de decisiones y mejora del mismo. Para la
revisión de este apartado, se han evaluado los siguientes puntos de control recogidos en el Cuadro 8, así
como el resultado de su revisión:
Cuadro 8
Controles sobre la gestión de indicadores y métricas.
Punto de control Resultado
Información de reporte. La información recogida para los reportes es suficiente y relevante
para la gestión del proceso: contempla objetivos, destaca cumplimientos/desviaciones, es
útil para reportar/justificar desviaciones e incidencias.
(1)
Procedimientos de reporte y seguimiento. La información de reporte forma parte de algún
esquema de presentación y seguimiento (ej. comités) para evaluar la calidad del proceso.
Para el procedimiento de reporte deben estar definidos canales de comunicación,
contenido, frecuencia y destinatarios.
De la revisión de los anteriores puntos se han identificado que:
(1) Ambos procesos aún no ha generado actividades ni registros que formen parte de reportes
de información de gestión de los procesos.





Auditoría del Proceso de Control de Proveedores
de la Gerencia de Producción
Julio 2010


Área de Auditoría de Sistemas de Información Página 11 de 12

3. CONCLUSIONES
De acuerdo con lo indicado en los puntos anteriores, el entorno global de control es, en general,
adecuado, si bien se han observado situaciones susceptibles de mejora que se describirán a
continuación.
El marco general de control que se encuentra definido y ejecutándose tanto por parte de los gestores de
los servicios externalizados como por los responsables de la Gerencia de Compras, debería contemplar
los siguientes aspectos de mejora de cara a fortalecer las evaluaciones de los servicios prestados, los
seguimientos de los proveedores y el establecimiento de medidas correctoras:
1. La actividad de seguimiento continuo y pormenorizado del cumplimiento de los acuerdos de nivel de
servicio (ANS) que efectúan los peticionarios/beneficiarios de los servicios externalizados debería, en
el Proceso de Control de Proveedores de la Gerencia de Compras: (1) estar contemplada y
normalizada, (2) formalizar la figura del Gestor del Acuerdo, (3) generar reportes periódicos de esta
actividad a los responsables globales del proceso (ej. la Gerencia de Compras), y (4) estar sujeta a
algún indicador de gestión.
Por su relación con el Proceso de Gestión de Proveedores de Tecnología de la Gerencia de
Producción, ambos procesos deberían estar más coordinados buscando cubrir aspectos
complementarios, evitar duplicidades y conseguir alineamientos.
(Recomendación nº1)
2. Ausencia de un catálogo corporativo de servicios externalizados bajo acuerdos de nivel de servicio
como herramienta base para la gestión del proceso de seguimiento del cumplimiento de los acuerdos,
tanto por el Proceso de Control de Proveedores de la Gerencia de Compras como el Proceso de
Gestión de Proveedores de Tecnología de la Gerencia de Producción. (Recomendación nº3)
3. Aunque existen evidencias de correctas supervisiones por parte de gestores de acuerdos, la ausencia
de ciertas actividades de control hacen necesaria una normalización que aplique de manera
homogénea el seguimiento continuo y pormenorizado del cumplimiento de acuerdos que contempla el
Proceso de Gestión de Proveedores de Tecnología de la Gerencia de Producción de manera que:
- Se establezcan controles que garanticen que sobre un catálogo corporativo de servicios
externalizados bajo un ANS, para todos ellos existan seguimientos de los cumplimientos de los
acuerdos por parte de los gestores de servicios externalizados.
- Se contemplen, al menos, los controles específicos indicados en este informe a las tres
actividades centrales del proceso: (1) monitorización y reporte, (2) revisión de los niveles de
servicio y (3) programas de mejora del servicio.
- Se personalicen (reasignen) los perfiles que contempla el proceso reflejando los cambios
organizativos.
(Recomendación nº2)




Auditoría del Proceso de Control de Proveedores
de la Gerencia de Producción
Julio 2010


Área de Auditoría de Sistemas de Información Página 12 de 12


4. OPINIÓN Y RECOMENDACIONES
De acuerdo con lo indicado en las conclusiones anteriores, las recomendaciones ordenadas en función
de su importancia son:
Importancia Media
1. Revisar la actual definición del Proceso de Control de Proveedores de la Gerencia de Compras
contemplando al menos:
- La actividad de seguimiento continuo y pormenorizado del cumplimiento de los acuerdos de nivel
de servicio que realizan los Gestores de los Acuerdos.
- La figura del Gestor del Acuerdo como peticionario/beneficiario de servicios externalizados y sus
responsabilidades en la monitorización y seguimiento los acuerdos.
- Actividades que garanticen el reporte periódico a la Gerencia de Compras por parte de los
Gestores de los Acuerdos de los resultados de su monitorización y seguimiento de los acuerdos.
- Indicadores (métricas) de la actividad de seguimiento continuo y pormenorizado de los Gestores
de los Acuerdos de nivel de servicio.
- Una coordinación con el Proceso de Gestión de Proveedores de Tecnología de la Gerencia de
Producción.
Responsable: X
Colaboradores: Y Fecha de realización: 31/01/2012

2. Revisar y consolidar el Proceso de Gestión de Proveedores de Tecnología de la Gerencia de
Producción asegurando al menos:
- La incorporación de actividades que garanticen la cobertura de controles en la monitorización y
reporte de los acuerdos, la revisión del cumplimiento de los niveles de servicio y la elaboración de
programas de mejora del servicio según los puntos de control del presente informe.
- La asignación personalizada de los perfiles que contempla el proceso reflejando los cambios
organizativos y la formalización de los gestores responsables (actualización, asignación y
comunicación de funciones y responsabilidades dentro de proceso).
- Un plan de incorporación de nuevos proveedores objeto de seguimiento en el marco del proceso.
Responsable: X Fecha de realización: 31/10/2012

3. Elaborar un catálogo corporativo de servicios externalizados bajo ANS como base para el
seguimiento continuo y pormenorizado del cumplimiento de acuerdos con proveedores.
Responsable: Y Fecha de realización: 31/01/2012


Madrid, 26 de septiembre de 2011
Equipo de trabajo: Damián Ruiz Soriano
VºBº
Fdo: Armando Jarana Segura
Director del Área de
Auditoría de SSII
Fdo.: Dolores Fuertes de la Cabeza
Directora del Departamento de Auditoría
de Procesos de SSII



Ejercicio: Gestión de Acuerdos con Proveedores



Curso de Introducción a la Auditoría de Procesos de Sistemas de Información


Proceso de Administrar los servicios de terceros
(DS2 Manage Third-party Services)

Ejercicio. A partir del Framework de CoBit identificar para la actividad de
Monitorización del desempeño del proveedor (DS2.4 Supplier Performance
Monitoring)

o Objetivo de control detallado
o 1 Práctica de Control
o 1 Actividades para testear las Prácticas de Control
o 1 Paso para el Programa de Trabajo (Appendix IV) y CoBit (3ª Ed.)
o Modelo de Madurez
o Métricas básicas (KPI, KGI y CSF)
o 1 Riesgo clave

4.0


























Objetivos de Control
Directrices Gerenciales
Modelos de Madurez
Ejercicio: Gestión de Acuerdos con Proveedores
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información

108 I T G O V E R N A N C E I N S T I T U T E

DS2
Administrar los servicios de terceros

Objetivos de control detallados


DS2 Administrar los servicios de terceros

DS2.1 Identificación de las relaciones con todos los proveedores
Identificar todos los servicios de los proveedores y catalogarlos de acuerdo con el tipo de proveedor, la importancia y la criticidad.
Mantener documentación formal de las relaciones técnicas y organizacionales incluyendo los roles y responsabilidades, metas,
expectativas, entregables esperados y credenciales de los representantes de estos proveedores.

DS2.2 Administración de las relaciones con los proveedores
Formalizar el proceso de administración de relaciones con proveedores por cada proveedor. Los responsables de las relaciones deben
coordinar a los proveedores y los clientes y asegurar la calidad de las relaciones con base en la confianza y la transparencia (por
ejemplo, a través de acuerdos de niveles de servicio).

DS2.3 Administración de riesgos del proveedor
Identificar y mitigar los riesgos relacionados con la habilidad de los proveedores para mantener una efectiva entrega de servicios de
forma segura y eficiente sobre una base de continuidad. Asegurar que los contratos están de acuerdo con los estándares universales del
negocio de conformidad con los requerimientos legales y regulatorios. La administración del riesgo debe considerar además acuerdos de
confidencialidad (NDAs), contratos de garantía, viabilidad de la continuidad del proveedor, conformidad con los requerimientos de
seguridad, proveedores alternativos, penalizaciones e incentivos, etc.

DS2.4 Monitoreo del desempeño del proveedor
Establecer un proceso para monitorear la prestación del servicio para asegurar que el proveedor está cumpliendo con los requerimientos
del negocio actuales y que se apega de manera continua a los acuerdos del contrato y a los convenios de niveles de servicio, y que el
desempeño es competitivo respecto a los proveedores alternativos y a las condiciones del mercado.




















Entregar y dar soporte
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores

I T G O V E R N A N C E I N S T I T U T E 109
Administrar los servicios de terceros
DS2

Directrices Gerenciales
DS2 Administrar los servicios de terceros
Desde Entradas
P01 Estrategia de contratación de TI
P08 Estándares de adquisición
AI5 Arreglos contractuales, requerimientos de
administración de relaciones con terceros
DS1 SLAs, reporte de revisión de contrato
DS4 Requerimientos de servicio contra desastre
incluyendo roles y responsabilidades
Gráfica RACI Funciones
Metas y métricas

se miden con se miden con se miden con


Salidas Para
Reportes de desempeño de los procesos ME1
Catálogo del proveedor AI5
Riesgos del proveedor P09
Metas y métricas
Metas de actividades
Identificación y categorización de
los servicios del proveedor
Identificación y mitigación de
riesgos del proveedor
Monitoreo y medición del
desempeño del proveedor
Metas de procesos
Establecer relaciones y
responsabilidades bilaterales con
proveedores calificados de
servicios tercerizados.
Monitorear la prestación del
servicio y verificar el apego a los
acuerdos.
Asegurar que el proveedor cumple
con los estándares internos y
externos.
Mantener el deseo del proveedor
de continuar con la relación.
Metas de TI
Asegurar una relación de mutua
satisfacción con los terceros.
Asegurar la satisfacción de los
usuarios finales con las ofertas
de servicio y los niveles de
servicio.
Asegurar transparencia y
entendimiento de los costos,
beneficios, estrategia, políticas y
niveles de servicio de TI.

Indicadores clave de desempeño
% de los principales proveedores
sujetos a una clara definición de
requerimientos y niveles de
servicio
% de los principales proveedores
sujetos a monitoreo
Nivel de satisfacción del negocio
con comunicación efectiva por
parte del proveedor
Nivel de satisfacción del proveedor
con comunicación efectiva por
parte del negocio
# de incidentes significativos por
incumplimiento del proveedor en
un periodo de tiempo
Indicadores clave de meta de procesos
% de los principales proveedores
que cumplen claramente los
requerimientos definidos y los
niveles de servicio
# de controversias formales con el
proveedor
% de facturas del proveedor en
controversia
Indicadores clave de metas de TI
# de quejas de los usuarios
debidas a los servicios
contratados
% del gasto dedicado a
aprovisionamiento competitivo
Dirigen
Dirigen
Entregar y dar soporte
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores

110 I T G O V E R N A N C E I N S T I T U T E

DS2
Administrar los servicios de terceros
Definir un plan estratégico de TI Modelo de madurez
DS2 Administrar servicios de terceros

La administración del proceso de Administrar los servicios de terceros que satisfagan los requerimientos de TI del negocio
de brindar servicios de terceros satisfactorios siendo transparentes respecto a los beneficios, costos y riesgos es:

0 No existente cuando
Las responsabilidades y la rendición de cuentas no están definidas. No hay políticas y procedimientos formales respecto a la contratación con
terceros. Los servicios de terceros no son ni aprobados ni revisados por la gerencia. No hay actividades de medición y los terceros no reportan.
A falta de una obligación contractual de reportar, la alta gerencia no está al tanto de la calidad del servicio prestado.

1 Inicial/Ad Hoc cuando
La gerencia está conciente de la importancia de la necesidad de tener políticas y procedimientos documentados para la administración
de los servicios de terceros, incluyendo la firma de contratos. No hay condiciones estandarizadas para los convenios con los
prestadores de servicios. La medición de los servicios prestados es informal y reactiva. Las prácticas dependen de la experiencia de los
individuos y del proveedor (por ejemplo, por demanda).

2 Repetible pero intuitiva cuando
El proceso de supervisión de los proveedores de servicios de terceros, de los riesgos asociados y de la prestación de servicios es
informal. Se utiliza un contrato pro-forma con términos y condiciones estándares del proveedor (por ejemplo, la descripción de
servicios que se prestarán). Los reportes sobre los servicios existen, pero no apoyan los objetivos del negocio.

3 Proceso definido cuando
Hay procedimientos bien documentados para controlar los servicios de terceros con procesos claros para tratar y negociar con los
proveedores. Cuando se hace un acuerdo de prestación de servicios, la relación con el tercero es meramente contractual. La naturaleza de
los servicios a prestar se detalla en el contrato e incluye requerimientos legales, operacionales y de control. Se asigna la responsabilidad
de supervisar los servicios de terceros. Los términos contractuales se basan en formatos estandarizados. El riesgo del negocio asociado
con los servicios del tercero esta valorado y reportado.

4 Administrado y medible cuando
Se establecen criterios formales y estandarizados para definir los términos de un acuerdo, incluyendo alcance del trabajo,
servicios/entregables a suministrar, suposiciones, calendario, costos, acuerdos de facturación y responsabilidades. Se asignan las
responsabilidades para la administración del contrato y del proveedor. Las aptitudes, capacidades y riesgos del proveedor son
verificadas de forma continua. Los requerimientos del servicio están definidos y alineados con los objetivos del negocio. Existe un
proceso para comparar el desempeño contra los términos contractuales, lo cual proporciona información para evaluar los servicios
actuales y futuros del tercero. Se utilizan modelos de fijación de precios de transferencia en el proceso de adquisición. Todas las partes
involucradas tienen conocimiento de las expectativas del servicio, de los costos y de las etapas. Se acordaron los KPIs y KGIs para la
supervisión del servicio.

5 Optimizado cuando
Los contratos firmados con los terceros son revisados de forma periódica en intervalos predefinidos. La responsabilidad de
administrar a los proveedores y la calidad de los servicios prestados está asignada. Se monitorea el cumplimiento de las condiciones
operacionales, legales y de control y se implantan acciones correctivas. El tercero está sujeto a revisiones periódicas independientes y
se le retroalimenta sobre su desempeño para mejorar la prestación del servicio. Las mediciones varían como respuesta a los cambios en
las condiciones del negocio. Las mediciones ayudan a la detección temprana de problemas potenciales con los servicios de terceros. La
notificación completa y bien definida del cumplimiento de los niveles de servicio, está asociada con la compensación del tercero. La
gerencia ajusta el proceso de adquisición y monitoreo de servicios de terceros con base en los resultados de los KPIs y KGIs.





Entregar y dar soporte
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
Control Practices
Control Objectives
Value Drivers
Risk Drivers
GUIDANCE TO ACHIEVE CONTROL
OBJECTIVES FOR SUCCESSFUL
IT GOVERNANCE
2
ND
EDITION
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
DS—DELIVERAND SUPPORT
101
I T G O V E R N A N C E I N S T I T U T E
D
S
2
.
2

S
u
p
p
l
i
e
r

R
e
l
a
t
i
o
n
s
h
i
p

M
a
n
a
g
e
m
e
n
t

F
o
r
m
a
l
i
s
e

t
h
e

s
u
p
p
l
i
e
r

r
e
l
a
t
i
o
n
s
h
i
p

m
a
n
a
g
e
m
e
n
t

p
r
o
c
e
s
s

f
o
r

e
a
c
h

s
u
p
p
l
i
e
r
.

T
h
e
r
e
l
a
t
i
o
n
s
h
i
p

o
w
n
e
r
s

s
h
o
u
l
d

l
i
a
i
s
e

o
n

c
u
s
t
o
m
e
r

a
n
d

s
u
p
p
l
i
e
r

i
s
s
u
e
s

a
n
d

e
n
s
u
r
e

t
h
e
q
u
a
l
i
t
y

o
f

t
h
e

r
e
l
a
t
i
o
n
s
h
i
p

b
a
s
e
d

o
n

t
r
u
s
t

a
n
d

t
r
a
n
s
p
a
r
e
n
c
y

(
e
.
g
.
,

t
h
r
o
u
g
h

S
L
A
s
)
.
C
o
n
t
r
o
l

P
r
a
c
t
i
c
e
s
1
.

D
e
f
i
n
e

a
n
d

f
o
r
m
a
l
i
s
e

r
o
l
e
s

a
n
d

r
e
s
p
o
n
s
i
b
i
l
i
t
i
e
s

f
o
r

e
a
c
h

s
e
r
v
i
c
e

s
u
p
p
l
i
e
r
.
2
.

A
s
s
i
g
n

r
e
l
a
t
i
o
n
s
h
i
p

o
w
n
e
r
s

f
o
r

a
l
l

s
u
p
p
l
i
e
r
s

a
n
d

m
a
k
e

t
h
e
m

a
c
c
o
u
n
t
a
b
l
e

f
o
r

t
h
e

q
u
a
l
i
t
y

o
f

s
e
r
v
i
c
e
(
s
)

p
r
o
v
i
d
e
d
.
3
.

D
o
c
u
m
e
n
t

t
h
e

s
u
p
p
l
i
e
r

r
e
l
a
t
i
o
n
s
h
i
p

m
a
n
a
g
e
r
s

a
n
d

c
o
m
m
u
n
i
c
a
t
e

t
h
e

i
n
f
o
r
m
a
t
i
o
n

w
i
t
h
i
n

t
h
e

o
r
g
a
n
i
s
a
t
i
o
n
.
4
.

E
s
t
a
b
l
i
s
h

a
n
d

d
o
c
u
m
e
n
t

a

f
o
r
m
a
l

c
o
m
m
u
n
i
c
a
t
i
o
n

p
r
o
c
e
s
s

b
e
t
w
e
e
n

t
h
e

o
r
g
a
n
i
s
a
t
i
o
n

a
n
d

t
h
e

s
e
r
v
i
c
e

p
r
o
v
i
d
e
r
.

5
.

E
n
s
u
r
e

t
h
a
t

c
o
n
t
r
a
c
t
s

w
i
t
h

k
e
y

s
e
r
v
i
c
e

s
u
p
p
l
i
e
r
s

p
r
o
v
i
d
e

f
o
r

a

r
e
v
i
e
w

o
f

s
u
p
p
l
i
e
r

i
n
t
e
r
n
a
l

c
o
n
t
r
o
l
s

b
y

m
a
n
a
g
e
m
e
n
t

o
r

i
n
d
e
p
e
n
d
e
n
t

t
h
i
r
d

p
a
r
t
i
e
s
.
6
.

R
e
g
u
l
a
r
l
y

r
e
v
i
e
w

t
h
e

r
e
p
o
r
t
s

b
e
t
w
e
e
n

t
h
e

o
r
g
a
n
i
s
a
t
i
o
n

a
n
d

t
h
e

s
e
r
v
i
c
e

s
u
p
p
l
i
e
r
.
7
.

R
e
g
i
s
t
e
r

i
n
c
i
d
e
n
t
s

c
a
u
s
e
d

b
y

s
u
p
p
l
i
e
r
s

a
n
d

r
e
p
o
r
t

t
h
e
m

u
s
i
n
g

t
h
e

c
o
m
p
a
n
y

s

i
n
t
e
r
n
a
l

i
n
c
i
d
e
n
t

m
a
n
a
g
e
m
e
n
t

p
r
o
c
e
s
s
.
8
.

P
e
r
i
o
d
i
c
a
l
l
y

r
e
v
i
e
w

a
n
d

a
s
s
e
s
s

s
u
p
p
l
i
e
r

p
e
r
f
o
r
m
a
n
c
e

a
g
a
i
n
s
t

e
s
t
a
b
l
i
s
h
e
d

a
n
d

a
g
r
e
e
d
-
u
p
o
n

s
e
r
v
i
c
e

l
e
v
e
l
s
.

C
l
e
a
r
l
y

c
o
m
m
u
n
i
c
a
t
e

s
u
g
g
e
s
t
e
d

c
h
a
n
g
e
s

t
o

t
h
e

s
e
r
v
i
c
e

s
u
p
p
l
i
e
r
.
V
a
l
u
e

D
r
i
v
e
r
s
C
o
n
t
r
o
l

O
b
j
e
c
t
i
v
e


R
e
l
a
t
i
o
n
s
h
i
p
s

p
r
o
m
o
t
e
d

t
h
a
t

s
u
p
p
o
r
t
t
h
e

o
v
e
r
a
l
l

e
n
t
e
r
p
r
i
s
e

o
b
j
e
c
t
i
v
e
s

(
b
o
t
h
b
u
s
i
n
e
s
s

a
n
d

I
T
)


E
f
f
e
c
t
i
v
e

a
n
d

e
f
f
i
c
i
e
n
t

c
o
m
m
u
n
i
c
a
t
i
o
n
a
n
d

p
r
o
b
l
e
m

r
e
s
o
l
u
t
i
o
n


C
l
e
a
r

o
w
n
e
r
s
h
i
p

o
f

r
e
s
p
o
n
s
i
b
i
l
t
i
i
e
s
b
e
t
w
e
e
n

c
u
s
t
o
m
e
r

a
n
d

s
u
p
p
l
i
e
r
R
i
s
k

D
r
i
v
e
r
s


S
u
p
p
l
i
e
r

n
o
t

r
e
s
p
o
n
s
i
v
e

o
r

c
o
m
m
i
t
t
e
d
t
o

t
h
e

r
e
l
a
t
i
o
n
s
h
i
p


P
r
o
b
l
e
m
s

a
n
d

i
s
s
u
e
s

n
o
t

r
e
s
o
l
v
e
d


I
n
a
d
e
q
u
a
t
e

s
e
r
v
i
c
e

q
u
a
l
i
t
y
D
S
2

M
a
n
a
g
e

T
h
i
r
d
-
p
a
r
t
y

S
e
r
v
i
c
e
s
D
S
2
.
3

S
u
p
p
l
i
e
r

R
i
s
k

M
a
n
a
g
e
m
e
n
t

I
d
e
n
t
i
f
y

a
n
d

m
i
t
i
g
a
t
e

r
i
s
k
s

r
e
l
a
t
i
n
g

t
o

s
u
p
p
l
i
e
r
s

a
b
i
l
i
t
y

t
o

c
o
n
t
i
n
u
e

e
f
f
e
c
t
i
v
e
s
e
r
v
i
c
e

d
e
l
i
v
e
r
y

i
n

a

s
e
c
u
r
e

a
n
d

e
f
f
i
c
i
e
n
t

m
a
n
n
e
r

o
n

a

c
o
n
t
i
n
u
a
l

b
a
s
i
s
.

E
n
s
u
r
e
t
h
a
t

c
o
n
t
r
a
c
t
s

c
o
n
f
o
r
m

t
o

u
n
i
v
e
r
s
a
l

b
u
s
i
n
e
s
s

s
t
a
n
d
a
r
d
s

i
n

a
c
c
o
r
d
a
n
c
e

w
i
t
h

l
e
g
a
l
a
n
d

r
e
g
u
l
a
t
o
r
y

r
e
q
u
i
r
e
m
e
n
t
s
.

R
i
s
k

m
a
n
a
g
e
m
e
n
t

s
h
o
u
l
d

f
u
r
t
h
e
r

c
o
n
s
i
d
e
r

n
o
n
-
d
i
s
c
l
o
s
u
r
e

a
g
r
e
e
m
e
n
t
s

(
N
D
A
s
)
,

e
s
c
r
o
w

c
o
n
t
r
a
c
t
s
,

c
o
n
t
i
n
u
e
d

s
u
p
p
l
i
e
r

v
i
a
b
i
l
i
t
y
,
c
o
n
f
o
r
m
a
n
c
e

w
i
t
h

s
e
c
u
r
i
t
y

r
e
q
u
i
r
e
m
e
n
t
s
,

a
l
t
e
r
n
a
t
i
v
e

s
u
p
p
l
i
e
r
s
,

p
e
n
a
l
t
i
e
s

a
n
d
r
e
w
a
r
d
s
,

e
t
c
.
C
o
n
t
r
o
l

P
r
a
c
t
i
c
e
s
1
.

I
d
e
n
t
i
f
y

a
n
d

m
o
n
i
t
o
r

s
u
p
p
l
i
e
r

r
i
s
k
s

i
n

a
c
c
o
r
d
a
n
c
e

w
i
t
h

t
h
e

o
r
g
a
n
i
s
a
t
i
o
n

s

e
s
t
a
b
l
i
s
h
e
d

r
i
s
k

m
a
n
a
g
e
m
e
n
t

p
r
o
c
e
s
s
.
2
.

I
d
e
n
t
i
f
y

a
n
d

d
o
c
u
m
e
n
t

i
n

t
h
e

c
o
n
t
r
a
c
t

s
u
p
p
l
i
e
r

r
i
s
k
s

(
a
n
d

r
e
m
e
d
i
e
s
)

a
s
s
o
c
i
a
t
e
d

w
i
t
h

t
h
e

s
u
p
p
l
i
e
r

s

i
n
a
b
i
l
i
t
y

t
o

f
u
l
f
i
l

t
h
e

c
o
n
t
r
a
c
t
u
a
l

a
g
r
e
e
m
e
n
t
(
s
)
.

3
.

W
h
e
n

d
e
f
i
n
i
n
g

t
h
e

c
o
n
t
r
a
c
t
,

c
o
n
s
i
d
e
r

r
e
m
e
d
i
e
s

i
n
c
l
u
d
i
n
g

s
o
f
t
w
a
r
e

e
s
c
r
o
w

a
g
r
e
e
m
e
n
t
s
,

a
l
t
e
r
n
a
t
i
v
e

s
u
p
p
l
i
e
r
s

o
r

s
t
a
n
d
b
y

a
g
r
e
e
m
e
n
t
s

i
n

t
h
e

e
v
e
n
t

o
f

s
u
p
p
l
i
e
r

f
a
i
l
u
r
e
.
4
.

R
e
v
i
e
w

a
l
l

c
o
n
t
r
a
c
t
s

f
o
r

l
e
g
a
l

a
n
d

r
e
g
u
l
a
t
o
r
y

r
e
q
u
i
r
e
m
e
n
t
s
.

V
a
l
u
e

D
r
i
v
e
r
s
C
o
n
t
r
o
l

O
b
j
e
c
t
i
v
e


C
o
m
p
l
i
a
n
c
e

w
i
t
h

l
e
g
a
l

a
n
d

c
o
n
t
r
a
c
t
u
a
l
r
e
q
u
i
r
e
m
e
n
t
s


R
e
d
u
c
e
d

i
n
c
i
d
e
n
t
s

a
n
d

p
o
t
e
n
t
i
a
l

l
o
s
s
e
s


I
n
d
e
n
t
i
f
i
c
a
t
i
o
n

o
f

l
o
w
-
r
i
s
k
,

w
e
l
l
-
m
a
n
a
g
e
d

s
u
p
p
l
i
e
r
s
R
i
s
k

D
r
i
v
e
r
s


N
o
n
-
c
o
m
p
l
i
a
n
c
e

w
i
t
h

r
e
g
u
l
a
t
o
r
y

a
n
d
l
e
g
a
l

o
b
l
i
g
a
t
i
o
n
s


S
e
c
u
r
i
t
y

a
s

w
e
l
l

a
s

o
t
h
e
r

i
n
c
i
d
e
n
t
s


F
i
n
a
n
c
i
a
l

l
o
s
s
e
s

a
n
d

r
e
p
u
t
a
t
i
o
n
a
l
d
a
m
a
g
e

b
e
c
a
u
s
e

o
f

s
e
r
v
i
c
e
i
n
t
e
r
r
u
p
t
i
o
n
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
COBITCONTROLPRACTICES, 2
ND
EDITION
I T G O V E R N A N C E I N S T I T U T E
102
D
S
2

M
a
n
a
g
e

T
h
i
r
d
-
p
a
r
t
y

S
e
r
v
i
c
e
s

(
c
o
n
t
.
)
D
S
2
.
4

S
u
p
p
l
i
e
r

P
e
r
f
o
r
m
a
n
c
e

M
o
n
i
t
o
r
i
n
g

E
s
t
a
b
l
i
s
h

a

p
r
o
c
e
s
s

t
o

m
o
n
i
t
o
r

s
e
r
v
i
c
e

d
e
l
i
v
e
r
y

t
o

e
n
s
u
r
e

t
h
a
t

t
h
e

s
u
p
p
l
i
e
r

i
s
m
e
e
t
i
n
g

c
u
r
r
e
n
t

b
u
s
i
n
e
s
s

r
e
q
u
i
r
e
m
e
n
t
s

a
n
d

c
o
n
t
i
n
u
i
n
g

t
o

a
d
h
e
r
e

t
o

t
h
e

c
o
n
t
r
a
c
t
a
g
r
e
e
m
e
n
t
s

a
n
d

S
L
A
s
,

a
n
d

t
h
a
t

p
e
r
f
o
r
m
a
n
c
e

i
s

c
o
m
p
e
t
i
t
i
v
e

w
i
t
h

a
l
t
e
r
n
a
t
i
v
e
s
u
p
p
l
i
e
r
s

a
n
d

m
a
r
k
e
t

c
o
n
d
i
t
i
o
n
s
.
C
o
n
t
r
o
l

P
r
a
c
t
i
c
e
s
1
.

D
e
f
i
n
e

a
n
d

d
o
c
u
m
e
n
t

c
r
i
t
e
r
i
a

t
o

m
o
n
i
t
o
r

s
e
r
v
i
c
e

s
u
p
p
l
i
e
r
s

p
e
r
f
o
r
m
a
n
c
e
.
2
.

E
n
s
u
r
e

t
h
a
t

t
h
e

s
u
p
p
l
i
e
r

r
e
g
u
l
a
r
l
y

r
e
p
o
r
t
s

o
n

a
g
r
e
e
d
-
u
p
o
n

p
e
r
f
o
r
m
a
n
c
e

c
r
i
t
e
r
i
a
.

3
.

I
n
v
i
t
e

u
s
e
r
s

t
o

p
r
o
v
i
d
e

f
e
e
d
b
a
c
k

f
o
r

a
s
s
e
s
s
m
e
n
t

o
f

s
u
p
p
l
i
e
r

p
e
r
f
o
r
m
a
n
c
e

a
n
d

q
u
a
l
i
t
y

o
f

s
e
r
v
i
c
e
.

4
.

E
v
a
l
u
a
t
e

t
h
e

c
o
s
t
s

a
n
d

m
a
r
k
e
t

c
o
n
d
i
t
i
o
n
s

f
o
r

t
h
e

s
e
r
v
i
c
e

l
e
v
e
l
s

b
y

b
e
n
c
h
m
a
r
k
i
n
g

a
g
a
i
n
s
t

a
l
t
e
r
n
a
t
i
v
e

s
u
p
p
l
i
e
r
s
,

a
n
d

i
d
e
n
t
i
f
y

p
o
t
e
n
t
i
a
l

f
o
r

i
m
p
r
o
v
e
m
e
n
t
.
5
.

D
e
f
i
n
e

a
r
b
i
t
r
a
t
i
o
n

p
r
o
c
e
d
u
r
e
s

t
o

c
o
n
s
u
l
t

a
n

a
r
b
i
t
r
a
t
i
o
n

c
o
m
m
i
t
t
e
e

b
e
f
o
r
e

b
r
i
n
g
i
n
g

a
n

a
c
t
i
o
n
.
V
a
l
u
e

D
r
i
v
e
r
s
C
o
n
t
r
o
l

O
b
j
e
c
t
i
v
e


T
i
m
e
l
y

d
e
t
e
c
t
i
o
n

o
f

s
e
r
v
i
c
e

l
e
v
e
l

n
o
n
-
c
o
m
p
l
i
a
n
c
e


B
e
n
e
f
i
t
s

o
f

s
e
r
v
i
c
e

c
o
n
t
r
a
c
t

r
e
a
l
i
s
e
d


C
o
s
t
s

c
o
n
t
r
o
l
l
e
d


C
o
s
t
l
y

d
i
s
p
u
t
e
s

a
n
d

p
o
s
s
i
b
l
e

l
i
t
i
g
a
t
i
o
n
a
v
o
i
d
e
d
R
i
s
k

D
r
i
v
e
r
s


U
n
d
e
t
e
c
t
e
d

s
e
r
v
i
c
e

d
e
g
r
a
d
a
t
i
o
n


I
n
a
b
i
l
i
t
y

t
o

c
h
a
l
l
e
n
g
e

c
o
s
t
s

a
n
d

s
e
r
v
i
c
e
q
u
a
l
i
t
y


I
n
a
b
i
l
i
t
y

t
o

o
p
t
i
m
i
s
e

c
h
o
i
c
e

o
f
s
u
p
p
l
i
e
r
s
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
Need for IT Governance and Assurance
The COBIT
®
Framework
IT Assurance Approaches
How COBIT Supports IT Assurance Activities
USING COBIT
®
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
159
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
APPENDIX IV
D
S
2

M
a
n
a
g
e

T
h
i
r
d
-
p
a
r
t
y

S
e
r
v
i
c
e
s
T
h
e

n
e
e
d

t
o

a
s
s
u
r
e

t
h
a
t

s
e
r
v
i
c
e
s

p
r
o
v
i
d
e
d

b
y

t
h
i
r
d

p
a
r
t
i
e
s

(
s
u
p
p
l
i
e
r
s
,

v
e
n
d
o
r
s

a
n
d

p
a
r
t
n
e
r
s
)

m
e
e
t

b
u
s
i
n
e
s
s

r
e
q
u
i
r
e
m
e
n
t
s

r
e
q
u
i
r
e
s

a
n

e
f
f
e
c
t
i
v
e

t
h
i
r
d
-
p
a
r
t
y

m
a
n
a
g
e
m
e
n
t

p
r
o
c
e
s
s
.
T
h
i
s

p
r
o
c
e
s
s

i
s

a
c
c
o
m
p
l
i
s
h
e
d

b
y

c
l
e
a
r
l
y

d
e
f
i
n
i
n
g

t
h
e

r
o
l
e
s
,

r
e
s
p
o
n
s
i
b
i
l
i
t
i
e
s

a
n
d

e
x
p
e
c
t
a
t
i
o
n
s

i
n

t
h
i
r
d
-
p
a
r
t
y

a
g
r
e
e
m
e
n
t
s

a
s

w
e
l
l

a
s

r
e
v
i
e
w
i
n
g

a
n
d

m
o
n
i
t
o
r
i
n
g

s
u
c
h

a
g
r
e
e
m
e
n
t
s
f
o
r

e
f
f
e
c
t
i
v
e
n
e
s
s

a
n
d

c
o
m
p
l
i
a
n
c
e
.

E
f
f
e
c
t
i
v
e

m
a
n
a
g
e
m
e
n
t

o
f

t
h
i
r
d
-
p
a
r
t
y

s
e
r
v
i
c
e
s

m
i
n
i
m
i
s
e
s

t
h
e

b
u
s
i
n
e
s
s

r
i
s
k

a
s
s
o
c
i
a
t
e
d

w
i
t
h

n
o
n
-
p
e
r
f
o
r
m
i
n
g

s
u
p
p
l
i
e
r
s
.
T
e
s
t

t
h
e

C
o
n
t
r
o
l

D
e
s
i
g
n


I
n
s
p
e
c
t

s
e
r
v
i
c
e

s
u
p
p
l
i
e
r

d
o
c
u
m
e
n
t
a
t
i
o
n

f
o
r

e
v
i
d
e
n
c
e

o
f

f
o
r
m
a
l
i
s
e
d

r
o
l
e
s

a
n
d

r
e
s
p
o
n
s
i
b
i
l
i
t
i
e
s
,

a
n
d

d
e
t
e
r
m
i
n
e

i
f

s
u
p
p
l
i
e
r

m
a
n
a
g
e
m
e
n
t

r
o
l
e
s

h
a
v
e

b
e
e
n

d
o
c
u
m
e
n
t
e
d

a
n
d
c
o
m
m
u
n
i
c
a
t
e
d

w
i
t
h
i
n

t
h
e

o
r
g
a
n
i
s
a
t
i
o
n
.


D
e
t
e
r
m
i
n
e

i
f

p
o
l
i
c
i
e
s

e
x
i
s
t

t
o

a
d
d
r
e
s
s

t
h
e

n
e
e
d

f
o
r

f
o
r
m
a
l

c
o
n
t
r
a
c
t
s
,

d
e
f
i
n
i
t
i
o
n

o
f

c
o
n
t
e
n
t

o
f

c
o
n
t
r
a
c
t
s
,

a
n
d

a
s
s
i
g
n
m
e
n
t

o
f

o
w
n
e
r

o
r

r
e
l
a
t
i
o
n
s
h
i
p

m
a
n
a
g
e
r

r
e
s
p
o
n
s
i
b
i
l
i
t
i
e
s
f
o
r

e
n
s
u
r
i
n
g

t
h
a
t

c
o
n
t
r
a
c
t
s

a
r
e

c
r
e
a
t
e
d
,

m
a
i
n
t
a
i
n
e
d
,

m
o
n
i
t
o
r
e
d

a
n
d

r
e
n
e
g
o
t
i
a
t
e
d

a
s

r
e
q
u
i
r
e
d
.


A
s
s
e
s
s

i
f

t
h
e

a
s
s
i
g
n
m
e
n
t

o
f

s
u
p
p
l
i
e
r

m
a
n
a
g
e
m
e
n
t

r
o
l
e
s

i
s

r
e
a
s
o
n
a
b
l
e

a
n
d

b
a
s
e
d

o
n

t
h
e

l
e
v
e
l

a
n
d

t
e
c
h
n
i
c
a
l

s
k
i
l
l
s

r
e
q
u
i
r
e
d

t
o

e
f
f
e
c
t
i
v
e
l
y

m
a
n
a
g
e

t
h
e

r
e
l
a
t
i
o
n
s
h
i
p
.
T
e
s
t

t
h
e

C
o
n
t
r
o
l

D
e
s
i
g
n


E
n
q
u
i
r
e

w
h
e
t
h
e
r

a
n
d

c
o
n
f
i
r
m

t
h
a
t

a

r
e
g
i
s
t
e
r

o
f

s
u
p
p
l
i
e
r

r
e
l
a
t
i
o
n
s
h
i
p
s

i
s

m
a
i
n
t
a
i
n
e
d
.


O
b
t
a
i
n

a
n
d

i
n
s
p
e
c
t

s
u
p
p
l
i
e
r

r
e
l
a
t
i
o
n
s
h
i
p

c
r
i
t
e
r
i
a

f
o
r

r
e
a
s
o
n
a
b
l
e
n
e
s
s

a
n
d

c
o
m
p
l
e
t
e
n
e
s
s

o
f

c
a
t
e
g
o
r
i
s
a
t
i
o
n
s

b
y

s
u
p
p
l
i
e
r

t
y
p
e
,

s
i
g
n
i
f
i
c
a
n
c
e

a
n
d

c
r
i
t
i
c
a
l
i
t
y
.


D
e
t
e
r
m
i
n
e

i
f

t
h
e

s
u
p
p
l
i
e
r

c
a
t
e
g
o
r
i
s
a
t
i
o
n

s
c
h
e
m
e

i
s

s
u
f
f
i
c
i
e
n
t
l
y

d
e
t
a
i
l
e
d

t
o

c
a
t
e
g
o
r
i
s
e

a
l
l

s
u
p
p
l
i
e
r

r
e
l
a
t
i
o
n
s
h
i
p
s

b
a
s
e
d

o
n

t
h
e

n
a
t
u
r
e

o
f

c
o
n
t
r
a
c
t
e
d

s
e
r
v
i
c
e
s
.


V
e
r
i
f
y

w
h
e
t
h
e
r

p
a
s
t

h
i
s
t
o
r
i
e
s

o
n

s
u
p
p
l
i
e
r

s
e
l
e
c
t
i
o
n
/
r
e
j
e
c
t
i
o
n

a
r
e

k
e
p
t

a
n
d

u
s
e
d
.


I
n
s
p
e
c
t

t
h
e

r
e
g
i
s
t
e
r

o
f

s
u
p
p
l
i
e
r

r
e
l
a
t
i
o
n
s
h
i
p
s

t
o

e
n
s
u
r
e

t
h
a
t

i
t

i
s

u
p

t
o

d
a
t
e
,

a
p
p
r
o
p
r
i
a
t
e
l
y

c
a
t
e
g
o
r
i
s
e
d

a
n
d

s
u
f
f
i
c
i
e
n
t
l
y

d
e
t
a
i
l
e
d

t
o

e
n
s
u
r
e

t
h
a
t

i
t

p
r
o
v
i
d
e
s

a

f
o
u
n
d
a
t
i
o
n

f
o
r
m
o
n
i
t
o
r
i
n
g

o
f

e
x
i
s
t
i
n
g

s
u
p
p
l
i
e
r
s
.


I
n
s
p
e
c
t

a

r
e
p
r
e
s
e
n
t
a
t
i
v
e

s
a
m
p
l
e

o
f

s
u
p
p
l
i
e
r

c
o
n
t
r
a
c
t
s
,

S
L
A
s

a
n
d

o
t
h
e
r

d
o
c
u
m
e
n
t
a
t
i
o
n

t
o

e
n
s
u
r
e

t
h
a
t

t
h
e
y

c
o
r
r
e
s
p
o
n
d

w
i
t
h

t
h
e

s
u
p
p
l
i
e
r

r
e
g
i
s
t
e
r
.
D
S
2
.
1

I
d
e
n
t
i
f
i
c
a
t
i
o
n

o
f

A
l
l

S
u
p
p
l
i
e
r

R
e
l
a
t
i
o
n
s
h
i
p
s

I
d
e
n
t
i
f
y

a
l
l

s
u
p
p
l
i
e
r

s
e
r
v
i
c
e
s
,

a
n
d

c
a
t
e
g
o
r
i
s
e

t
h
e
m

a
c
c
o
r
d
i
n
g

t
o

s
u
p
p
l
i
e
r

t
y
p
e
,
s
i
g
n
i
f
i
c
a
n
c
e

a
n
d

c
r
i
t
i
c
a
l
i
t
y
.

M
a
i
n
t
a
i
n

f
o
r
m
a
l

d
o
c
u
m
e
n
t
a
t
i
o
n

o
f

t
e
c
h
n
i
c
a
l

a
n
d
o
r
g
a
n
i
s
a
t
i
o
n
a
l

r
e
l
a
t
i
o
n
s
h
i
p
s

c
o
v
e
r
i
n
g

t
h
e

r
o
l
e
s

a
n
d

r
e
s
p
o
n
s
i
b
i
l
i
t
i
e
s
,

g
o
a
l
s
,
e
x
p
e
c
t
e
d

d
e
l
i
v
e
r
a
b
l
e
s
,

a
n
d

c
r
e
d
e
n
t
i
a
l
s

o
f

r
e
p
r
e
s
e
n
t
a
t
i
v
e
s

o
f

t
h
e
s
e

s
u
p
p
l
i
e
r
s
.
V
a
l
u
e

D
r
i
v
e
r
s
C
o
n
t
r
o
l

O
b
j
e
c
t
i
v
e


C
e
n
t
r
a
l
i
s
e
d

s
e
r
v
i
c
e

s
u
p
p
l
i
e
r

o
v
e
r
v
i
e
w
t
o

s
u
p
p
o
r
t

s
u
p
p
l
i
e
r

d
e
c
i
s
i
o
n

m
a
k
i
n
g


P
r
e
f
e
r
r
e
d

s
u
p
p
l
i
e
r
s

i
d
e
n
t
i
f
i
e
d

f
o
r
f
u
t
u
r
e

a
c
q
u
i
s
i
t
i
o
n
s


S
u
p
p
l
i
e
r

m
a
n
a
g
e
m
e
n
t

r
e
s
o
u
r
c
e
s
f
o
c
u
s
e
d

o
n

c
r
i
t
i
c
a
l

s
u
p
p
l
i
e
r
s
R
i
s
k

D
r
i
v
e
r
s


U
n
i
d
e
n
t
i
f
i
e
d

s
i
g
n
i
f
i
c
a
n
t

a
n
d

c
r
i
t
i
c
a
l
s
u
p
p
l
i
e
r
s


I
n
e
f
f
i
c
i
e
n
t

a
n
d

i
n
e
f
f
e
c
t
i
v
e

u
s
a
g
e

o
f
s
u
p
p
l
i
e
r

m
a
n
a
g
e
m
e
n
t

r
e
s
o
u
r
c
e
s


U
n
c
l
e
a
r

r
o
l
e
s

a
n
d

r
e
s
p
o
n
s
i
b
i
l
i
t
i
e
s
l
e
a
d
i
n
g

t
o

m
i
s
c
o
m
m
u
n
i
c
a
t
i
o
n
s
,

p
o
o
r
s
e
r
v
i
c
e
s

a
n
d

i
n
c
r
e
a
s
e
d

c
o
s
t
s
D
S
2
.
2

S
u
p
p
l
i
e
r

R
e
l
a
t
i
o
n
s
h
i
p

M
a
n
a
g
e
m
e
n
t

F
o
r
m
a
l
i
s
e

t
h
e

s
u
p
p
l
i
e
r

r
e
l
a
t
i
o
n
s
h
i
p

m
a
n
a
g
e
m
e
n
t

p
r
o
c
e
s
s

f
o
r

e
a
c
h

s
u
p
p
l
i
e
r
.

T
h
e
r
e
l
a
t
i
o
n
s
h
i
p

o
w
n
e
r
s

s
h
o
u
l
d

l
i
a
i
s
e

o
n

c
u
s
t
o
m
e
r

a
n
d

s
u
p
p
l
i
e
r

i
s
s
u
e
s

a
n
d

e
n
s
u
r
e

t
h
e
q
u
a
l
i
t
y

o
f

t
h
e

r
e
l
a
t
i
o
n
s
h
i
p

b
a
s
e
d

o
n

t
r
u
s
t

a
n
d

t
r
a
n
s
p
a
r
e
n
c
y

(
e
.
g
.
,

t
h
r
o
u
g
h

S
L
A
s
)
.
V
a
l
u
e

D
r
i
v
e
r
s
C
o
n
t
r
o
l

O
b
j
e
c
t
i
v
e


R
e
l
a
t
i
o
n
s
h
i
p
s

p
r
o
m
o
t
e
d

t
h
a
t

s
u
p
p
o
r
t
t
h
e

o
v
e
r
a
l
l

e
n
t
e
r
p
r
i
s
e

o
b
j
e
c
t
i
v
e
s

(
b
o
t
h
b
u
s
i
n
e
s
s

a
n
d

I
T
)


E
f
f
e
c
t
i
v
e

a
n
d

e
f
f
i
c
i
e
n
t

c
o
m
m
u
n
i
c
a
t
i
o
n
a
n
d

p
r
o
b
l
e
m

r
e
s
o
l
u
t
i
o
n


C
l
e
a
r

o
w
n
e
r
s
h
i
p

o
f

r
e
s
p
o
n
s
i
b
i
l
i
t
i
e
s
b
e
t
w
e
e
n

c
u
s
t
o
m
e
r

a
n
d

s
u
p
p
l
i
e
r
R
i
s
k

D
r
i
v
e
r
s


S
u
p
p
l
i
e
r

n
o
t

r
e
s
p
o
n
s
i
v
e

o
r

c
o
m
m
i
t
t
e
d
t
o

t
h
e

r
e
l
a
t
i
o
n
s
h
i
p


P
r
o
b
l
e
m
s

a
n
d

i
s
s
u
e
s

n
o
t

r
e
s
o
l
v
e
d


I
n
a
d
e
q
u
a
t
e

s
e
r
v
i
c
e

q
u
a
l
i
t
y
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
ITASSURANCE GUIDE: USINGCOBIT
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
160
T
e
s
t

t
h
e

C
o
n
t
r
o
l

D
e
s
i
g
n


E
n
q
u
i
r
e

w
h
e
t
h
e
r

r
i
s
k
s

a
s
s
o
c
i
a
t
e
d

w
i
t
h

t
h
e

i
n
a
b
i
l
i
t
y

t
o

f
u
l
f
i
l

t
h
e

s
u
p
p
l
i
e
r

c
o
n
t
r
a
c
t
s

a
r
e

d
e
f
i
n
e
d
.


E
n
q
u
i
r
e

w
h
e
t
h
e
r

r
e
m
e
d
i
e
s

w
e
r
e

c
o
n
s
i
d
e
r
e
d

w
h
e
n

d
e
f
i
n
i
n
g

t
h
e

s
u
p
p
l
i
e
r

c
o
n
t
r
a
c
t
.


I
n
s
p
e
c
t

c
o
n
t
r
a
c
t

d
o
c
u
m
e
n
t
a
t
i
o
n

f
o
r

e
v
i
d
e
n
c
e

o
f

r
e
v
i
e
w
.


E
n
q
u
i
r
e

o
f

k
e
y

s
t
a
f
f

m
e
m
b
e
r
s

w
h
e
t
h
e
r

a

r
i
s
k

m
a
n
a
g
e
m
e
n
t

p
r
o
c
e
s
s

e
x
i
s
t
s

t
o

i
d
e
n
t
i
f
y

a
n
d

m
o
n
i
t
o
r

s
u
p
p
l
i
e
r

r
i
s
k
.


D
e
t
e
r
m
i
n
e

i
f

p
o
l
i
c
i
e
s

e
x
i
s
t

r
e
q
u
i
r
i
n
g

i
n
d
e
p
e
n
d
e
n
c
e

w
i
t
h
i
n

t
h
e

v
e
n
d
o
r

s
o
u
r
c
i
n
g

a
n
d

s
e
l
e
c
t
i
o
n

p
r
o
c
e
s
s
,

a
n
d

b
e
t
w
e
e
n

v
e
n
d
o
r

a
n
d

m
a
n
a
g
e
m
e
n
t

p
e
r
s
o
n
n
e
l

w
i
t
h
i
n

t
h
e
o
r
g
a
n
i
s
a
t
i
o
n
.
T
e
s
t

t
h
e

C
o
n
t
r
o
l

D
e
s
i
g
n


S
e
l
e
c
t

a

s
a
m
p
l
e

o
f

s
u
p
p
l
i
e
r

i
n
v
o
i
c
e
s
,

d
e
t
e
r
m
i
n
e

i
f

t
h
e
y

i
d
e
n
t
i
f
y

c
h
a
r
g
e
s

f
o
r

c
o
n
t
r
a
c
t
e
d

s
e
r
v
i
c
e
s
,

a
s

s
p
e
c
i
f
i
e
d

w
i
t
h
i
n

s
e
r
v
i
c
e

c
o
n
t
r
a
c
t
s
,

a
n
d

a
s
s
e
s
s

t
h
e

r
e
a
s
o
n
a
b
l
e
n
e
s
s

o
f
c
h
a
r
g
e
s

c
o
m
p
a
r
e
d

t
o

v
a
r
i
o
u
s

i
n
t
e
r
n
a
l
,

e
x
t
e
r
n
a
l

a
n
d

i
n
d
u
s
t
r
y

c
o
m
p
a
r
a
b
l
e

p
e
r
f
o
r
m
a
n
c
e
.


I
n
s
p
e
c
t

a

s
a
m
p
l
e

o
f

s
u
p
p
l
i
e
r

s
e
r
v
i
c
e

r
e
p
o
r
t
s

t
o

d
e
t
e
r
m
i
n
e

i
f

t
h
e

s
u
p
p
l
i
e
r

r
e
g
u
l
a
r
l
y

r
e
p
o
r
t
s

o
n

a
g
r
e
e
d
-
u
p
o
n

p
e
r
f
o
r
m
a
n
c
e

c
r
i
t
e
r
i
a

a
n
d

i
f

p
e
r
f
o
r
m
a
n
c
e

r
e
p
o
r
t
i
n
g

i
s

o
b
j
e
c
t
i
v
e
a
n
d

m
e
a
s
u
r
a
b
l
e

a
n
d

i
n

a
l
i
g
n
m
e
n
t

w
i
t
h

d
e
f
i
n
e
d

S
L
A
s

a
n
d

t
h
e

s
u
p
p
l
i
e
r

c
o
n
t
r
a
c
t
.
D
S
2
.
3

S
u
p
p
l
i
e
r

R
i
s
k

M
a
n
a
g
e
m
e
n
t

I
d
e
n
t
i
f
y

a
n
d

m
i
t
i
g
a
t
e

r
i
s
k
s

r
e
l
a
t
i
n
g

t
o

s
u
p
p
l
i
e
r
s

a
b
i
l
i
t
y

t
o

c
o
n
t
i
n
u
e

e
f
f
e
c
t
i
v
e
s
e
r
v
i
c
e

d
e
l
i
v
e
r
y

i
n

a

s
e
c
u
r
e

a
n
d

e
f
f
i
c
i
e
n
t

m
a
n
n
e
r

o
n

a

c
o
n
t
i
n
u
a
l

b
a
s
i
s
.

E
n
s
u
r
e
t
h
a
t

c
o
n
t
r
a
c
t
s

c
o
n
f
o
r
m

t
o

u
n
i
v
e
r
s
a
l

b
u
s
i
n
e
s
s

s
t
a
n
d
a
r
d
s

i
n

a
c
c
o
r
d
a
n
c
e

w
i
t
h

l
e
g
a
l
a
n
d

r
e
g
u
l
a
t
o
r
y

r
e
q
u
i
r
e
m
e
n
t
s
.

R
i
s
k

m
a
n
a
g
e
m
e
n
t

s
h
o
u
l
d

f
u
r
t
h
e
r

c
o
n
s
i
d
e
r

n
o
n
-
d
i
s
c
l
o
s
u
r
e

a
g
r
e
e
m
e
n
t
s

(
N
D
A
s
)
,

e
s
c
r
o
w

c
o
n
t
r
a
c
t
s
,

c
o
n
t
i
n
u
e
d

s
u
p
p
l
i
e
r

v
i
a
b
i
l
i
t
y
,
c
o
n
f
o
r
m
a
n
c
e

w
i
t
h

s
e
c
u
r
i
t
y

r
e
q
u
i
r
e
m
e
n
t
s
,

a
l
t
e
r
n
a
t
i
v
e

s
u
p
p
l
i
e
r
s
,

p
e
n
a
l
t
i
e
s

a
n
d
r
e
w
a
r
d
s
,

e
t
c
.
V
a
l
u
e

D
r
i
v
e
r
s
C
o
n
t
r
o
l

O
b
j
e
c
t
i
v
e


C
o
m
p
l
i
a
n
c
e

w
i
t
h

l
e
g
a
l

a
n
d

c
o
n
t
r
a
c
t
u
a
l
r
e
q
u
i
r
e
m
e
n
t
s


R
e
d
u
c
e
d

i
n
c
i
d
e
n
t
s

a
n
d

p
o
t
e
n
t
i
a
l

l
o
s
s
e
s


I
d
e
n
t
i
f
i
c
a
t
i
o
n

o
f

l
o
w
-
r
i
s
k
,

w
e
l
l
-
m
a
n
a
g
e
d

s
u
p
p
l
i
e
r
s
R
i
s
k

D
r
i
v
e
r
s


N
o
n
-
c
o
m
p
l
i
a
n
c
e

w
i
t
h

r
e
g
u
l
a
t
o
r
y

a
n
d
l
e
g
a
l

o
b
l
i
g
a
t
i
o
n
s


S
e
c
u
r
i
t
y

a
s

w
e
l
l

a
s

o
t
h
e
r

i
n
c
i
d
e
n
t
s


F
i
n
a
n
c
i
a
l

l
o
s
s
e
s

a
n
d

r
e
p
u
t
a
t
i
o
n
a
l
d
a
m
a
g
e

b
e
c
a
u
s
e

o
f

s
e
r
v
i
c
e
i
n
t
e
r
r
u
p
t
i
o
n
D
S
2

M
a
n
a
g
e

T
h
i
r
d
-
p
a
r
t
y

S
e
r
v
i
c
e
s

(
c
o
n
t
.
)
D
S
2
.
4

S
u
p
p
l
i
e
r

P
e
r
f
o
r
m
a
n
c
e

M
o
n
i
t
o
r
i
n
g

E
s
t
a
b
l
i
s
h

a

p
r
o
c
e
s
s

t
o

m
o
n
i
t
o
r

s
e
r
v
i
c
e

d
e
l
i
v
e
r
y

t
o

e
n
s
u
r
e

t
h
a
t

t
h
e

s
u
p
p
l
i
e
r

i
s
m
e
e
t
i
n
g

c
u
r
r
e
n
t

b
u
s
i
n
e
s
s

r
e
q
u
i
r
e
m
e
n
t
s

a
n
d

c
o
n
t
i
n
u
i
n
g

t
o

a
d
h
e
r
e

t
o

t
h
e

c
o
n
t
r
a
c
t
a
g
r
e
e
m
e
n
t
s

a
n
d

S
L
A
s
,

a
n
d

t
h
a
t

p
e
r
f
o
r
m
a
n
c
e

i
s

c
o
m
p
e
t
i
t
i
v
e

w
i
t
h

a
l
t
e
r
n
a
t
i
v
e
s
u
p
p
l
i
e
r
s

a
n
d

m
a
r
k
e
t

c
o
n
d
i
t
i
o
n
s
.
V
a
l
u
e

D
r
i
v
e
r
s
C
o
n
t
r
o
l

O
b
j
e
c
t
i
v
e


T
i
m
e
l
y

d
e
t
e
c
t
i
o
n

o
f

s
e
r
v
i
c
e

l
e
v
e
l

n
o
n
-
c
o
m
p
l
i
a
n
c
e


B
e
n
e
f
i
t
s

o
f

s
e
r
v
i
c
e

c
o
n
t
r
a
c
t

r
e
a
l
i
s
e
d


C
o
s
t
s

c
o
n
t
r
o
l
l
e
d


C
o
s
t
l
y

d
i
s
p
u
t
e
s

a
n
d

p
o
s
s
i
b
l
e

l
i
t
i
g
a
t
i
o
n
a
v
o
i
d
e
d
R
i
s
k

D
r
i
v
e
r
s


U
n
d
e
t
e
c
t
e
d

s
e
r
v
i
c
e

d
e
g
r
a
d
a
t
i
o
n


I
n
a
b
i
l
i
t
y

t
o

c
h
a
l
l
e
n
g
e

c
o
s
t
s

a
n
d

s
e
r
v
i
c
e
q
u
a
l
i
t
y


I
n
a
b
i
l
i
t
y

t
o

o
p
t
i
m
i
s
e

c
h
o
i
c
e

o
f
s
u
p
p
l
i
e
r
s
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
161
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
APPENDIX IV
Take the following steps to test the outcome of the control objectives:
• For a sample of suppliers, assess if supplier records are aligned to the defined catogorisation scheme used to identify and
categorise all supplier relationships.
• Obtain and validate the list of supplier relationship criteria for completeness, and review suppliers’ records against the
catogorisation scheme used to identify and categorise all supplier relationships. Assess if supplier type, significance and criticality
of services provided have been documented.
• Obtain a register of suppliers, and verify the accuracy of data through inspection of a sample of service contracts.
• Obtain a register of suppliers, and verify the accuracy of data. Consideration should be given to organisational changes or recent
changes in the IT landscape that would require changes in the supplier relationship criteria.
• Determine if supplier documentation is sufficiently detailed to identify methods of communication, prioritisation of services and
escalation procedures, minimum service levels, and operational objectives.
• Ascertain if documentation clearly delineates responsibilities between the service provider and the user organisation.
• Determine if service supplier documentation is centrally managed and maintained and if a process exists for the periodic review
and updating of documents.
• Perform a detailed review of each third-party contract to determine the existence of qualitative and quantitative provisions
confirming obligations, including provisions for co-ordinating and communicating the relationship between the provider and user
of information services.
• Determine if policies exist for management’s periodic review of service supplier reporting, and select a sample of supplier reports
for evidence of management’s review.
• Obtain and inspect service supplier incident reports for existence, and determine if incidents were categorised and escalated
according to agreed-upon levels of severity and if they were tracked and communicated within the organisation until resolved.
Reported incidents should include communication to supplier management and users of the services.
• Verify that goals and expected service levels are periodically reviewed to ensure that they continue to support current business
requirements and that suggested changes are communicated clearly to service suppliers.
• Inspect the supplier register for assignment of a relationship manager, and obtain and inspect evidence of a service supplier
communication process.
• Obtain and review contracts for existence of clauses relating to third-party reviews, and determine if management has obtained and
reviewed reports from such reviews.
• For a sample of suppliers, inspect available documentation to determine if supplier risk has been considered and if identified risk
has been addressed/mitigated.
• For a sample of supplier relationships, determine if the following have been addressed within the supplier contract:
– Security requirements
– Non-disclosure guarantees
– Right to access and right to audit
– Formal management and legal approval
– Legal entity providing services
– Services provided
– SLAs, both qualitative and quantitative
– Cost of services and frequency of payment for services
– Resolution of problem process
– Penalties for non-performance
– Dissolution process
– Modification process
– Reporting of service—content, frequency and distribution
– Roles between contracting parties during the life of the contract
– Continuity assurances that services will be provided by the vendor
– Communications process and frequency between the user of services and provider
– Duration of contract
– Level of access provided to vendor
– Regulatory requirements
• For a sample of suppliers, determine if services have been assessed for criticality to the organisation, and determine if continuity of
services has been addressed within the supplier contract, including contingency planning by the supplier, to ensure continuous
service to the organisation.
• For a sample of supplier relationships, determine if legal counsel and management approved the supplier contracts.
• Select a sample of supplier invoices, determine if they identify charges for contracted services, as specified within service
contracts, and assess the reasonableness of charges compared to various internal, external and industry comparable performance.
• Inspect a sample of supplier service reports to determine if the supplier regularly reports on agreed-upon performance criteria and
if performance reporting is objective, measurable and in alignment with defined SLAs and the supplier contract.
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
ITASSURANCE GUIDE: USINGCOBIT
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
162
Take the following steps to document the impact of the control weaknesses:
• Through inquiry of user and IT management and benchmarking of the organisation to similarly sized organisations and
organisations within the same industry, identify any supplier relationships that have been excluded from the supplier register.
Consider the following supplier relationships:
– Private branch exchange (PBX) suppliers
– Paper and form suppliers
– Maintenance support suppliers
– Offsite data storage and hot-site services providers
– Service organisations providing data processing (e.g., ASP, co-location)
– External software developers and quality assurance
• Inquire of supplier management to ascertain if they are knowledgeable of the nature of the service supplier relationship and
contracted services.
• Inspect a sample of service supplier billings for out-of-scope billings, and determine the involvement of supplier management in
reviewing and approving the overage.
• For a sample of service suppliers, obtain the supplier’s reported performance metrics, and review for deviations from agreed-upon
performance objectives. Determine if supplier management was aware of any deviations and the reasonableness of actions taken
for deviation (e.g., establishment of action plan, service fee penalties for non-performance).
• For a sample of supplier relationships, determine if the level of services compares to the stated contractual obligations. For changes
in the supplier relationships, determine if the risk assessments has been updated and if the supplier contract has been appropriately
modified.
• Inspect a sample of supplier-reported performance metrics, and identify where performance objectives have not consistently been
attained.
• Determine if management has identified and assessed the performance failures, and if an assessment has been performed,
re-evaluate the relationship or evaluate the need for modifying the relationship.
• For supplier relationships with the greatest impact on the organisation, determine if contingency plans exist for the recovery or
secondary sourcing of contracted services.
• Determine the availability of supplier third-party assessments (e.g., SAS No. 70, ISA 402 or attestation reports) or audit reports
and whether management has received and reviewed the reports. For reported control deficiencies (i.e., report qualifications,
testing exceptions), determine if management has discussed the deficiencies with the supplier and if an action plan has been
implemented. Through review of past or subsequent reports, determine if the supplier promptly remediates control deficiencies.
• Determine if key suppliers are included in the annual risk assessment and audit planning process.
• Inspect a sample of supplier-reported performance metrics, and identify where performance objectives have not consistently been
attained.
• Determine if management has identified and assessed the performance failures and if corrective action and a process for ongoing
monitoring has been implemented.
• For a sample of service suppliers, obtain the supplier’s reported performance metrics, and review them for deviations from
agreed-upon performance objectives.
• Determine if supplier management is aware of the deviation and the reasonableness of actions taken (e.g., establishment of action
plan, service fee penalties for non-performance).
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
®

La Misión de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos de con-
trol en tecnología de información con autoridad, actualizados, de carácter in-
ternacional y aceptados generalmente para el uso cotidiano de gerentes de
empresas y auditores.
COBIT

DIRECTRICES DE AUDITORIA

Julio de 2000
3a Edición

Emitido por el Comité Directivo de COBIT y
El IT Governance Institute
TM

Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
IT GOVERNANCE INSTITUTE 130
D DIRECTRICES IRECTRICES DE DE A AUDITORIA UDITORIA
OBJETIVOS DE CONTROL DE ALTO NIVEL
ENTREGA DE SERVICIOS Y SOPORTE
DS2
S S S S S P P
e
f
e
c
t
i
v
i
d
a
d

e
f
i
c
i
e
n
c
i
a

i
n
t
e
g
r
i
d
a
d

d
i
s
p
o
n
i
b
i
l
i
d
a
d

c
u
m
p
l
i
m
i
e
n
t
o

c
o
n
f
i
d
e
n
c
i
a
l
i
d
a
d

Entrega &
Soporte
Planeación &
Organización
Adquisición &
Implementación
Monitoreo
3 3 3 3 3
g
e
n
t
e

a
p
l
i
c
a
c
i
o
n
e
s

t
e
c
n
o
l
o
g
í
a

i
n
s
t
a
l
a
c
i
o
n
e
s

d
a
t
o
s

c
o
n
f
i
a
b
i
l
i
d
a
d

Control sobre el proceso de TI de:

administración de servicios prestados por terceros

que satisface los requerimientos de negocio de:

asegurar que los roles y responsabilidades de las terceras partes estén
claramente definidas, que cumplan y continúen satisfaciendo los re-
querimientos

se hace posible a través de:

medidas de control dirigidas a la revisión y monitoreo de
acuerdos y procedimientos existentes, en cuanto a su efecti-
vidad y suficiencia, con respecto a las políticas de la organi-
zación

y toma en consideración:

x acuerdos de servicio con terceras partes
x Administración de contratos
x acuerdos de confidencialidad
x requerimientos legales y regulatorios
x monitoreo y reporte de la entrega de servicios
x Evaluación de riesgos de la empresa y de TI
x Recompensas y sanciones por el desempeño
x Contabilidad organizacional interna y externa
x Análisis de costos y de variaciones de los nive-
les de servicio

Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
IT GOVERNANCE INSTITUTE 131
D DIRECTRICES IRECTRICES DE DE A AUDITORIA UDITORIA
DS 2 ADMINISTRACIÓN DE SERVICIOS PRESTADOS POR TERCEROS
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
Obtener un entendimiento través de:
Entrevistas:
Director de Información
Presidencia de la función de servicios de información
Administrador de contrato/nivel de servicio de servicios de información
Administración de las operaciones de la función de servicios de información
Oficial de seguridad

Obteniendo:
Políticas y procedimientos generales para la organización asociadas con los servicios adquiridos y en particular, con
las relaciones con proveedores como terceras partes
Políticas y procedimientos de la función de servicios de información asociadas con: relaciones con terceras partes, pro-
cedimientos de selección de proveedores, contenido de los contratos de dichas relaciones, seguridad lógica y físi-
ca, mantenimiento de la calidad por parte de los proveedores, planeación de contingencias y outsourcing
Una lista de todas las relaciones actuales con terceras partes y de los contratos asociados con cada una
El reporte del nivel de servicio relacionado con las relaciones y servicios proporcionados por terceras partes
Las minutas de las reuniones en las que se discuten la revisión de los contratos, la evaluación del desempeño y la admi-
nistración de las relaciones
Los acuerdos de confidencialidad para todas las relaciones con terceras partes
Las listas de seguridad de acceso con los perfiles y recursos disponibles para los vendedores
OBJETIVOS DE CONTROL
1 Interfases con Proveedores
2 Relaciones de propietarios
3 Contratos con Terceros
4 Calificaciones de Terceros
5 Contratos con Fuentes Externas
6 Continuidad de Servicios
7 Relaciones de Seguridad
8 Monitoreo
Evaluar los controles:
Considerando sí:
Existen políticas y procedimientos de TI asociadas con las relaciones con terceras partes, y si éstas son consistentes
con las políticas generales de la organización
Existen políticas que consideran específicamente la necesidad de contratos, de una definición del contenido de los mis-
mos, del propietario o administrador de las relaciones responsable de asegurar la creación, mantenimiento, moni-
toreo y renegociación de los contratos
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
IT GOVERNANCE INSTITUTE 132
D DIRECTRICES IRECTRICES DE DE A AUDITORIA UDITORIA
Considerando si, continúa
Las interfaces están definidas para agentes independientes involucrados en la conducción del proyecto y demás partes
como los subcontratados.
Los contratos representan un registro completo de las relaciones con los proveedores como terceras partes
Los contratos están establecidos específicamente para la continuidad de los servicios, y que dichos contratos incluyen
una planeación de contingencias por parte del proveedor para asegurar la continuidad del servicio a los usuarios de
éstos
El contenido de los contratos incluye por lo menos lo siguiente:
x aprobación formal administrativa y legal
x entidad legal que proporciona los servicios
x servicios proporcionados
x acuerdos cualitativos y cuantitativos de nivel de servicio
x costo de los servicios y frecuencia de su pago
x proceso de solución de problemas
x sanciones por bajo desempeño
x proceso de disolución
x proceso de modificación
x reporte de servicio - contenido, frecuencia y distribución
x funciones entre las partes del contrato durante la vida del mismo
x aseguramiento de continuidad que indica que el servicio será proporcionado por el proveedor
x usuarios de los servicios y procesos y frecuencia de las comunicaciones del proveedor
x duración del contrato
x nivel de acceso proporcionado al proveedor
x requerimientos de seguridad
x garantías de confidencialidad
x derecho a acceso y derecho a auditar
Los acuerdos escritos han sido negociados apropiadamente
Los terceros en potencia se han calificado adecuadamente mediante la evaluación de sus habilidades para proveer el
servicio requerido (especial cuidado)
Evaluar la suficiencia:
Probando que:
Se cuenta con la lista de contratos y los contratos actuales son precisos
Ningún servicio es proporcionado por algún proveedor no incluido en la lista de contratos mencionada
Los proveedores mencionados en los contratos efectivamente están llevando a cabo los servicios definidos
La administración/los propietarios de los proveedores comprenden su responsabilidad dentro del contrato
Las políticas y procedimientos de la función de servicios de información asociadas con las relaciones con terceras partes
existen y son consistentes con las políticas generales de la organización
Existen políticas que consideran específicamente la necesidad de establecer contratos, la definición del contenido de los
mismos, del propietario o administrador de la relación responsable de asegurar que los contratos sean creados, man-
tenidos, monitoreados y renegociados según se requiera
Los contratos representan un registro completo de las relaciones con los proveedores como terceras partes
Los contratos están establecidos para asegurar específicamente la continuidad de los servicios, y que dichos contratos
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
IT GOVERNANCE INSTITUTE 133
D DIRECTRICES IRECTRICES DE DE A AUDITORIA UDITORIA
incluyen una planeación de contingencias por parte del proveedor para asegurar el servicio continuo a los usuarios
El contenido de los contratos incluyen por lo menos lo siguiente:
x aprobación formal administrativa y legal
x entidad legal para proporcionar los servicios
x servicios proporcionados
x acuerdos cuantitativos y cualitativos del nivel de servicio
x costo y frecuencia de los servicios y su pago
x proceso de solución de problemas
x sanciones por bajo desempeño
x proceso de disolución
x proceso de modificación
x reporte de servicios - contenido, frecuencia y distribución
x funciones entre las partes del contrato durante la vida del mismo
x aseguramiento de la continuidad de los servicios prestados por el proveedor
x usuarios de los servicios y frecuencia del proceso de comunicaciones del proveedor
x duración del contrato
x nivel de acceso proporcionado al proveedor
x requerimientos de seguridad
x garantías de confidencialidad
x derecho de acceso y derechos a llevar a cabo auditorías
Los usuarios tienen conciencia, conocimiento y comprenden la necesidad de contar con políticas de contratos y con los
contratos mismos para proporcionar servicios
Existe una independencia adecuada entre el proveedor y la organización
Se dan independientemente la búsqueda y la selección de proveedores
La lista de seguridad de acceso incluye únicamente un número mínimo de proveedores requeridos, y que dicho acceso es
el mínimo necesario
El acceso de hardware y software a los recursos de la organización es administrado y controlado para minimizar su utili-
zación por parte de los proveedores
El nivel real de servicios proporcionados se compara en gran medida con las obligaciones contractuales
Las instalaciones, personal, operaciones y controles sobre el outsourcing aseguran un nivel de desempeño requerido com-
parable con el esperado
El monitoreo continuo de liberación y entrega de servicios por parte de terceros es llevado a cabo por la administración
Se llevan a cabo auditorías independientes a las operaciones llevadas a cabo por el contratista
Existen los reportes de evaluación para terceros con el fin de evaluar sus capacidades para entregar el servicio requerido
Se conserva la historia de las actividades pasadas y presentes relacionadas con litigios/problemas legales con los provee-
dores
Las interfases de los agentes independientes involucrados en la conducción del proyecto están documentadas en el con-
trato.
Los contratos con proveedores PBX (Private Branch Exchange) están cubiertos
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
IT GOVERNANCE INSTITUTE 134
D DIRECTRICES IRECTRICES DE DE A AUDITORIA UDITORIA
Comprobar el riesgo de los objetivos de control no alcanzados:
Llevando a cabo:
Mediciones ("Benchmarking") de los servicios de terceras partes contra organizaciones similares o estándares internacio-
nales apropiados reconocidos como las mejores prácticas de la industria
Una revisión detallada de cada uno de los contratos de terceras partes para determinar provisiones cualitativas y cuantita-
tivas que confirmen la definición de las obligaciones
Identificando:
Provisiones que describen, coordinan y comunican la relación entre el proveedor y el usuario de los servicios de informa-
ción
Facturas de terceras parte que reflejan cargos precisos por servicios por contrato seleccionados
El vínculo de la organización con los proveedores como terceras partes que asegura la comunicación de problemas de
contrato entre las partes y los usuarios de los servicios
La aprobación de todos los contratos por parte de la administración y el consejo legal
La puesta en práctica de evaluaciones de riesgos para confirmar la necesidad de las relaciones o la necesidad de modifi-
car la relación
La revisión continua y las acciones correctivas tomadas por la administración sobre los reportes de contratos
Lo razonable de la aplicación de los cargos en comparación con el desempeño interno, externo y de la industria
La existencia de planes de contingencia para todos los servicios contratados, específicamente para los servicios de recu-
peración en caso de desastre de la función de servicios de información
Para las funciones de fuentes externas, se cuenta con procedimientos para detectar defectos aparentes u oportunidades
para mejorar el desempeño o reducir costos
La implementación de recomendaciones contenidas en auditorías independientes llevadas a cabo por la parte contratante
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
1
IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES

COBIT
Directrices Gerenciales



Julio de 2000
3ra Edición



Publicado por El Comité de Dirección de COBIT y el IT Governance Institute
TM




La Misión de COBIT:
Investigar, desarrollar, publicar y promover un conjunto de objetivos
de control en tecnología de información con autoridad, actualizados,
de carácter internacional y aceptados generalmente para el uso cotidiano
de gerentes de empresas y auditores.
Ejercicio: Gestión de Acuerdos con Proveedores Ejercicio: Gestión de Acuerdos con Proveedores Ejercicio: Gestión de Acuerdos con Proveedores
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
91
IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
DS2 Entrega y Soporte
Administrar Servicios de Terceros

El Control sobre el proceso de TI de Administrar Servicios de Terceros con el objetivo del negocio de
asegurar que los roles y responsabilidades de terceros estén claramente definidos, cumplidos y que
continúen satisfaciendo los requerimientos

Asegura la entrega de información al negocio que satisface los Criterios de Información requeridos y
se mide por los Indicadores Clave de Objetivo

Es posibilitado por medidas de control dirigidas a la revisión y el monitoreo de acuerdos y
procedimientos existentes para su efectividad y cumplimiento con la política de la organización

Considera los Factores Críticos de Éxito que respaldan Recursos de TI específicos y se mide
por medio de los Indicadores Clave de Desempeño.

P Efectividad
P Eficiencia
S Confidencialidad
S Integridad
S Disponibilidad
S Cumplimiento
S Confiabilidad
gente
aplicaciones
tecnología
instalaciones
datos
Criterios de Información Recursos de TI
() aplicable a (P) primario y (S) secundario
• Existen requerimientos de servicio y medidas de desempeño claramente definidos
• La organización retiene responsabilidad y control, y administra los servicios externos de manera proactiva
• El proveedor de servicio tiene un mecanismo establecido para reportar sobre las medidas de desempeño
• Los terceros proveedores tienen establecido un programa de garantía de calidad
• Todos los productos, incluyendo los requerimientos operativos y de desempeño están suficientemente
definidos y entendidos por todas las partes
• Están implementados procedimientos efectivos de cambio para los requerimientos de servicios y las
medidas de desempeño
• Los contratos están sujetos a una revisión legal y conclusión exitosas
• Hay provisiones para un manejo y una administración adecuados, resolviendo problemas financieros,
operativos, legales y de control
• La aplicación de contratos de nivel de servicio mutuamente acordados se basa en recompensas y
penalizaciones acordadas asociadas
• Un administrador interno de contrato es el único punto de contacto con el tercero
• Existe un proceso de Solicitud de Propuesta (RFP, siglas de los términos en inglés), que tiene criterios
preestablecidos y acordados de evaluación
• Está establecido un proceso para clasificar problemas de servicio sobre la base de su importancia y las
respuestas requeridas.
Factores Críticos de Éxito
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores
92
IT GOVERNANCE INSTITUTE
DIRECTRICES GERENCIALES
• Porcentaje de proveedores de servicio con objetivos acordados formalmente
• Porcentaje de acuerdos significativos para los cuales se emprenden revisiones de calificación de proveedor
de servicio
• Porcentaje de proveedores de servicio que están formalmente calificados
• Número de terceros contratistas con metas y productos esperados bien definidos
• Satisfacción mutua con la relación en curso
• Número de terceros contratistas que no satisfacen los objetivos o los niveles de servicio
• Número y costos de problemas contractuales con terceros que fluyen a partir de acuerdos inadecuados o de
la falta de cumplimiento contra acuerdos adecuados
Indicadores Clave de Objetivo
• Número y frecuencia de reuniones de revisión
• Número de enmiendas de contrato
• Frecuencia de reportes de nivel de servicio
• Número de problemas pendientes
• Demora para resolver los problemas
• Porcentaje de contratos pendientes de revisión legal
• Demora desde la última revisión de contrato frente a las condiciones del mercado
• Número de contratos de servicio que no usan términos y condiciones estándar o excepciones aprobadas
Indicadores Clave de Desempeño
Curso de Introducción a la Auditoría de Procesos de Sistemas de Información
Ejercicio: Gestión de Acuerdos con Proveedores

Sign up to vote on this title
UsefulNot useful