Documentos de Académico
Documentos de Profesional
Documentos de Cultura
3-Entregar MOF
3-Entregar MOF
La fase de entrega brinda a los profesionales de TI las herramientas necesarias para ofrecer
servicios de TI, proyectos de infraestructura o despliegues de productos empaquetados más
eficazmente, y ayuda a garantizar que dichos servicios se conciban, planifiquen, construyan,
estabilicen y desplieguen de acuerdo con los requisitos empresariales y las especificaciones del
cliente .
Presentación general
Guardar
Planificación de proyectos
Construir
Estabilizar
Desplegar
Introducción a MOF
La guía en el Microsoft® Operations Framework abarca todas las actividades y procesos
involucrados en la administración de un servicio de TI: su concepción, desarrollo, operación,
mantenimiento y, en última instancia, su retiro. MOF organiza estas actividades y procesos en
[Date]
1
Funciones de Gestión de Servicios (SMF), que se agrupan en fases que reflejan el ciclo de vida del
servicio de TI. Cada SMF está anclado dentro de una fase de ciclo de vida y contiene un conjunto
único de metas y resultados que apoyan los objetivos de esa fase. La disponibilidad de un servicio
de TI para pasar de una fase a otra es confirmada por revisiones de la dirección, que aseguran que
las metas se están logrando de una manera apropiada y que las metas de TI están alineadas con las
metas de la organización.
Este proceso comienza con una forma temprana de planificación llamada "previsión", se mueve a
través de una etapa de planificación de proyecto más formal, continúa con la fase de diseño y
construcción, sigue con las pruebas y termina con la implementación. Hay varias opciones que los
administradores de un proyecto pueden hacer en términos de una disciplina de gestión para aplicar
al proyecto. Las posibilidades incluyen Microsoft® Solutions Framework (MSF), desarrollo de
software ágil, gestión de procesos de Capability Maturity Model Integration (CMMI), Scrum y Project
Management Institute (PMI). Si bien MSF es la base para los SMF en la fase Deliver, las
organizaciones pueden adaptar fácilmente la información en esos SMFs a cualquier disciplina de
gestión. Para obtener más información sobre el desarrollo de software ágil, vea Inicio de guía de
procesos del sistema de equipos de Microsoft Visual Studio® en
http://msdn2.microsoft.com/en-us/teamsystem/aa718795.aspx .
La fase Entrega contiene las siguientes funciones de administración de servicios (SMF): Envision,
Project Planning, Build, Stabilize e Deploy. Consulte la sección "Funciones de administración de
servicios (SMF) dentro de la fase" de esta guía para obtener más información sobre estos SMF.
Esta fase comienza después de la Revisión de Gestión de Cartera (MR), que proporciona un puente
entre la Fase del Plan y la Fase Entrega. Esta fase es movida adelante por el MR del plan del
proyecto aprobado. La prontitud de liberación MR se acerca al final de la fase de estabilización y
despliegue. Estas MR de fase de entrega se describen con mayor detalle más adelante en este
documento.
Esta fase es aquella en la que los equipos de proyectos desempeñan frecuentemente un papel
importante. La responsabilidad primaria del equipo que se aplica a la fase es la Responsabilidad de
la Solución, con el tipo de rol responsable para la fase de ser el Gerente de Soluciones, quien tiene
la supervisión de todas las soluciones y sus equipos de proyectos.
Otros tipos de rol clave para la fase son el Administrador de programas, el Administrador de
productos y el Desarrollador. Más información acerca de estos y otros tipos de rol, así como la
[Date]
2
Responsabilidad de las soluciones a la que pertenecen, se pueden encontrar en el "Equipo SMF
Focus" de este documento .
Más información sobre los roles del equipo del proyecto también está contenida en cada uno de los
documentos SMF para la fase y en el SMF del equipo , que forma parte de la capa gerencial básica
del ciclo de vida del servicio de TI.
Captura las necesidades y requerimientos del negocio antes de planificar una solución.
Prepara una especificación funcional y un diseño de solución.
Elaborar planes de trabajo, estimaciones de costos y calendarios para los entregables.
Construye la solución según las especificaciones del cliente, de modo que todas las
funciones estén completas y de manera que la solución esté lista para pruebas y
estabilización externas.
Lanzamientos de la solución de la más alta calidad mediante la realización de pruebas
exhaustivas y el lanzamiento de candidatos de pilotaje.
Implementa una solución estable en el entorno de producción y estabiliza la solución en la
producción.
Prepara los equipos de operaciones y soporte para gestionar y proporcionar servicio al
cliente para la solución.
[Date]
3
El cumplimiento de estos objetivos requiere:
Alineación con las funciones de gestión de servicios (SMF) para esta fase.
Utilizar revisiones de gestión periódicas (MRs) para evaluar la efectividad de la fase.
El siguiente diagrama muestra la relación entre los SMF y las revisiones de punto de control en la
fase Entrega. Es importante señalar que, si bien el diagrama sugiere un enfoque secuencial de
cascada para la gestión de proyectos, otros enfoques más iterativos funcionarán igual de bien
utilizando la guía proporcionada por los SMF en la fase.
La siguiente tabla identifica los SMFs que apoyan el logro de estos objetivos dentro de la fase
Deliver.
[Date]
4
Tabla 1. Entrega de Fase SMFs
[Date]
5
lanzar una solución de alta calidad que especificaciones del cliente
cumpla con las expectativas del cliente tal y como se define en la
y las especificaciones definidas en la especificación funcional
especificación funcional
Hay dos MR que son claves para el diseño y la prestación efectiva de los servicios de TI: el Plan de
Proyecto MR aprobado y el MR de Readiness de Liberación. El Proyecto Plan Aprobado MR finaliza
el alcance del proyecto. La prontitud de liberación MR es un puente entre la fase de entrega y la
fase de operación. La revisión se realiza justo después de la estabilización y antes del despliegue.
[Date]
6
entregas. La especificación funcional cumple múltiples propósitos: actúa como:
Antes de que se pueda entender la naturaleza completa del proyecto y de que la administración
pueda proporcionar una aprobación informada, se necesita documentación adicional. Es probable
que los siguientes documentos y planes sean parte de la preparación para un proceso integral de
construcción de proyectos:
Especificación técnica
Plan de comunicación
Plan de prueba maestro
Plan de entrenamiento
Plan de proyecto básico
Plan de prueba de aceptación del usuario
Plan de conversión de datos o de sistemas (si procede)
Plan de evaluación de seguridad y modelado de amenazas
Revisiones de privacidad y otras normas, cumplimiento de políticas generales
Enfoque de la segregación de ambientes para el desarrollo, prueba y producción
Segregación de funciones (cuando sea necesario para fines de control)
Plan de gestión y análisis de riesgos del proyecto
Al documentar los planes en estas áreas, el equipo del proyecto aclara cómo cumplirá con las
expectativas de desempeño y cumplimiento. Mantener un registro desde el principio capta la
comprensión del equipo del proyecto de las metas y los intentos de la gerencia, y proporciona a los
auditores potenciales un cuerpo claro de la evidencia para ver cómo bien se capturaron estas metas
y, en última instancia, se encontraron.
[Date]
7
Análisis Decisiones Salidas
Entradas
El plan del proyecto Refinada visión y
y los planes y alcance aprobado.
documentos
relacionados son Diseño y características
Carta de proyecto con suficientes y documentadas en la
visión y alcance detallados apoyarán un proceso especificación funcional y
de construcción firmadas por los
La visión del proyecto
Plan maestro del proyecto efectivo. propietarios de las
es clara y completa.
respectivas funciones.
Programa maestro del La evaluación del
Proyecto con alcance
proyecto riesgo del proyecto Plan de gestión del
significativo y eficaz.
es completa y riesgo del proyecto
Evaluación de riesgos del adecuada. aprobado.
Se identificaron
proyecto
deficiencias de
Los recursos Financiamiento para
capacidad o
Plan para la coordinación estarán en su lugar y proyectos aprobados
deficiencias de
del proyecto, incluyendo: la financiación (potencialmente
recursos.
adecuada está restringidos a una fase
Enfoque para las disponible para ser de trabajo hasta un hito
Requisitos y
partes interesadas. asignado. de revisión).
especificaciones
Comunicaciones.
funcionales evaluados
Gestión de La consolidación y Planes de comunicación
en cuanto a
requisitos. la simplificación han y coordinación
adecuación, claridad y
Gestión de riesgos. tenido la aprobados.
preparación para la
consideración
actividad de desarrollo.
Oportunidades necesaria. Lista de controles
identificadas para internos que se
Las métricas del
consolidar, simplificar o Las métricas son desarrollarán como parte
proyecto son
desactivar soluciones suficientes para de la solución aprobada.
apropiadas.
rastrear y evaluar el
Métricas para el proyecto. Aprobación
rendimiento del proyecto documentada del
Se están abordando proyecto, propiedad del
los aspectos de proyecto y
seguridad, responsabilidades
privacidad y política. definidas.
Como resultado de la MR aprobada por el plan de proyecto, se habrá realizado una revisión
completa y la aprobación de la especificación funcional, el plan maestro y el programa maestro del
proyecto y el grupo de MR habrá acordado que el equipo del proyecto ha cumplido con los requisitos
para la aprobación del plan. El equipo del proyecto está listo para pasar al desarrollo de la solución.
[Date]
8
En este MR, un equipo de revisión especialmente formado evalúa cuatro aspectos distintos de la
preparación para la liberación:
Aunque la gestión de riesgos es evidente a lo largo del ciclo de vida de los servicios de TI, en cierta
medida, el MR de disponibilidad de versiones tiene el mayor énfasis en la gestión del riesgo
operacional. Esto se debe a que el acto de introducir una versión nueva o actualizada suele implicar
una gran incertidumbre y un impacto potencial en la disponibilidad, fiabilidad, seguridad,
cumplimiento y riesgo de reputación. La prontitud de liberación MR es la última oportunidad de
retroceder si los riesgos no se abordan adecuadamente o son inaceptables.
Todos los interesados clave confirman la preparación de los componentes y acuerdan continuar con
el despliegue. La evidencia de la aprobación debe ser retenida para el proyecto y almacenada con
los materiales del proyecto para las revisiones subsecuentes de la revisión.
[Date]
9
operacional y
privacidad.
Riesgos
Impacto
Aprobación de
operacional de la
aceptación del
migración y gestión
usuario
de datos evaluados.
Reunión Go / No Go
Evaluar el impacto
de patrocinadores e
en los negocios y TI
interesados y firma
de proceder o no
proceder.
[Date]
10
previos del plan, como la
Todos los interesados clave
confirmación de que los usuarios
han sido notificados.
estarán disponibles para realizar las
Todos los recursos necesarios
pruebas de aceptación.
para la implementación han
La documentación de gestión de
sido confirmados.
cambios no está en orden.
El siguiente diagrama muestra la relación entre los SMF y las revisiones de punto de control en la
fase Entrega. Es importante señalar que, si bien el diagrama sugiere un enfoque secuencial de
cascada para la gestión de proyectos, otros enfoques más iterativos funcionarán igual de bien
utilizando la guía proporcionada por los SMF en la fase.
[Date]
11
Para ayudar a los profesionales de TI a diseñar y ofrecer una estrategia de TI de manera eficaz,
MOF ofrece funciones de gestión de servicios (SMF) que definen los procesos, las personas y las
actividades necesarias para alinear los servicios de TI con los requisitos del negocio. Las SMFs
identifican y describen las actividades principales que los profesionales de TI realizan en las distintas
fases del ciclo de vida del servicio de TI. Aunque cada SMF se puede pensar y utilizar como un
conjunto independiente de procesos, es cuando se combinan que más eficazmente garantizar que la
prestación de servicios es completa y en la calidad deseada y los niveles de riesgo. Los SMF en
esta fase se realizan secuencialmente en su mayor parte, aunque, como se señaló anteriormente, su
orientación funciona bien en una variedad de disciplinas de gestión de proyectos, incluidas las que
son iterativas.
La siguiente tabla identifica los SMFs que apoyan el logro de estos objetivos dentro de la fase
Deliver.
[Date]
12
del sistema
Propósito:
Una solución que satisface
las expectativas y
Construir una solución que cumpla con
especificaciones del cliente
las expectativas y especificaciones del
según se define en la
cliente tal como se define en la
especificación funcional
especificación funcional
[Date]
13
completamente ponderadas.
Hay dos MR que son claves para el diseño y la prestación efectiva de los servicios de TI: el Plan de
Proyecto MR aprobado y el MR de Readiness de Liberación. El Proyecto Plan Aprobado MR finaliza
el alcance del proyecto. La prontitud de liberación MR es un puente entre la fase de entrega y la
fase de operación. La revisión se realiza justo después de la estabilización y antes del despliegue.
Antes de que se pueda entender la naturaleza completa del proyecto y de que la administración
pueda proporcionar una aprobación informada, se necesita documentación adicional. Es probable
que los siguientes documentos y planes sean parte de la preparación para un proceso integral de
construcción de proyectos:
Especificación técnica
Plan de comunicación
Plan de prueba maestro
Plan de entrenamiento
Plan de proyecto básico
Plan de prueba de aceptación del usuario
Plan de conversión de datos o de sistemas (si procede)
Plan de evaluación de seguridad y modelado de amenazas
Revisiones de privacidad y otras normas, cumplimiento de políticas generales
Enfoque de la segregación de ambientes para el desarrollo, prueba y producción
Segregación de funciones (cuando sea necesario para fines de control)
Plan de gestión y análisis de riesgos del proyecto
Al documentar los planes en estas áreas, el equipo del proyecto aclara cómo cumplirá con las
expectativas de desempeño y cumplimiento. Mantener un registro desde el principio capta la
comprensión del equipo del proyecto de las metas y los intentos de la gerencia, y proporciona a los
auditores potenciales un cuerpo claro de la evidencia para ver cómo bien se capturaron estas metas
y, en última instancia, se encontraron.
[Date]
14
El equipo del proyecto, que puede incluir:
o Director del programa
o Gerente de producto
o Especialistas técnicos
o Desarrolladores
o Probadores
El equipo directivo (como el propietario de la solución, el arquitecto, los patrocinadores, las
finanzas y las partes interesadas)
Representantes de operaciones y apoyo
Auditores
Clientes o usuarios finales
[Date]
15
los aspectos de proyecto y
seguridad, responsabilidades
privacidad y política. definidas.
Como resultado de la MR aprobada por el plan de proyecto, se habrá realizado una revisión
completa y la aprobación de la especificación funcional, el plan maestro y el programa maestro del
proyecto y el grupo de MR habrá acordado que el equipo del proyecto ha cumplido con los requisitos
para la aprobación del plan. El equipo del proyecto está listo para pasar al desarrollo de la solución.
En este MR, un equipo de revisión especialmente formado evalúa cuatro aspectos distintos de la
preparación para la liberación:
Aunque la gestión de riesgos es evidente a lo largo del ciclo de vida de los servicios de TI, en cierta
medida, el MR de disponibilidad de versiones tiene el mayor énfasis en la gestión del riesgo
operacional. Esto se debe a que el acto de introducir una versión nueva o actualizada suele implicar
una gran incertidumbre y un impacto potencial en la disponibilidad, fiabilidad, seguridad,
cumplimiento y riesgo de reputación. La prontitud de liberación MR es la última oportunidad de
retroceder si los riesgos no se abordan adecuadamente o son inaceptables.
Todos los interesados clave confirman la preparación de los componentes y acuerdan continuar con
el despliegue. La evidencia de la aprobación debe ser retenida para el proyecto y almacenada con
los materiales del proyecto para las revisiones subsecuentes de la revisión.
[Date]
16
Análisis Decisiones Salidas
Entradas
Visión y alcance
del proyecto
Guía de soporte de
revisados.
operaciones
Preparación y
Plan de despliegue y
finalización del
plan de contingencia
proyecto evaluado. Firmado en el proyecto.
Plan de
Guía de apoyo a Operaciones y equipo de
implementación de Acuerdo sobre la
las operaciones apoyo en pleno control de la
seguridad disposición para
evaluada. solución.
proceder y liberar el
Validación y proyecto.
Se evaluaron las Se promulgó un plan de
conversión de datos
cuestiones de comunicación, informando a
(si procede) Si no se acuerda,
seguridad todas las partes afectadas de
determine las áreas a
operacional y la liberación programada.
Plan de gestión de abordar con alguna
privacidad.
Riesgos perspectiva inicial sobre
Si la decisión no era proceder,
la cantidad de trabajo.
Impacto el plan de remediación y las
Aprobación de
operacional de la responsabilidades se
aceptación del
migración y gestión comunicaban.
usuario
de datos evaluados.
Reunión Go / No Go
Evaluar el impacto
de patrocinadores e
en los negocios y TI
interesados y firma
de proceder o no
proceder.
La prontitud de liberación MR resulta en una decisión ir / no ir sobre si implementar la liberación.
Tener criterios claros en el lugar que todos los miembros del equipo de preparación para la
liberación entienden y están de acuerdo es fundamental para la toma de decisiones efectivas. La
siguiente tabla proporciona un breve resumen de los indicadores que pueden utilizarse para facilitar
este entendimiento común.
[Date]
17
liberación son claros y
alineados con las normas del
sitio. antiguos) en el entorno actual.
Existen acuerdos de nivel No hay plan de entrenamiento del
operativo (OLA) y contratos de personal de apoyo.
apoyo (UC) que parecen No hay plan de copia de seguridad.
apoyar los niveles de servicio
requeridos.
La Capa de administración es la base del ciclo de vida del servicio de TI. Esta fase no es un
segmento aparte, sino que las actividades de la capa de gestión se integran con todas las otras
fases del ciclo de vida. Los siguientes SMFs admiten las actividades principales de la Capa de
administración:
[Date]
18
Equipo
Estas SMF de gestión de capas son elementos importantes en todas las otras fases del ciclo de
vida de TI. La mayoría de las SMF en las otras fases discuten procesos específicos y distintos. Sin
embargo, GRC y SMF de cambios y configuración tienen el objetivo de garantizar servicios de TI
efectivos, eficientes y compatibles. Con ese fin, contienen una guía que aborda la naturaleza única
de los objetivos de cada fase.
El Equipo SMF asegura que alguien es en última instancia responsable del trabajo requerido para
entregar efectivamente servicios de TI. También asegura que todos los que hacen ese trabajo
tienen un papel claro, entienden las responsabilidades que van con ese papel y tienen las
habilidades adecuadas para llevar a cabo esas responsabilidades.
Cambiar y
Objetivo de la fase GRC Focus configurar el Enfoque en equipo
de entrega enfoque
La arquitectura de
la solución admite
los requisitos de la
organización
Participantes del
Principios para la
proyecto, Alcance
Asegúrese de que los organización eficaz de
metodología, de la
servicios que el los equipos de
riesgos identificados solución
negocio y TI han proyecto
Proceso de Recursos
acordado se Responsabilidades y
realización del valor Gestión de
desarrollan con tipos de rol
Ciclo de vida del proyectos
eficacia, desplegado Alineación de
diseño de software Impacto
con éxito y listo para responsabilidades
Mitigación de financiero
las operaciones Asignación de roles
riesgos
Controles internos
definidos
Procedimientos
definidos
Soluciones Responsabilidad
[Date]
19
La responsabilidad de soluciones incluye los tipos de rol que son importantes para los cinco SMF en
la fase de entrega del ciclo de vida de los servicios de TI: Envision, Project Planning, Build, Stabilize
e Deploy.
El Envision SMF se centra en convertir los requisitos del negocio en nuevos servicios de TI
que pueden ser entregados a la producción.
El SMF de planificación de proyectos se centra en cómo los equipos de proyectos completan
la mayor parte de su trabajo de planificación, preparando la especificación funcional, el diseño
de la solución, los planes de trabajo, las estimaciones de costos y los horarios.
Build SMF se centra en desarrollar los productos de la solución de servicios de TI según las
especificaciones del cliente, desarrollando la documentación de la solución, creando el
laboratorio de desarrollo y prueba y preparando la solución para la implementación piloto.
El Stabilize SMF se centra en la liberación de la solución de mayor calidad posible en el hito
de disponibilidad de la versión.
Deploy SMF se centra en liberar una solución estable en el entorno de producción.
En la siguiente tabla se enumeran los tipos de rol asociados con la Responsabilidad de soluciones,
así como las responsabilidades y objetivos para cada tipo de rol.
Responsabilidades Gol
Tipo de rol
Función responsable
Posee todas las SMFs en
esta responsabilidad Asegura que todos los proyectos
Gerente de Director de proyectos para funcionen correctamente y la
soluciones todos los proyectos transición exitosa a las operaciones
Resuelve conflictos entre
proyectos
[Date]
20
los clientes
Evalúa el diseño de la
solución
Documenta los requisitos de
operaciones para asegurar
Asegura que una solución estable se
Gestión de la que se cumplan con el diseño
despliegue al entorno de producción
liberación Crea un piloto, plan de
despliegue y programación
Administra la implementación
del sitio
Defensores de operaciones
en el equipo del proyecto
Requiere expertos en Garantiza que los requisitos
operaciones según sea operativos forman parte del diseño de
Experiencia en
necesario para obtener la solución y se abordan antes de la
Operaciones
información detallada liberación.
Coordina con la gestión de la
liberación
La gobernanza proporciona los principios y estructuras para llevar a cabo los objetivos y prioridades
clave de una organización en el contexto de los requisitos y riesgos de la empresa. La gobernanza
se define en la fundación Manage Layer, pero está integrada en todas las fases. La siguiente tabla
enumera los objetivos clave de la Fase Deliver, junto con los riesgos para aquellos objetivos y
controles que aseguran que se cumplan los objetivos.
Riesgo Controlar
Objetivo
[Date]
21
Los servicios de TI no
proporcionan valor comercial
Asegúrese de que los servicios que el Desarrollo inadecuado del
negocio y TI han acordado se servicio de TI (demasiado largo, Plan de Proyecto
desarrollan con eficacia, desplegado con demasiado caro, o ambos) Aprobado MR
éxito y listo para las operaciones Operaciones que no pueden
operar con eficacia el servicio
La solución de servicio no
cumple con los requisitos del
negocio
Construir la solución correcta de la Plan de Proyecto
El esfuerzo de desarrollo no
manera correcta Aprobado MR
logra entregar soluciones a
tiempo o dentro del presupuesto
Conclusión
Publicado: 25 de abril de 2008 | Actualizado: 10 de octubre de 2008
Este documento proporciona una amplia visión general de la Fase de Entrega de MOF y sus SMFs
relacionados, revisiones de gestión y controles. El siguiente paso para poner en práctica MOF 4.0
es considerar las necesidades de su organización, y luego leer y utilizar los SMF relevantes. Su
guía paso a paso será de valor para las organizaciones de TI cuyo objetivo es confiable, eficiente y
obligar a los servicios de TI .
Guardar
Planificación de proyectos
Construir
Estabilizar
Desplegar
Realimentación
Envíe preguntas y comentarios sobre esta guía a mof@microsoft.com .
Posición de la Envision SMF dentro del ciclo de vida del servicio de TI de MOF
El ciclo de vida del servicio de TI de MOF abarca todas las actividades y procesos involucrados en
la administración de un servicio de TI: su concepción, desarrollo, operación, mantenimiento y, en
última instancia, su retiro. MOF organiza estas actividades y procesos en Funciones de Gestión de
Servicios (SMF), que se agrupan en fases del ciclo de vida. Cada SMF está anclado dentro de una
fase de ciclo de vida y contiene un conjunto único de metas y resultados que apoyan los objetivos
de esa fase. Los SMF pueden ser usados como conjuntos independientes de procesos, pero es
cuando los SMFs se usan juntos que son más efectivos para asegurar la prestación de servicios con
los niveles de calidad y riesgo deseados.
El Envision SMF pertenece a la fase Deliver del ciclo de vida del servicio de TI de MOF. La
siguiente figura muestra el lugar del Envision SMF dentro de la fase Deliver, así como la ubicación
de la Deliver Phase dentro del ciclo de vida del servicio de TI.
Figura 1. Posición de la Envision SMF dentro del ciclo de vida del servicio de TI
Antes de utilizar este SMF, puede leer las siguientes guías de MOF 4.0 para obtener más
información sobre el ciclo de vida del servicio de TI de MOF y la fase Deliver:
Descripción de MOF
Descripción de la fase de entrega
[Date]
23
Este SMF debe ser útil a cualquier persona que tenga la tarea de formar un equipo central del
proyecto, preparar y entregar un documento de visión / alcance que comunique claramente la visión
del proyecto y el alcance de esa visión y preparar una evaluación de riesgos.
Prever es el primer paso que un equipo de proyecto toma para convertir los requerimientos del
negocio en un cambio en la infraestructura de TI o en nuevos servicios de TI que pueden ser
entregados en la producción. Es el proceso de unificación de un equipo con una visión común y es
un requisito clave para asegurar el éxito de un proyecto. Un equipo de proyecto debe tener una
visión clara de lo que quiere lograr y ser capaz de comunicar esta visión en términos que motiven a
los miembros del equipo, sus clientes y sus partes interesadas. El proceso de visualización
comienza en la Fase del Plan y concluye en la Fase Entrega.
Mediante la creación de vistas de alto nivel de las metas del proyecto y las limitaciones, el visionado
sirve como una forma temprana de planificación. Establece el escenario para el proceso de
planificación más formal que tendrá lugar durante la fase de planificación del proyecto.
La administración elige al equipo principal del proyecto y crea el documento de estructura del
proyecto que especifica las funciones y responsabilidades de los miembros del equipo.
El equipo del proyecto crea el documento de visión / alcance, realiza una evaluación de
riesgos y completa el informe de revisión de hitos.
Los miembros del equipo, los clientes y las partes interesadas aprueban el reporte de
revisión de hitos para el hito Aprobado por Visión / Alcance. En este hito, el equipo, los
clientes y las partes interesadas están de acuerdo en la dirección general del proyecto: el
alcance de las características del proyecto, el calendario general para entregar la solución del
proyecto y los riesgos asociados con el proyecto. Después del Hito Aprobado por Visión /
[Date]
24
Alcance, los equipos de proyecto continúan en la fase de planificación.
Establece objetivos de
diseño
Controla el diseño, la programación y Describe el concepto de
Director del
los recursos a nivel de proyecto solución
programa
Crea la estructura del
proyecto
Construye prototipos
Investiga las opciones de
Construye la solución acordada desarrollo y tecnología
Desarrollador
Analiza la viabilidad del
proyecto
Estrategias de pruebas
Pruebas para determinar con Criterios de aceptación de
precisión el estado del desarrollo de pruebas
Ensayador
la solución Implicaciones del proyecto
de documentos
[Date]
25
Responsabilidades Papel en este SMF
Tipo de rol
Ayuda a definir los requisitos del
usuario Documentos implicados en
Ayuda a diseñar para satisfacer las las pruebas del proyecto
necesidades del usuario
Defensores de operaciones en el
equipo del proyecto
Requiere expertos en operaciones
Documentos requisitos de
Experiencia en según sea necesario para obtener
rendimiento de operaciones
Operaciones información detallada
Coordina con la gestión de la
liberación
Objetivos de la proyección
Los objetivos principales del visionado son formar el equipo principal del proyecto, preparar y
entregar un documento de visión / alcance que comunique claramente la visión del proyecto y el
alcance de esa visión y prepare una evaluación del riesgo. La Tabla 2 muestra los resultados
deseados de los objetivos de Envision SMF y enumera las medidas que puede usar para medir con
qué éxito ha logrado estos objetivos después de completar este SMF.
Medidas
Resultados
La visión y el alcance del proyecto están No hay errores de comunicación y
claramente documentados y comprendidos por malentendidos se encuentran más
el equipo y el cliente. adelante en el proyecto.
La visión y el alcance permanecen
intactos durante todo el proyecto.
El documento de visión / alcance es
[Date]
26
aprobado por el equipo y las partes
interesadas.
Signoff en la Visión / Alcance Aprobado
Hito ocurre.
Términos clave
La siguiente tabla contiene definiciones de los términos clave que se encuentran en esta guía.
Definición
Término
Cliente El cliente es la persona u organización que comisiona y financia el proyecto.
Los primeros indicadores de progreso que segmentan grandes esfuerzos de trabajo
Hito en porciones manejables. La Fase Deliver sugiere un conjunto de hitos intermedios,
intermedio pero los equipos de proyecto deben definir sus propios hitos intermedios que tengan
sentido para sus proyectos.
Un punto de sincronización de proyecto. Los hitos principales marcan la transición
de un proyecto de una fase a la siguiente. También transfieren la responsabilidad
Hito primaria de una función a otra. Las funciones de gestión de servicio de la fase de
entrega (SMF) corresponden a los principales hitos de Microsoft Solutions
Framework (MSF).
Una visión de la visión del proyecto limitada por limitaciones como tiempo y
Alcance recursos. El ámbito de la solución describe las características y entregables de la
solución. El alcance del proyecto describe el trabajo a realizar por el equipo.
Una entrega coordinada de tecnologías, documentación, capacitación y soporte que
Solución responda con éxito al problema comercial de un cliente. Las soluciones suelen
combinar personas, procesos y tecnología para resolver problemas.
Las partes interesadas son personas o grupos que tienen interés en el resultado del
proyecto, aunque sus objetivos y prioridades no siempre son idénticos a los del
Tenedor de cliente. Entre los ejemplos de las partes interesadas se incluyen los directores
apuestas departamentales que se verán afectados por la solución, los miembros del personal
de TI que son responsables de ejecutar y apoyar la solución y los administradores
funcionales que aportan recursos al equipo del proyecto.
Usuarios Las personas que interactúan con la solución para realizar sus trabajos.
Visión Describe los objetivos fundamentales de la solución.
[Date]
27
Flujo del proceso de visualización
Publicado: 25 de abril de 2008
La Figura 2 ilustra el flujo de proceso para la gestión de visualización. Este flujo consiste en los
siguientes procesos:
[Date]
28
Figura 2. Flujo del proceso de visualización
[Date]
29
Proceso 1: Organizar el equipo central
Publicado: 25 de abril de 2008
Este acelerador forma
El primer proceso de visualización es que la administración organice el parte de una serie
equipo principal del proyecto y produzca el documento de estructura del más amplia de
proyecto. herramientas y
directrices de Solution
Accelerators .
Descargar
Obtenga el Microsoft
Operations
Framework 4.0
Notificaciones de
aceleradores de
soluciones
Regístrese para
conocer las
actualizaciones y los
nuevos lanzamientos
Figura 4. Organizar el equipo central Realimentación
Consideraciones
Ocupaciones
Asignar ¿Cuál es la escala del proyecto, pequeña,
miembros mediana o grande?
principales al ¿Estarán los miembros dedicados al equipo o
[Date]
30
Consideraciones
Ocupaciones
equipo del trabajarán en otros proyectos también?
proyecto ¿Tendrán los miembros múltiples funciones o
cada miembro tendrá un papel único?
¿Tiene la organización un modelo de equipo
existente para proyectos de TI?
¿Están los miembros del equipo experimentados
en sus roles asignados? ¿Se requiere
entrenamiento?
Entradas:
Propuesta de proyecto
Salidas:
Mejores prácticas:
[Date]
31
Consideraciones
Ocupaciones
miembros del equipo comprendan sus funciones
para hacer que el proyecto sea un éxito,
aclarando líneas de información y toma de
decisiones y proporcionando a los principales
interesados la oportunidad de asegurar que la
estructura organizativa del proyecto trabajo (la
función del proyecto).
En este proceso, el equipo del proyecto escribe el documento de visión / alcance y realiza una
evaluación de riesgos.
Durante este proceso, el equipo del proyecto completa el primer borrador del documento de visión /
alcance y lo distribuye al equipo, los clientes y las partes interesadas para su revisión. Durante el
proceso de revisión, el documento experimenta múltiples iteraciones de retroalimentación, discusión
[Date]
32
y cambio.
El documento de visión / alcance suele escribirse en un nivel estratégico de detalle y el equipo del
proyecto lo utiliza durante la planificación como contexto para desarrollar especificaciones técnicas y
planes de gestión de proyectos en mayor detalle. Proporciona una dirección clara para el equipo del
proyecto; describe las metas, prioridades y limitaciones explícitas del proyecto; y establece las
expectativas de los clientes.
La visión del proyecto y el alcance del proyecto son conceptos distintos, y los proyectos exitosos
requieren ambos. La visión del proyecto es una visión ilimitada de la solución. El alcance del
proyecto identifica las partes de la visión que un equipo de proyecto puede lograr dentro de sus
limitaciones. El documento de visión / alcance define ambos conceptos.
Otra actividad clave de este proceso es que el equipo evalúe y documente los riesgos del proyecto.
Esto se hace usando la Plantilla de Riesgo.
La siguiente tabla enumera las actividades involucradas en este proceso. Estas actividades
incluyen:
Consideraciones
Ocupaciones
Escribir el Preguntas clave:
documento de visión
/ alcance ¿Tiene el cliente una visión clara del proyecto?
¿Cuáles son los objetivos de negocio que el proyecto está tratando de
lograr?
¿Qué restricciones (tiempo o recursos) deben ser colocadas en la
visión?
¿El equipo del proyecto entiende los perfiles de los usuarios de la
solución?
¿La organización tiene estándares de documentación para proyectos
similares?
¿Tiene la organización un proceso de control de cambios? Para
obtener información sobre el control de cambios, consulte SMF de
cambio y configuración .
Entradas:
Salidas:
[Date]
33
Consideraciones
Ocupaciones
Preguntas clave:
Entradas:
Ninguna
Evaluar y Salidas:
documentar los
riesgos del proyecto Evaluación de riesgos utilizando la Plantilla de Riesgo
Mejores prácticas:
Finalmente, el equipo del proyecto obtiene la aprobación del cliente y de las partes interesadas y
luego completa el informe de revisión del hito.
[Date]
34
Figura 6. Aprobar el documento de visión / alcance
Durante este proceso, el equipo completa el informe de revisión de hitos para el Hito Aprobado por
Visión / Alcance. El equipo, los clientes y las partes interesadas firman este informe para indicar su
aprobación del documento de visión / alcance. Signoff también indica que el equipo, los clientes y
las partes interesadas están de acuerdo en que el equipo del proyecto ha cumplido con los
requisitos para completar el hito de Visión / Alcance Aprobado y que el proyecto está listo para
proceder a la planificación.
Consideraciones
Ocupaciones
Firme en el reporte de revisión del Preguntas clave:
hito para el hito aprobado por
Visión / Alcance ¿El equipo, los clientes y las partes interesadas están
de acuerdo con la visión?
¿El equipo, los clientes y las partes interesadas están
de acuerdo en el alcance del proyecto?
¿El equipo del proyecto ha cumplido con los
requisitos del hito de Visión / Alcance Aprobado?
Entradas:
[Date]
35
Evaluación de riesgos (Plantilla de riesgos)
Salidas:
Conclusión
Publicado: 25 de abril de 2008
Envision SMF describe el proceso para formar un equipo de proyecto central, preparando y
entregando un documento de visión / alcance que comunique claramente la visión del proyecto y el
alcance de esa visión, y la preparación de una evaluación de riesgos.
Realimentación
Posición del SMF de planificación de proyectos dentro del ciclo de vida del
servicio de TI de MOF
El ciclo de vida del servicio de TI de MOF abarca todas las actividades y procesos involucrados en
la administración de un servicio de TI: su concepción, desarrollo, operación, mantenimiento y, en
[Date]
36
última instancia, su retiro. MOF organiza estas actividades y procesos en Funciones de Gestión de
Servicios (SMF), que se agrupan en fases del ciclo de vida. Cada SMF está anclado dentro de una
fase de ciclo de vida y contiene un conjunto único de metas y resultados que apoyan los objetivos
de esa fase. Los SMF pueden ser usados como conjuntos independientes de procesos, pero es
cuando los SMFs se usan juntos que son más efectivos para asegurar la prestación de servicios con
los niveles de calidad y riesgo deseados.
El SMF de planificación de proyectos pertenece a la fase Deliver del ciclo de vida del servicio de TI
de MOF. La siguiente figura muestra el lugar del SMF de planificación de proyectos en la fase
Deliver, así como la ubicación de la fase Deliver dentro del ciclo de vida del servicio de TI.
Figura 1. Posición del SMF de planificación de proyectos dentro del ciclo de vida del servicio
de TI
Antes de utilizar este SMF, puede leer las siguientes guías de MOF 4.0 para obtener más
información sobre el ciclo de vida del servicio de TI de MOF y la fase Deliver:
Descripción de MOF
Descripción de la fase de entrega
El SMF de planificación de proyectos debe ser útil para cualquier persona que tenga la función
principal en la planificación de un proyecto de servicio de TI, incluida la preparación de la
especificación funcional y el diseño de la solución y la preparación de planes de trabajo,
estimaciones de costos y programaciones.
Este SMF aborda las siguientes acciones de planificación de proyectos de servicios de TI:
[Date]
37
Visión Describe los objetivos fundamentales de la solución .
Empaque el plan maestro del proyecto.
Cree la planificación maestra.
Revise los Hitos Aprobados de los Planes de Proyecto.
[Date]
38
Flujo de Gestión de Planificación de Proyectos
Publicado: 25 de abril de 2008
La Figura 2 ilustra el flujo del proceso para la gestión de la planificación del proyecto. Este flujo
consiste en los siguientes procesos:
[Date]
39
Proceso 1: Evaluar productos y tecnologías
Publicado: 25 de abril de 2008
El primer proceso en la planificación de proyectos es que el equipo del proyecto cree una línea de
base del cliente y evalúe los productos y tecnologías que está considerando usar.
Durante este proceso, el equipo del proyecto evalúa los productos y tecnologías que está
considerando utilizar para construir o implementar la solución. Los miembros del equipo con roles
de desarrollo y prueba realizan la evaluación para asegurar que los productos y tecnologías bajo
consideración funcionan de acuerdo con las especificaciones del proveedor y cumplen con los
requisitos del proyecto. Este esfuerzo eventualmente produce una prueba de concepto y finalmente
evoluciona hacia el desarrollo de la solución.
El equipo del proyecto también debe basar el entorno del cliente durante este proceso. Este es el
proceso de auditoría del entorno de producción del cliente para crear un inventario que incluya
configuraciones de servidor, componentes de red, aplicaciones y todo el hardware relevante. La
línea de base del cliente es útil para escribir la especificación funcional y es necesaria para construir
el laboratorio de desarrollo y pruebas.
La siguiente tabla enumera las actividades involucradas en este proceso. Éstas incluyen:
[Date]
40
Proceso 4: Creación del programa maestro
Evaluación de productos y tecnologías.
Consideraciones
Ocupaciones
Preguntas clave:
Salidas:
Preguntas clave:
Entradas:
Entradas:
Salidas:
Programa maestro
Mejores prácticas:
En este proceso final, el equipo del proyecto, los clientes y las partes interesadas firman el informe
de revisión de hitos para el hito aprobado por los planes del proyecto, que también es una revisión
de la gestión del MOF.
[Date]
42
Figura 7. Revisar el Hito Aprobado de los Planes de Proyecto
Antes de este proceso, el equipo, los clientes y las partes interesadas han revisado la
especificación funcional, el plan maestro del proyecto y el calendario del proyecto maestro. Han
acordado que se han cumplido todos los hitos intermedios, que las fechas de vencimiento son
realistas y que los proyectos, funciones y responsabilidades están bien definidos. También están de
acuerdo en que existen mecanismos para abordar los riesgos del proyecto.
Después de que el equipo apruebe las especificaciones, los planes y las programaciones, los
documentos se convierten en la línea de base del proyecto. La línea de base toma en cuenta las
diversas decisiones que se alcanzan por consenso aplicando las tres variables de planificación del
proyecto: recursos, programación y características. Una vez que el equipo define una línea base, se
coloca bajo control de cambio. Esto no significa que todas las decisiones alcanzadas en la fase de
planificación sean definitivas. Pero significa que a medida que el trabajo avanza en la fase de
desarrollo, el equipo debe revisar y aprobar cualquier cambio sugerido a la línea de base.
Después de aprobar los planes del proyecto, el equipo está listo para pasar al desarrollo de la
solución.
Cuadro 8. Actividades y consideraciones para la revisión de los planes del proyecto Hito
aprobado
[Date]
43
[Date]
44
compilación
Publicado: 25 de abril de 2008
Posición de la estructura SMF dentro del ciclo de vida del servicio de TI de MOF
El ciclo de vida del servicio de TI de MOF abarca todas las actividades y procesos involucrados en
la administración de un servicio de TI: su concepción, desarrollo, operación, mantenimiento y, en
última instancia, su retiro. MOF organiza estas actividades y procesos en Funciones de Gestión de
Servicios (SMF), que se agrupan en fases del ciclo de vida. Cada SMF está anclado dentro de una
fase de ciclo de vida y contiene un conjunto único de metas y resultados que apoyan los objetivos
de esa fase. Los SMF pueden ser usados como conjuntos independientes de procesos, pero es
cuando los SMFs se usan juntos que son más efectivos para asegurar la prestación de servicios con
los niveles de calidad y riesgo deseados.
El Build SMF pertenece a la fase Deliver del ciclo de vida del servicio de TI de MOF. La siguiente
figura muestra el lugar del SMF de Build dentro de la fase Deliver, así como la ubicación de la fase
Deliver dentro del ciclo de vida del servicio de TI.
Figura 1. Posición de la estructura SMF dentro del ciclo de vida del servicio de TI
Antes de utilizar este SMF, puede leer las siguientes guías de MOF 4.0 para obtener más
información sobre el ciclo de vida del servicio de TI de MOF y la fase Deliver:
Descripción de MOF
Descripción de la fase de entrega
Este SMF debe ser útil para cualquier persona que esté involucrada con un equipo de proyecto
[Date]
45
encargado del desarrollo real de una solución de servicios de TI, con la creación de un laboratorio
de desarrollo y prueba o con la preparación de una solución de servicio de TI para la
implementación piloto.
Building sigue la parte de planificación del proyecto de la fase Deliver y culmina en el Hito Completo
del Alcance. En Scope Complete Milestone, todas las funciones están completas y la solución está
lista para pruebas y estabilización externas. Este hito es la oportunidad para que los clientes, los
usuarios, las operaciones y el personal de soporte y los principales interesados en el proyecto
evalúen la solución e identifiquen cualquier problema que deba resolverse antes de lanzar la
solución a la producción.
[Date]
46
Resuelve conflictos entre
proyectos
Defensores de operaciones en
el equipo del proyecto
Requiere expertos en Revisa la especificación de la
operaciones según sea solución para asegurar que cumple
Experiencia en
necesario para obtener con los requisitos de las
Operaciones
información detallada operaciones
Coordina con la gestión de la
liberación
[Date]
47
Posee todas las pruebas en
todos los equipos del proyecto
Desarrolla estrategias y planes
Gerente de de pruebas Supervisión continua
Pruebas Garantiza la utilización de
métodos de prueba de las
mejores prácticas
Los objetivos principales del proceso de construcción son desarrollar los productos de la solución
según las especificaciones del cliente, desarrollar la documentación de la solución, crear el
laboratorio de desarrollo y prueba y preparar la solución para la implementación piloto.
El tipo de rol Developer es el principal responsable de este objetivo, pero todos los roles participan
en la creación de la solución. Para lograr este objetivo, Development proporciona soluciones de
bajo nivel y diseño de funciones, estima el esfuerzo para entregar ese diseño y construye la
solución. Además, Development presta servicios a todo el equipo como consultor de tecnología,
validando las decisiones técnicas y mitigando los riesgos de desarrollo. La Tabla 2 muestra los
resultados deseados de los objetivos de Build SMF y enumera las medidas que puede usar para
medir con qué éxito ha logrado estos objetivos después de completar este SMF.
Medidas
Resultados
Número de errores no resueltos o
diferidos
Una solución entregada al cliente libre de defectos Signoff en el Alcance Hito
Completo
Términos clave
La siguiente tabla contiene definiciones de los términos clave que se encuentran en esta guía.
[Date]
48
Definición
Término
Una línea de base es un estado conocido por el cual algo se mide o compara.
Base Baselining está colocando algo bajo control de cambio. Las líneas de base
permiten gestionar el cambio en proyectos complejos.
Los miembros del equipo que representan cada función generan estimaciones
Programación de
de tiempo y programaciones para los entregables. El horario de cada equipo
abajo hacia arriba
está integrado en un programa maestro del proyecto.
El diseño conceptual implica entender los requisitos del negocio y definir las
características que los usuarios necesitan para hacer su trabajo. Product
Diseño conceptual Management toma la delantera en la creación del diseño conceptual, que
comienza durante la visualización y continúa a través de la planificación del
proyecto.
Cliente La persona u organización que comisiona y financia el proyecto.
Un indicador de progreso temprano que segmenta grandes esfuerzos de
trabajo en porciones manejables. La fase de entrega sugiere un conjunto de
Hito intermedio
hitos intermedios, pero los equipos de proyecto deben definir hitos intermedios
que tengan sentido para sus proyectos.
El diseño lógico utiliza el diseño conceptual y el estado actual de la
Diseño lógico
infraestructura tecnológica para definir la nueva arquitectura a un nivel alto.
Un punto de sincronización de proyecto. Los hitos principales marcan la
transición de los proyectos de una fase a la siguiente. También transfieren la
Hito
responsabilidad primaria de una función a otra. Los SMF de la fase de entrega
corresponden a los principales hitos de MSF.
El diseño físico entra en mayor detalle sobre la arquitectura deseada que el
diseño lógico y define las configuraciones de hardware y los productos de
Diseño físico software que se utilizarán. Como regla general, el diseño de la solución debe
contener suficiente detalle para permitir al equipo comenzar a trabajar en el
plan del proyecto.
Una visión de la visión del proyecto limitada por limitaciones como tiempo y
recursos. El ámbito de la solución describe las características y entregables
Alcance
de la solución. El alcance del proyecto describe el trabajo a realizar por el
equipo.
Una entrega coordinada de tecnologías, documentación, capacitación y
soporte diseñados para responder con éxito a un problema comercial único del
Solución
cliente. Las soluciones suelen combinar personas, procesos y tecnología para
resolver problemas.
Individuos o grupos con interés en el resultado del proyecto, aunque sus
objetivos y prioridades no siempre son idénticos a los del cliente. Ejemplos de
Tenedor de
partes interesadas son los directores departamentales que se verán afectados
apuestas
por la solución, el personal de TI responsable de ejecutar y apoyar la solución
y los administradores funcionales que aportan recursos al equipo del proyecto.
Caso de uso Describe una tarea individual realizada en un escenario de uso.
Describe una actividad particular que un usuario intenta realizar, como
Escenario de uso
procesar una transacción o verificar el correo electrónico.
Usuarios Las personas que interactúan con la solución para realizar sus trabajos.
Visión Describe los objetivos fundamentales de la solución.
[Date]
49
Crear flujo de proceso
Publicado: 25 de abril de 2008
La figura 2 ilustra el flujo de proceso para la construcción. Este flujo consiste en los siguientes
procesos:
[Date]
50
Figura 2. Generar flujo de proceso
[Date]
51
El primer proceso para construir la solución es que el equipo del proyecto se prepare para
desarrollar la solución.
[Date]
52
Es importante que todo el equipo entienda que lo que está en los servidores de laboratorio puede
volverse inestable y requerir reinstalación.
Si la organización aún no tiene un ambiente de laboratorio en su lugar, el equipo del proyecto debe
construir uno. El laboratorio de desarrollo y prueba debe simular el entorno de producción lo más
cerca posible sin interactuar con él. Aunque esto puede ser costoso, es crucial. De lo contrario, los
errores pueden pasar desapercibidos hasta que la solución se despliegue en el entorno de
producción. Las organizaciones pueden aprovechar la información contenida en el sistema de
gestión de configuración de la organización (CMS) como inventario para replicar el entorno de
producción.
El equipo también debe preparar procedimientos para el seguimiento de las cuestiones y sus
resoluciones. Estos procedimientos no sólo proporcionan información de seguimiento y de estado,
sino que también contienen información que las operaciones y el soporte encontrarán de valor
incalculable después de implementar la solución.
El equipo del proyecto no debe esperar hasta que finalice la planificación del proyecto antes de
comenzar este paso. El equipo debe establecer las estaciones de trabajo, servidores y
herramientas de desarrollo del entorno de laboratorio, ya que los planes se están finalizando y
revisando para evitar retrasar el inicio de la fase de construcción. También debe establecerse un
sistema de respaldo. Por lo tanto, este paso de construcción traslapa los procesos finales de la
planificación del proyecto.
La siguiente tabla enumera las actividades involucradas en este proceso. Éstas incluyen:
Consideraciones
Ocupaciones
Preparar el laboratorio Preguntas clave:
de desarrollo
¿Pueden los roles del equipo compartir un laboratorio común?
Recuerde, la prueba debe ser separada.
¿Hay equipo disponible para construir un laboratorio para simular
el entorno de producción?
¿La Administración de versiones entiende el entorno actual y
planificado lo suficientemente bien como para replicarlo en el
entorno del laboratorio?
¿Es necesario un inventario del hardware en el entorno de
producción?
¿Es necesario un inventario de las aplicaciones en el entorno de
[Date]
53
[Date]
54
Consideraciones
Ocupaciones
Políticas y procedimientos de seguimiento de emisiones
(documento de pruebas y de informes)
Mejores prácticas:
Preguntas clave:
Entradas:
Salidas:
Mejores prácticas:
[Date]
55
Proceso 2: Desarrollar la solución
Publicado: 25 de abril de 2008
[Date]
56
Figura 4. Desarrollar la solución
[Date]
57
La principal actividad que ocurre durante este proceso es el desarrollo de los entregables, de los
que el desarrollo es el principal responsable.
La siguiente tabla enumera las actividades involucradas en este proceso. Éstas incluyen:
Consideraciones
Ocupaciones
Desarrollar los Preguntas clave:
productos de la
solución ¿Es este proyecto una continuación de una versión anterior?
¿Los desarrolladores necesitan capacitación para las herramientas
que usarán?
¿Existe un sistema de control de cambios para el seguimiento de
versiones?
¿El equipo del proyecto tiene un enfoque claro para manejar las
compensaciones (características comerciales para el horario,
rendimiento de las funciones, etc.)?
¿Comprende el desarrollo los impulsores del negocio y de la
tecnología?
¿El desarrollo tiene objetivos de diseño claros, como el diseño para la
seguridad, el diseño para la interoperabilidad, y así sucesivamente?
¿Qué pautas y estándares, como las normas de nomenclatura, deben
seguir al desarrollar el código de la solución?
[Date]
58
Consideraciones
Ocupaciones
¿Tiene el equipo del proyecto un sistema de control de versiones?
¿El equipo del proyecto tiene un proceso de construcción
automatizado y diario?
¿Qué componentes de terceros y herramientas de desarrollo utilizará
el equipo?
Entradas:
Especificacion funcional
Plan maestro del proyecto, incluyendo el plan de desarrollo
Laboratorio de desarrollo y pruebas
Salidas:
Mejores prácticas:
El axioma mide una vez, corta dos veces; medir dos veces, cortar
una vez se aplica al desarrollo. Una planificación y un diseño
minuciosos conducen a un desarrollo más sencillo.
Entradas:
Especificacion funcional
Plan maestro del proyecto
Creación de soluciones provisionales
[Date]
59
Consideraciones
Ocupaciones
Salidas:
Mejores prácticas:
Entradas:
Especificacion funcional
Plan maestro del proyecto, incluyendo el plan de pruebas
Laboratorio de desarrollo y pruebas
Creación de soluciones provisionales
Documentación provisional
Escenarios de prueba y casos de prueba
Políticas y procedimientos de seguimiento de emisiones
Salidas:
[Date]
60
Consideraciones
Ocupaciones
Mejores prácticas:
[Date]
61
Figura 5. Preparación para la liberación
La siguiente tabla enumera las actividades involucradas en este proceso. Éstas incluyen:
[Date]
62
Preparación de contenidos de capacitación.
Consideraciones
Ocupaciones
Preguntas clave:
Entradas:
Especificacion funcional
Plan maestro del proyecto, incluyendo:
Preparar el Plan Piloto.
despliegue Plan de empleo.
Línea de base del cliente, incluyendo:
Diagramas de topología del entorno de producción.
Datos de inventario de hardware y software.
Salidas:
Mejores prácticas:
[Date]
63
Consideraciones
Ocupaciones
¿Cuál es el estado de ánimo general en la organización sobre el
cambio?
¿Se comunica regularmente con los usuarios sobre sus iniciativas?
¿Qué medios están disponibles para comunicarse con los usuarios?
Entradas:
Salidas:
Mejores prácticas:
[Date]
64
Figura 6. Revise el hito completo del ámbito
Para completar este proceso, el equipo del proyecto, los clientes y las partes interesadas revisan el
hito completo de Scope. Están de acuerdo en que el equipo ha cumplido todos los hitos intermedios
y que se ha desarrollado el alcance completo de la solución tal como se define en la especificación
funcional. Después de revisar y aprobar el Hito Completo de Scope, el equipo del proyecto está listo
para pasar a la estabilización.
Consideraciones
Ocupaciones
Firmar el informe de revisión Preguntas clave:
de hitos para el hito completo
[Date]
65
¿El equipo del proyecto, los clientes y las partes interesadas
han revisado las entregas de la solución, incluyendo el
código, la infraestructura y la documentación?
¿El equipo del proyecto, el cliente y las partes interesadas
están de acuerdo en que el equipo del proyecto ha cumplido
con los requisitos de Scope Complete Milestone?
Entradas:
Salidas:
Conclusión
Publicado: 25 de abril de 2008
Build SMF describe el proceso para desarrollar los componentes de la solución para un servicio de
TI. Estos componentes incluyen el código y la documentación que crean los desarrolladores y la
infraestructura que los soporta. El SMF también describe cómo crear el laboratorio de desarrollo y
prueba y preparar la solución para el despliegue piloto.
[Date]
66
Revise el Hito Completo de Scope y firme en el reporte de revisión de hitos.
Realimentación
Posición del SMF de estabilización dentro del ciclo de vida del servicio TI de MOF
El ciclo de vida del servicio de TI de MOF abarca todas las actividades y procesos involucrados en
la administración de un servicio de TI: su concepción, desarrollo, operación, mantenimiento y, en
última instancia, su retiro. MOF organiza estas actividades y procesos en Funciones de Gestión de
Servicios (SMF), que se agrupan en fases del ciclo de vida. Cada SMF está anclado dentro de una
fase de ciclo de vida y contiene un conjunto único de metas y resultados que apoyan los objetivos
de esa fase. Los SMF pueden ser usados como conjuntos independientes de procesos, pero es
cuando los SMFs se usan juntos que son más efectivos para asegurar la prestación de servicios con
los niveles de calidad y riesgo deseados.
El Stabilize SMF pertenece a la fase Deliver del ciclo de vida del servicio de TI de MOF. La
siguiente figura muestra el lugar del SMF de estabilización dentro de la fase de entrega, así como la
ubicación de la fase de entrega dentro del ciclo de vida del servicio de TI.
Figura 1. Posición del Stabilize SMF dentro del ciclo de vida del servicio de TI
Antes de utilizar este SMF, puede leer las siguientes guías de MOF 4.0 para obtener más
información sobre el ciclo de vida del servicio de TI de MOF y la fase Deliver:
[Date]
67
Descripción de MOF
Descripción de la fase de entrega
Este SMF debe ser útil para cualquiera que tenga la tarea de garantizar el lanzamiento de la
solución de servicios de TI de la más alta calidad posible en el hito de disponibilidad de la versión.
Incluye orientación sobre cómo probar una solución completa de funciones, preparar versiones de
lanzamiento de candidato, tratar comentarios y solucionar problemas informados.
La estabilización comienza después del hito completo Scope, que finaliza el desarrollo. La guía
proporcionada por el SMF de Estabilización está diseñada para ayudar al equipo del proyecto en las
siguientes actividades:
Durante las pruebas, el énfasis está en usar y operar la solución en condiciones ambientales
realistas. El equipo del proyecto se centra en resolver y clasificar (priorizar) los errores y preparar la
solución para el despliegue.
Hay una serie de tipos de pruebas que se pueden utilizar en esta etapa, entre ellos los siguientes:
Prueba a menudo informes bugs a un ritmo más rápido que el desarrollo puede resolverlos.
Aunque no hay forma de saber cuántos bugs probarán o cuánto tiempo tardará el desarrollo en
solucionarlos, existen indicadores estadísticos conocidos como convergencia de bugs y rebote de
errores cero que ayudan a los equipos a predecir cuándo las soluciones alcanzarán estabilidad.
Esta guía describe ambas señales.
[Date]
68
Una vez que el equipo del proyecto decide que una compilación es lo suficientemente estable como
para ser un candidato de liberación, despliega la solución a un grupo piloto. Estabilización culmina
en la prontitud de liberación MR. Este hito se produce cuando se han solucionado todos los
problemas pendientes y el equipo ha liberado la solución o la ha implementado en el entorno de
producción.
Establece objetivos de
diseño
Describe el concepto de
Controla el diseño, la programación solución
Director del
y los recursos a nivel de proyecto Crea la estructura del
programa
proyecto
Requisitos de documentos
para probar contra
Crea solución
Construye la solución acordada
Desarrollador Arregla errores
Estrategias de pruebas
Criterios de aceptación de
Pruebas para determinar con
pruebas
precisión el estado del desarrollo de
Ensayador Solución de pruebas
la solución
Implicaciones del proyecto
de documentos
[Date]
69
Responsabilidades Función en este SMF
Tipo de rol
Actúa como defensor del usuario en Documentos requisitos de
los equipos de proyecto rendimiento del usuario
Ayuda a definir los requisitos del Documentos implicados en
Experiencia de
usuario las pruebas del proyecto
usuario
Ayuda a diseñar para satisfacer las Participa en el análisis de
necesidades del usuario errores
Implicaciones de
Evalúa el diseño de la solución
implementación de
Documenta los requisitos de
documentos
operaciones para asegurar que se
Documentos gestión de
cumplan con el diseño
Gestión de la operaciones y apoyo
Crea un piloto, plan de despliegue y
liberación Documentos criterios de
programación
aceptación de operaciones
Administra la implementación del
Se prepara para la
sitio
liberación
Defensores de operaciones en el
Documentos requisitos de
equipo del proyecto
rendimiento de operaciones
Requiere expertos en operaciones
Participa en el análisis de
Experiencia en según sea necesario para obtener
errores
Operaciones información detallada
Se prepara para la
Coordina con la gestión de la
liberación
liberación
Metas de Estabilización
La Tabla 2 muestra los resultados deseados de las metas de Estabilizar SMF y enumera las
[Date]
70
medidas que puede usar para medir con qué éxito ha logrado estos objetivos después de completar
este SMF.
Medidas
Resultados
Bug convergencia y cero rebote de
bugs alcanzados
No hay errores no resueltos en la
Una solución estable y de alta calidad
base de datos de seguimiento de
problemas
Una solución de alta calidad que satisface las Firma en el hito de prontitud de
expectativas y especificaciones del cliente tal y como liberación
se define en la especificación funcional
Términos clave
La siguiente tabla contiene definiciones de los términos clave que se encuentran en esta guía.
Definición
Término
El punto en el que el número de errores fijados excede el número de errores
Convergencia
reportados. Bug convergence es la primera indicación de que la solución se está
de errores
convirtiendo en estable.
Pruebas
Prueba de una solución completa contra la especificación funcional.
funcionales
Pruebas de Prueba de componentes individuales ensamblados integrados con otros
integración componentes.
Pruebas realizadas por un subconjunto de usuarios en un entorno de
Prueba piloto producción. El grupo piloto utiliza la solución, proporcionando retroalimentación
y reportando cualquier error que encuentre el grupo.
El proceso de priorización y racionalización de errores y problemas con la
solución. Las prioridades asignadas a los bugs indican lo crítico que es
Triage
solucionarlos. Racionalizar es el proceso de determinar la gravedad del error y si
el error debe arreglarse para la versión actual.
Examen de la
Comprobación de los componentes individuales de la solución.
unidad
[Date]
71
Definición
Término
El punto en el que el desarrollo no tiene errores abiertos para arreglar. Aunque
Zero rebote de es muy probable que la prueba informe errores adicionales en el futuro, el rebote
errores de errores cero es la primera indicación de que la estabilización está llegando a
su fin.
La figura 2 ilustra el flujo de proceso para estabilizar. El flujo consiste en los siguientes procesos:
[Date]
72
Figura 2. Estabilizar el flujo del proceso
[Date]
73
Publicado: 25 de abril de 2008
Este acelerador forma
El primer proceso de estabilización es que el equipo encuentre y solucione parte de una serie
errores en la solución y prepare un candidato de liberación. más amplia de
herramientas y
directrices de Solution
Accelerators .
Descargar
Obtenga el Microsoft
Operations
Framework 4.0
Notificaciones de
aceleradores de
soluciones
Regístrese para
conocer las
actualizaciones y los
nuevos lanzamientos
Realimentación
Envíanos tus
comentarios o
sugerencias
[Date]
74
Figura 3. Estabilizar un candidato a la liberación
Para completar este proceso, los equipos deben permitir que las partes
interesadas interactúen con la solución mientras se encuentra en el entorno
de desarrollo. Por ejemplo, las partes interesadas pueden probar la solución
en un laboratorio o en un entorno de capacitación. Pero la prueba necesita
un ambiente separado para las pruebas. Los miembros del equipo de
despliegue, las operaciones, el soporte y los usuarios son candidatos típicos
para revisar la preparación del piloto.
Consideraciones
Ocupaciones
Escribir el Preguntas clave:
documento de
especificación de ¿Cuál es el camino típico a través de la
prueba solución?
¿Cuáles son los escenarios clave?
¿Funciona la solución según lo esperado?
¿Cómo se puede probar la solución?
¿Qué requisitos se deben probar?
[Date]
75
Consideraciones
Ocupaciones
¿Cómo se ve el éxito?
Entradas:
Especificacion funcional
Escenarios de prueba y casos de prueba
Salidas:
Entradas:
[Date]
76
Consideraciones
Ocupaciones
emisiones
Salidas:
Liberar al candidato
Mejores prácticas:
Entradas:
Liberar al candidato
Plan maestro del proyecto, incluyendo el plan de
pruebas
Escenarios de prueba y casos de prueba
Base de datos de seguimiento de problemas
Políticas y procedimientos de seguimiento de
emisiones
Salidas:
[Date]
77
Consideraciones
Ocupaciones
Mejores prácticas:
Entradas:
Salidas:
Aceptacion de usuario
Archivo de soluciones en la biblioteca de
software definitiva (DSL)
Mejores prácticas:
[Date]
78
Consideraciones
Ocupaciones
Tenga una manera de recopilar ideas para
futuros usuarios que surgieron durante las
pruebas.
[Date]
79
Figura 4. Realizar una prueba piloto
[Date]
80
Una prueba piloto verifica que la solución cumple con las expectativas y especificaciones del cliente
mediante la prueba de toda la solución en un entorno de producción. Normalmente, una prueba
piloto es un despliegue en un subconjunto del entorno de producción en directo. Este subconjunto
puede ser un grupo particular de usuarios, un departamento completo o un grupo de servidores en
un centro de datos. El proceso de prueba piloto ayuda a identificar áreas donde los usuarios tienen
problemas para entender, aprender y usar la solución. También ofrece a Release Management la
oportunidad de identificar problemas que pueden impedir el despliegue exitoso de la solución.
Durante la prueba piloto, el equipo recopila y evalúa datos piloto, tales como comentarios de los
usuarios. Una vez que el equipo ha reunido suficientes datos, el equipo debe elegir una de las
siguientes estrategias:
Consideraciones
Actividad
Pilote la solución y Preguntas clave:
recopile la
retroalimentación ¿Es viable la solución en un entorno de producción?
¿Están listos todos los componentes de la solución para la
implementación?
¿El equipo del proyecto y los clientes han acordado criterios
piloto de éxito?
¿Tiene el equipo del proyecto un mecanismo para recolectar la
retroalimentación?
¿Qué sitios y grupos tiene el equipo de proyecto elegido para el
piloto? ¿Hay uno o más perfiles de usuario que el equipo está
apuntando para la prueba piloto?
¿Se preparan los usuarios objetivo para el piloto?
¿Ha documentado el equipo del proyecto un plan de transición
en el plan piloto?
¿Cómo evaluará el equipo del proyecto los resultados de la
prueba piloto?
¿Qué riesgos se asocian con la prueba piloto de la solución en
producción?
Entradas:
[Date]
81
Consideraciones
Actividad
Plan de apoyo.
Candidato de lanzamiento listo para el piloto, incluyendo:
Soluciones disponibles.
Documentación de la solución.
Salidas:
Mejores prácticas:
En este proceso final, el equipo del proyecto, los clientes y las partes interesadas revisan y
aprueban el hito de preparación para la liberación.
[Date]
82
Figura 5. Revisar el hito de prontitud de liberación
La estabilización culmina en el hito de Readiness de liberación. Este hito, que es una revisión de la
gestión de MOF, se produce después de que se ha llevado a cabo un piloto exitoso, se han
solucionado todos los problemas pendientes y se ha liberado y puesto a disposición para su
despliegue total en el entorno de producción. Este hito es la oportunidad para que los clientes y
usuarios, las operaciones y el personal de soporte y los principales interesados en el proyecto
evalúen la solución e identifiquen cualquier problema que deba resolver antes de su
implementación.
Consideraciones
Ocupaciones
Aprobar el hito de prontitud de Preguntas clave:
liberación
¿Fue exitoso el piloto en comparación con los criterios de
éxito?
¿El equipo documentó soluciones para problemas
encontrados durante el piloto?
¿Están todos satisfechos y preparados para firmar en su
trabajo?
[Date]
83
Consideraciones
Ocupaciones
¿Están plenamente documentados los procedimientos de
despliegue y operaciones?
¿Se probaron los procedimientos de despliegue y opciones
durante el piloto?
Entradas:
Salidas:
Conclusión
Publicado: 25 de abril de 2008
Este SMF ha tratado cómo garantizar la liberación de la solución de servicios de TI de la más alta
calidad posible en el hito de disponibilidad de la versión. Incluye orientación sobre cómo probar una
solución completa de funciones, preparar versiones de lanzamiento de candidato, tratar comentarios
y solucionar problemas informados.
Lograr esto requiere una comprensión clara de los siguientes procesos de estabilización:
Realimentación
[Date]
84
Publicado: 25 de abril de 2008
El ciclo de vida del servicio de TI de MOF abarca todas las actividades y procesos involucrados en
la administración de un servicio de TI: su concepción, desarrollo, operación, mantenimiento y, en
última instancia, su retiro. MOF organiza estas actividades y procesos en Funciones de Gestión de
Servicios (SMF), que se agrupan en fases del ciclo de vida. Cada SMF está anclado dentro de una
fase de ciclo de vida y contiene un conjunto único de metas y resultados que apoyan los objetivos
de esa fase. Los SMF pueden ser usados como conjuntos independientes de procesos, pero es
cuando los SMFs se usan juntos que son más efectivos para asegurar la prestación de servicios con
los niveles de calidad y riesgo deseados.
Deploy SMF pertenece a la fase Deliver del ciclo de vida del servicio de TI de MOF. La siguiente
figura muestra el lugar de implementación de SMF dentro de la fase de entrega, así como la
ubicación de la fase de entrega dentro del ciclo de vida del servicio de TI.
Figura 1. Posición de la implantación de SMF dentro del ciclo de vida del servicio de TI
Antes de utilizar este SMF, puede leer las siguientes guías de MOF 4.0 para obtener más
información sobre el ciclo de vida del servicio de TI de MOF y la fase Deliver:
Descripción de MOF
Descripción de la fase de entrega
Este SMF debe ser útil para cualquier persona que esté involucrada en la liberación de una solución
de servicio de TI estable en el entorno de producción, incluida la estabilización de la solución en el
entorno de producción y la transferencia de la responsabilidad del equipo de proyecto a los equipos
[Date]
85
de Operaciones y Soporte.
El hito completo de implementación concluye la implementación. Con este hito, la solución debe
satisfacer las expectativas y especificaciones del cliente, proporcionando el valor comercial
esperado al cliente. El cliente debe acordar explícitamente que la solución cumple sus objetivos
antes de que el equipo declare que la solución se ha implementado con éxito en la producción. Esto
requiere una solución estable y criterios claramente comunicados para el éxito. Además, las
operaciones apropiadas y los sistemas de apoyo deben estar en su lugar. Al llegar al Hito Completo
de Despliegue, el equipo debería haber finalizado todas las actividades y terminado el proyecto.
[Date]
86
Responsabilidades Papel en este SMF
Tipo de rol
Actua como director de
proyectos para todos los
proyectos
Resuelve conflictos entre
proyectos
[Date]
87
Responsabilidades Papel en este SMF
Tipo de rol
operaciones según sea
necesario para obtener
información detallada operaciones
Coordina con la gestión de la
liberación
Objetivos de la implementación
El objetivo del despliegue es liberar una solución estable en el entorno de producción. Esto incluye
estabilizar la solución en el entorno de producción y transferir la responsabilidad de la solución
desde el equipo del proyecto a los equipos de operaciones y soporte. La Tabla 2 muestra los
resultados deseados de las metas de Implementación de SMF y enumera las medidas que puede
utilizar para medir con qué éxito ha logrado estos objetivos después de completar este SMF.
Medidas
Resultados
Número de problemas de soporte abiertos
Solución estable implementada en el entorno
después del despliegue
de producción
Todos los sitios están completamente
El cliente está satisfecho y acepta la solución desplegados
implementada Firma en el hito completo del despliegue
Términos clave
La siguiente tabla contiene definiciones de los términos clave que se encuentran en esta guía.
[Date]
88
Definición
Término
Un estado conocido por el cual algo se mide o compara. Baselining está
Base colocando algo bajo control de cambio. Las líneas de base permiten gestionar el
cambio en proyectos complejos.
Cliente La persona u organización que comisiona y financia el proyecto.
Una prueba realizada por un subconjunto de usuarios en un entorno de
Prueba piloto producción. El grupo piloto utiliza la solución, proporcionando retroalimentación y
reportando cualquier error que encuentre el grupo.
El período entre el hito intermedio estable de despliegue y el hito completo de
Periodo de despliegue. Durante este período, el equipo del proyecto ya no está activo, pero sí
silencio responde a los problemas a medida que las operaciones y el apoyo los escalan al
equipo. Típicos períodos de calma duran de 15 a 30 días.
Individuos o grupos que tienen interés en el resultado del proyecto, aunque sus
objetivos y prioridades no siempre son idénticos a los del cliente. Ejemplos de
Interesados partes interesadas son los directores departamentales que se verán afectados por
la solución, el personal de TI responsable de ejecutar y apoyar la solución y los
administradores funcionales que aportan recursos al equipo del proyecto.
Usuarios Las personas que interactúan con la solución para realizar sus trabajos.
La versión final, completamente probada de la solución. Una versión final se
Lanzamiento
considera estable y relativamente libre de errores con una calidad adecuada para
final
una amplia distribución y uso por parte de los usuarios finales.
La Figura 2 ilustra el flujo de proceso para el despliegue. Este flujo consiste en el siguiente
proceso:
[Date]
89
Figura 2. Flujo del proceso de implementación
[Date]
90
Publicado: 25 de abril de 2008
Las soluciones de TI suelen requerir infraestructura de apoyo en la que desplegar y operar. Los
ejemplos de infraestructura incluyen controladores de dominio, servidores de correo electrónico,
servidores de acceso remoto y servidores de base de datos. Aunque los usuarios no interactúan
directamente con la infraestructura, la solución normalmente depende de ella. Los equipos de
proyecto pueden implementar la tecnología de núcleo antes o en paralelo con la solución,
dependiendo de los requisitos de la solución.
Consideraciones
Ocupaciones
Implementar la Preguntas clave:
infraestructura de la
solución en la producción ¿Puede el equipo del proyecto implementar la tecnología central
en paralelo con la solución, o el equipo debe desplegar la
tecnología principal antes de la solución?
¿El equipo del proyecto comenzó a desplegar los componentes
[Date]
91
Consideraciones
Ocupaciones
básicos antes en el ciclo de vida del proyecto, como durante la
prueba piloto realizada en la estabilización?
¿Ha documentado el equipo del proyecto una estrategia para
desplegar la infraestructura?
¿Tiene el equipo del proyecto experiencia en el despliegue de
infraestructuras similares?
Entradas:
Salidas:
[Date]
92
Figura 4. Implementación de sitios
Este proceso es el objetivo final de todos los procesos anteriores del proyecto. Durante este
proceso, el equipo de proyecto despliega la solución a todos los usuarios y equipos de destino de
cada sitio. Los comentarios de clientes y usuarios de los sitios desplegados pueden revelar
problemas adicionales con la solución. Por lo tanto, el equipo del proyecto puede tener que revisar
algunos sitios después del despliegue. Sin embargo, el equipo del proyecto está haciendo un
esfuerzo concentrado para completar el despliegue y cerrar el proyecto. Al finalizar este proceso,
todos los usuarios y computadoras objetivo tienen acceso a la solución. Además, cada propietario
del sitio ha firmado que su sitio está funcionando como se esperaba.
Consideraciones
Ocupaciones
Implementar la Preguntas clave:
solución en cada sitio
¿Realmente la solución involucra implementación de cliente?
¿El equipo implementó los componentes básicos de la
infraestructura con éxito?
¿Ha establecido el equipo del proyecto expectativas con clientes y
usuarios?
¿El equipo del proyecto comunicó el plan de despliegue a cada
[Date]
93
Consideraciones
Ocupaciones
sitio?
¿El equipo utilizará un despliegue gradual en cada sitio?
¿Cuánto ancho de banda de la red y otros recursos son
necesarios?
Entradas:
Salidas:
Mejores prácticas:
Implementar cada sitio por separado ya que cada uno puede tener
requisitos únicos, haciendo un despliegue general poco práctico.
Tomar decisiones sobre la estrategia de despliegue a principios del
proyecto, en las fases de Envisioning o Project Planning, para
minimizar el riesgo.
Obtenga el Microsoft
Operations
Framework 4.0
Notificaciones de
aceleradores de
soluciones
Regístrese para
[Date]
94
Figura 5. Estabilizar la implementación
Consideraciones
Ocupaciones
[Date]
95
Proceso 4: Revisión del hito completo de
implementación
Publicado: 25 de abril de 2008
En este proceso final, el equipo del proyecto completa su participación con la solución.
El hito completo de implementación finaliza el proyecto y significa que el equipo del proyecto se ha
desacoplado completamente y transferido la solución al personal permanente. Al finalizar este hito,
el equipo del proyecto firma el documento del informe de revisión del hito para indicar su aprobación
del hito. Además, el equipo del proyecto, los clientes y las partes interesadas completan el
documento de análisis posterior al proyecto y el informe de cierre del proyecto para documentar las
lecciones aprendidas y las mejores prácticas.
La siguiente tabla enumera las actividades involucradas en este proceso. Esto incluye:
Consideraciones
Ocupaciones
Aprobar el hito Preguntas clave :
completo del despliegue
¿Se han completado y estabilizado todas las implementaciones
del sitio?
[Date]
96
Consideraciones
Ocupaciones
¿Están satisfechos los clientes y usuarios con la solución y el
despliegue?
¿Se han transferido todos los miembros del equipo del proyecto
del proyecto?
¿El período de tranquilidad fue sin incidentes o se documentaron
numerosos incidentes?
Entradas:
Informes de implementación
Salidas:
Preguntas clave:
Entradas:
Conclusión
Publicado: 25 de abril de 2008
Deploy SMF describe cómo liberar una solución estable en el entorno de producción. Este SMF
describe específicamente cómo estabilizar una solución de servicios de TI en el entorno de
producción y transferir la responsabilidad de la solución desde el equipo del proyecto a los equipos
de Operaciones y Soporte.
[Date]
97
Implementar sitios.
Estabilice el despliegue.
Revise el hito completo del despliegue.
Realimentación
Gestionar
Publicado: 25 de abril de 2008
Manage Layer establece un enfoque integrado de las actividades de gestión de servicios de TI.
Esta área de MOF ayuda a los profesionales de TI a coordinar los procesos descritos en la fase de
ciclo de vida de SMFs y proporciona orientación sobre:
[Date]
98
La capa de gestión
Publicado: 25 de abril de 2008
Para ayudar a los profesionales de TI a planificar y optimizar eficazmente la estrategia de TI, MOF
proporciona funciones de gestión de servicios (SMF) que identifican los procesos, las personas y las actividades
necesarias para alinear los servicios de TI con los requisitos empresariales. Las SMFs identifican y describen
las actividades principales que los profesionales de TI realizan en las distintas fases del ciclo de vida del
servicio de TI. Aunque cada SMF se puede pensar y utilizar como un conjunto independiente de procesos, es
cuando se combinan que más eficazmente garantizar que la prestación de servicios es completa y en la calidad
deseada y los niveles de riesgo.
Como base de todas las fases del ciclo de vida, la capa de gestión integra las actividades separadas de todos los
SMF a través de sus propias SMF:
[Date]
99
factores y participantes que las actividades de gestión del cambio en la Fase de Operación. Del mismo modo,
las preocupaciones de GRC reflejan los objetivos primarios de una fase; esto cambiará el enfoque en términos
de toma de decisiones, análisis de riesgo y las especificidades del cumplimiento.
GRC y CC crean más flujos de procesos unificados en todas las áreas del ciclo de vida estableciendo los
medios para tomar decisiones, equilibrar las compensaciones y establecer una estrategia de tierra mediante la
administración de los riesgos. Como base para el ciclo de vida de los servicios de TI, Manage Layer
proporciona una forma estructurada y planificada para que la TI contribuya a la viabilidad y mejora a largo
plazo de la organización.
Función de administrar SMF en las fases del ciclo de vida del servicio de TI
En la siguiente tabla se enumeran formas específicas en las que los SMF de la capa de gestión ayudan a
cumplir los objetivos de las otras tres fases del ciclo de vida del servicio de TI. Se pueden encontrar
explicaciones más detalladas de la función y el valor de las SMF de la capa de gestión en cada una de las SMF,
tal como se describen en sus respectivas fases.
Tabla 2. Foco de la gestión de SMFs de capa en las fases del ciclo de vida del servicio de TI
[Date]
100
GRC Focus CC Focus Enfoque en equipo
Fase y su objetivo
Requisitos
organizacionales,
tanto funcionales
como operacionales,
soportados por la
arquitectura de la
Entregar: Principios para la
solución
Alcance de la organización eficaz
Participantes del
Asegúrese de que los solución de los equipos de
proyecto,
servicios que el Recursos proyecto
metodología, riesgos
negocio y TI han Gestión de Responsabilidades y
identificados
acordado se proyectos tipos de rol
Proceso de
desarrollan con Impacto Alineación de
realización del valor
eficacia, desplegado financiero responsabilidades
Ciclo de vida del
con éxito y listo para Asignación de roles
desarrollo del servicio
las operaciones
Mitigación de riesgos
Controles internos
definidos
Procedimientos
definidos
Funcionar:
Principios para la
Asegurar que los organización de las
servicios desplegados Entorno de TI y operaciones
Procedimientos y
sean operados, configuración Principios para la
controles
mantenidos y apoyados Proceso y organización del
Grabación y
de acuerdo con los procedimiento trabajo de monitoreo
documentación
objetivos del acuerdo Cambio estándar Principios para
de nivel de servicio organizar el trabajo
acordados entre la de apoyo
empresa y el
departamento de TI.
Controles internos
El concepto detrás de los controles internos es relativamente simple. Supongamos que sabe cómo hacer una
tarea sencilla de principio a fin. Usted lo sabe bien y puede confiable y consistente lograr el resultado final.
Ahora supongamos que necesita que otras personas realicen la misma tarea; las actividades, los cheques y los
saldos que usted pone en el lugar para cerciorarse de que esas personas hagan la misma tarea y alcancen las
mismas metas compone los controles internos para esa tarea.
Pero esos controles iniciales sólo abordan la tarea en sí. Cuando varias personas están involucradas, la
complejidad aumenta rápidamente. Supongamos que se vuelve más eficiente dividir la tarea y hacer que ciertas
personas se dirijan a ciertas partes. Ahora se necesitan controles para asegurar que los resultados individuales
se ajusten a lo que se pretende y que ninguna persona ha logrado defraudar el proceso. En las áreas de finanzas,
las cuestiones de control se vuelven aún más pronunciadas. La falta de control efectivo podría dar lugar a
errores contables, o incluso a fraude o malversación de fondos. Esto es cuando se agregan capas de control
relacionadas con el acceso, los roles y la segregación del deber que forman parte del cuadro.
[Date]
101
Los controles internos están presentes en todas las áreas dentro del ámbito de responsabilidad de TI. Algunos
controles se relacionan con el entorno físico donde se encuentra la infraestructura del centro de datos. Otros
controles implican la propia tecnología, por ejemplo, su configuración y quién tiene acceso a funciones
administrativas. Algunos controles abordan el acceso a los datos y el ciclo de vida de los datos a través de las
tecnologías, desde el cifrado hasta la autorización, la recuperación y la cadena de custodia.
Muchos de los controles internos relacionados con los negocios que afectan a los profesionales de TI se ven en
las aplicaciones de línea de negocio que conforman los sistemas financieros, de manufactura, de relaciones con
los clientes y de recursos humanos. En estas áreas, los controles deben expresarse como requisitos
empresariales que impulsan las características de la aplicación. Además de estos controles relacionados con los
procesos empresariales, los profesionales de TI deben abordar controles específicos para el funcionamiento de
sistemas y tecnologías que conforman la plataforma de aplicaciones.
La clasificación de los controles de TI en categorías generales ayuda a identificar la naturaleza de los controles
mientras se establece el enfoque probable para monitorear, probar y evaluar el diseño y la efectividad operativa
de los controles. La siguiente tabla explica los controles.
Físico Controles que protegen los dispositivos Los cables de seguridad en las
físicos en los que se almacena o transmite la computadoras inhiben la eliminación no
información autorizada de equipos
Las cerraduras de las puertas y ventanas
ayudan a controlar el acceso físico a los
dispositivos
La fuente de alimentación universal está
disponible para sostener la actividad
empresarial en las computadoras en caso
[Date]
102
Tipo de Contenido Ejemplos
control
de un apagón
Data y OS son respaldados y
recuperables en una ubicación remota
para la continuidad del negocio
Demostración de que un servicio de TI es, de hecho, en el control se lleva a cabo a lo largo del ciclo de vida
del servicio de TI por:
Definición de objetivos de alto nivel para cada fase del ciclo de vida.
Identificar los riesgos para el logro de esos objetivos.
Identificar los enfoques de gestión de riesgos en la forma de hacer coincidir los controles internos para
mitigar los riesgos.
La Revisión de la Gestión de Políticas y Control (MR) consiste en revisiones al menos semestrales que evalúan
la efectividad de las políticas y controles en el ciclo de vida del servicio de TI. El desempeño de TI y sus
socios, la confiabilidad y confiabilidad de los servicios proporcionados, y la capacidad de TI para responder a la
empresa son afectados por el entorno de políticas y control. A través de todas las fases y SMFs en el ciclo de
vida del servicio de TI, se presta atención explícita a identificar los objetivos de gestión, los riesgos que podrían
afectar adversamente estos objetivos y los controles puestos en marcha para mitigar estos riesgos. Este MR es
la oportunidad de la gerencia para evaluar las políticas y los controles y su impacto a lo largo del ciclo de vida
en términos de alcanzar los objetivos de la gerencia. La revisión da una visión de cómo se maneja el riesgo y
de la probabilidad de que se logren los objetivos de la gestión, y ejemplifica la "gobernanza en acción" para la
capa de gestión.
¿Están las políticas adecuadas? (Teniendo en cuenta los objetivos de gestión, las regulaciones, las
normas y las prácticas de la industria)
¿Son eficaces las políticas? (Informes de cumplimiento, solicitudes de cambios en las políticas y
excepciones concedidas)
¿Están los controles correctos en su lugar? (Basado en evaluaciones y mitigaciones de riesgos, eventos
e incidentes no abordados por los controles, y costos y beneficios de los controles)
¿Están los controles funcionando efectivamente a través del ciclo de vida?
[Date]
103
Centrándose en el cambio y la configuración: ¿Se producen los resultados esperados, cualquier
cambio fallido o reelaboración necesaria para corregir los cambios?
Centrarse en la realización de valor: evalúe el ajuste entre el entorno de políticas y control y el
valor que la empresa necesita recibir de TI. ¿Es este el nivel de control adecuado dado los
impactos de riesgo identificados y los retornos esperados?
Mientras que el MR de políticas y control proporciona una vista de resumen en el entorno de políticas y
control, los procesos específicos para la administración de políticas se describen en la Política SMF SMF .
Comprender cómo se están abordando los riesgos para alcanzar los objetivos.
Una evaluación de la carga del control para que pueda ajustarse apropiadamente a los beneficios
deseados.
Una evaluación del comportamiento como un indicador de comunicación de políticas y enculturación.
Debería establecerse un conjunto de controles apropiados para asegurar los siguientes objetivos:
Dado que los controles son fundamentales para proporcionar servicios seguros y confiables, es necesario
gestionar cualquier cambio en los controles. El MR de Políticas y Control debe evaluar el impacto de los
cambios en los controles realizados desde la revisión anterior. Debe darse un esfuerzo relacionado con la
revisión de las evaluaciones de los impactos potenciales del cambio realizados antes de la implementación real
de los cambios.
Un objetivo de este MR es evaluar la eficacia de la gestión del cambio del entorno de control. Esto es diferente
de las actividades que se producen en el SMF de Cambios y configuración de MOF . El enfoque se centra en
las prácticas de gestión en términos de cumplimiento de políticas y eficacia de control.
Este MR también evalúa las políticas y los controles que forman parte de los acuerdos con organizaciones
externas. Esto incluye los acuerdos y contratos relacionados con el acceso a los sistemas de información y
datos, así como los requisitos de seguridad y privacidad de los servicios.
Los participantes en este MR deben ser principalmente gerentes senior de TI con el apoyo de los miembros del
equipo de Cumplimiento, Política y Seguridad. Los auditores pueden proporcionar información útil sobre la
eficacia y eficiencia de los controles y consideraciones para compensar los controles. Los socios podrían
participar para asegurar que los objetivos de política y control sean alcanzables en sus entornos. Todas las
partes deben comprender los riesgos y las atenuaciones que se están trasladando entre ellos y proporcionar la
seguridad de que esto se está haciendo de manera eficaz.
[Date]
104
Análisis Decisiones Salidas
Entradas
Evaluar los
incidentes y el
incumplimiento,
determinar la causa
raíz
Revisar las
actividades de
Políticas aplicación de
operacionales y de políticas
seguridad Revisar las
Violaciones de conclusiones y
políticas, incidentes recomendaciones de
de cumplimiento, la auditoría
acciones de gestión En cada fase del
tomadas desde el ciclo de vida, evalúe
último MR los impactos de Si el desempeño
Solicitudes de política y control de las políticas y
Documentación de
cambio de políticas para ver si: el control cumple
MR con acciones y
Resultados del Plan: promover con las
responsabilidades
proceso "Aplicar y servicios que el expectativas de la
Solicitud de
Evaluar" en la negocio ve como administración
cambios a políticas
Política SMF valiosos, Acuerdo sobre la
o controles
Cambios en los predecibles, causa raíz del
específicos
reglamentos, normas confiables y incumplimiento y
Solicitud de
o prácticas de la rentables cualquier cambio
cambios en la
industria Entregar: en la gestión de
gestión de políticas
Hallazgos de Desarrolle los políticas
Solicitud de
auditoría, servicios de manera Si el entorno de
cambios en la
recomendaciones, efectiva, despliegue control es
gestión de control
cuestiones con éxito y esté listo apropiado o si se
Riesgos, incidentes para las necesitan cambios
imprevistos operaciones.
Controles fallidos o Operar: los
de bajo rendimiento servicios son
Autoevaluaciones operados,
de control mantenidos y
Actas y acciones de apoyados de
la última reunión de acuerdo con la OLA
MR / SLA y cumplen
con la política
Revisar las
evaluaciones de
riesgo y las
mitigaciones para
ver si son completas
y efectivas
El MR de políticas y control debe dar lugar a solicitudes identificadas de cambios que mejorarán la gestión y el
[Date]
105
cumplimiento de las políticas, así como mejorar la gestión del riesgo y el entorno general de control. Las
acciones para mejoras identificadas durante este MR deben ser documentadas y se debe conservar un registro
para demostrar el compromiso de TI con los procesos clave relacionados con el riesgo, la política y la gestión
del control. Esto proporcionará transparencia y evidencia que la administración ejecutiva y la junta directiva
pueden usar para evaluar las actividades de administración de TI.
Hay dos responsabilidades de SMF del Equipo que son áreas focales en la Capa de
Gestión. Ellos son la responsabilidad de la gestión y la responsabilidad de
cumplimiento. Estas responsabilidades están involucradas en cada uno de los tres
SMFs en la capa de gestión. Cada SMF tiene tablas con responsabilidades y metas
que están más directamente relacionadas con las actividades en ese SMF en
particular.
Las siguientes dos tablas muestran los tipos de rol y sus responsabilidades y metas
generales.
Este acelerador forma
Cuadro 5. Responsabilidad de Gestión y sus Tipos de Función Auxiliar parte de una serie más
amplia de herramientas y
directrices de Solution
Responsabilidades Metas Accelerators .
Tipo de rol
Descargar
Promueve iniciativas de
TI Bien dirigido y eficaz de
Obtenga Microsoft
Aprueba estructuras y servicios de TI
Operations Framework
procesos globales de TI Mejorar continuamente
Ejecutivo de TI Posee métricas y el rendimiento con una Notificaciones de
benchmarking y hoja de ruta de mejora en aceleradores de
relaciones de directorio el lugar soluciones
y ejecutivo
Regístrese para conocer
las actualizaciones y los
Gestiona procesos nuevos lanzamientos
Identifica e involucra a Decisiones de gestión
Realimentación
los participantes eficaces
apropiados en el proceso Cumple con las
Envíanos tus
de decisión directivas
comentarios o
Gestiona las El riesgo y el valor
sugerencias
Gerente de TI dependencias de realizado se equilibran
realización de valor de adecuadamente
negocio de riesgo y de Las métricas se utilizan
TI para la planificación de
Posee una relación de informes y mejoras
negocios / TI
[Date]
106
Responsabilidades Metas
Tipo de rol
informadas por la
política y que la política organización hacia
se utiliza efectivamente actividades apropiadas
en toda la TI
La organización de TI
Valida el diseño y la
constantemente bajo
eficacia operativa de la
revisión y continuamente
organización de TI, los
mejorada
Aseguramiento e procesos y el entorno de
Consejo y accionistas
Informes control
con confianza en la
Recomienda cambios
decisión de gestión y los
para mejorar
procesos resultantes
Responsabilidades Metas
Tipo de rol
Comunica la estrategia
de TI y aprueba los
objetivos de gestión de Progreso constante
TI hacia los objetivos
Aprueba la política estratégicos logrados a
Ejecutivo de TI
Mantiene el tono en la través de actividades
parte superior para la apropiadas y deseadas
cultura de control y
cumplimiento
[Date]
107
Responsabilidades Metas
Tipo de rol
Cumplimiento de Cumplimiento de
políticas y comunicación directivas y políticas
Evalúa la eficacia de la Resultados previsibles y
Gerente de TI política fiables obtenidos por
Solicita cambios a la medios apropiados
política o excepciones Violaciones de políticas
Organización no viola
Posee administración de leyes o regulaciones
Gerente de riesgos, hoja de ruta de Los riesgos son
Riesgos y cumplimiento, identificados y
Cumplimiento cumplimiento y medición gestionados
Las políticas se aplican
Gestiona el entorno de
control interno Entorno de control
Documentos objetivos efectivo documentado
Gerente de de control y diseño de con pistas de auditoría
Control Interno control Retención apropiada de
Conserva evidencia de pruebas de control
actividad de control
[Date]
108
Responsabilidades Metas
Tipo de rol
efectividad de las
escritas y comunicadas
políticas
Conclusión
Publicado: 25 de abril de 2008
Este documento ofrece una amplia visión general de la capa de administración de MOF y sus SMF, revisiones
de gestión y controles relacionados. El siguiente paso para poner en práctica MOF 4.0 es considerar las
necesidades de su organización, y luego leer y utilizar los SMF relevantes. Su guía paso a paso será de valor
para las organizaciones de TI cuyo objetivo es confiable, eficiente y obligar a los servicios de TI.
Realimentación
El SMF de Gobierno, Riesgo y Cumplimiento (GRC) pertenece a Manage Layer, la base del ciclo de vida del
servicio de TI de MOF. La siguiente figura muestra el lugar del GRC SMF dentro de la capa de administración,
así como la ubicación de la capa de administración dentro del ciclo de vida del servicio de TI.
[Date]
109
Figura 1. Posición del GRC SMF dentro del ciclo de vida del servicio de TI
Antes de utilizar este SMF, puede leer las siguientes guías de MOF 4.0 para obtener más información sobre el
ciclo de vida del servicio de TI de MOF y la capa Administrar:
Descripción de MOF
Manejar la capa
Descripción de GRC
Publicado: 25 de abril de 2008 | Actualizado: 10 de octubre de 2008
[Date]
110
amplio puede ser un desafío. Para ayudar a aclarar el tema, las siguientes secciones desglosan el alcance de
GRC y discuten:
¿Qué es GRC?
La gobernanza de TI es una actividad de alto nivel de gestión que, cuando está bien ejecutada, aclara quién
tiene la autoridad para tomar decisiones, determina la responsabilidad por las acciones y la responsabilidad por
los resultados y se ocupa de cómo se evaluará el rendimiento esperado. La mayoría de las organizaciones
logran el gobierno de TI creando grupos, tales como comités de dirección, que reúnen a las partes correctas para
tomar decisiones.
La gobernanza a nivel de toda la Organización establece, entre otras cosas, resultados positivos y expectativas
de crecimiento, caminos elegidos para mejorar la satisfacción del cliente, nuevos productos y desarrollo del
mercado, todas las áreas donde la TI puede hacer una contribución significativa cuando se coordinan todos los
esfuerzos de gobernabilidad.
Las actividades de gobierno se llevan a cabo, ya sean planificadas o no. La falta de procesos planificados de
gobernanza puede resultar en el establecimiento arbitrario de objetivos y la toma de decisiones, luchas políticas
en torno al césped y desperdicio de recursos de esfuerzos confusos y conflictivos. La gobernanza planificada
debería resultar en:
El riesgo representa posibles impactos negativos en el logro de metas y puede surgir de acciones tomadas o no
tomadas. Las organizaciones utilizan los procesos de gobernanza para decidir las prioridades y el nivel de
esfuerzo que debe dedicarse a reducir la probabilidad y la magnitud de los impactos del riesgo.
Los procesos de buen gobierno buscan riesgos y ofrecen discusiones abiertas y enfoques claros para abordar el
riesgo. Una cultura de gestión de riesgos ayuda a prevenir la ignorancia deliberada del riesgo o el ocultamiento
intencional del riesgo y reduce el número de riesgos desconocidos que pueden dar lugar a consecuencias
negativas.
Los controles internos son los procesos y sistemas que existen para abordar los riesgos e influenciar o mitigar
los resultados potenciales. En el sentido más general, los controles internos proporcionan los medios por los
cuales los objetivos de gestión se logran de manera confiable y, al hacerlo, contribuyen a resultados positivos
para las partes interesadas.
El cumplimiento es un proceso que asegura que las personas estén al tanto de las regulaciones, políticas y
procedimientos que deben seguirse como resultado de las decisiones de la alta dirección. El cumplimiento es
también la evaluación de lo que realmente sucede en la organización en comparación con los resultados
previstos establecidos por los objetivos de la administración, las políticas y los requisitos reglamentarios.
[Date]
111
Los esfuerzos de cumplimiento de TI serán mejorados si la organización ha establecido claramente y ha
comunicado las expectativas de TI y las políticas que deben seguirse, y si ha desarrollado de manera proactiva
formas de evaluar el desempeño y la toma de decisiones.
Factores externos a las organizaciones, tales como regulaciones, estándares y mejores prácticas de la industria,
tienen impacto en cómo se hace el trabajo. Estos factores se evalúan e implementan con mayor eficacia cuando
se aplican los procesos de GRC adecuados. Por ejemplo, hay una serie de organismos y reglamentos
relacionados con la fiabilidad de los datos y la fiabilidad de la organización. Es posible que las organizaciones
de TI tengan que responder a una variedad de organismos reguladores de la Comisión de Valores y Cambios
(SEC, por sus siglas en inglés) a la Unión Europea (UE), y tal vez necesite abordar los requisitos y reglamentos
de gestión de datos tan variados como la Health Insurance Portability and Accountability Act HIPAA), la Ley
de Protección de Datos, Basel I / II, y Sarbanes Oxley (SOX). Las actividades de GRC pueden ayudar a las
empresas (y sus departamentos de TI) a convertirse en:
Reunir a los grupos adecuados de personas ( gobernanza ) para aclarar lo que debe suceder y evaluar lo
que podría interponerse en el camino ( gestión del riesgo ).
Ayudar a la organización a determinar los compromisos de recursos ( gobernabilidad ) necesarios para
asegurar que se logren sus objetivos ( gestión de riesgos ).
Dejar claro ( gobernanza y cumplimiento ) qué procesos y actividades deben o no deben suceder (
gestión de riesgos y cumplimiento ).
Capturar y documentar los procesos y sus resultados como evidencia ( cumplimiento ).
Cuando una organización se dirige a las actividades de GRC de TI, varias preguntas clave ayudan a establecer
el contexto. Responder a estas preguntas muy probablemente requerirá conversaciones con grupos externos a
TI, tales como auditoría interna, legal, cumplimiento, y recursos humanos.
¿Cuál es el plan de gobierno de nuestra organización? ¿Quién decide cómo y qué decidir?
¿Cuál es la tolerancia al riesgo de nuestra organización? ¿Dónde podemos aceptar más riesgos y en qué
áreas debemos ser más cautelosos?
¿Hay problemas específicos de regulación y cumplimiento que se aplican a nuestra industria?
¿Cuál es nuestra cultura de cumplimiento, es decir, cómo determinamos que estamos haciendo lo que
dijimos que haríamos?
Al responder a estas preguntas y trabajar en planes integrados de GRC, se mejora la alineación de las metas de
TI y de negocio porque las personas adecuadas están tomando las decisiones correctas en el momento adecuado.
[Date]
112
¿Quién debe cuidar de GRC?
Aunque todos en una organización están involucrados en actividades de GRC de TI en algún nivel, GRC
requiere que tres grupos principales sean eficaces: ejecutivos, administradores de TI y profesionales de TI.
Estos tres roles organizacionales tienen diferentes preocupaciones y implicaciones relacionadas con GRC.
El rol del GRC de los profesionales de TI enfatiza la aplicación de las decisiones que se han tomado a través de
los procesos de gobernanza a las actividades y procedimientos cotidianos. Los profesionales de TI se centran en
los aspectos de cumplimiento de GRC y el uso de conocimientos técnicos en profundidad para ayudar a
identificar y mitigar los riesgos y encontrar maneras de automatizar los controles de manera eficiente.
Aseguran que las actividades y los sistemas funcionen dentro de las directrices que se han establecido en el
proceso GRC. Tienen conocimientos especializados que pueden usarse para refinar controles basados en
capacidades o restricciones tecnológicas.
Los gerentes de TI a menudo participan en grupos de GRC que toman decisiones de trade-off. Un mandato
principal para la gerencia consiste en traducir los objetivos estratégicos (establecidos en los niveles ejecutivo y
de junta) en directivas y políticas tácticas y tangibles que resultarán en servicios, soluciones, políticas y
actividades cotidianas. Los gerentes de TI impulsan la traducción de los objetivos estratégicos en metas
tácticas, impulsan el análisis del riesgo a esos objetivos e impulsan la identificación de los controles internos
para mitigar esos riesgos.
Finalmente, en el nivel ejecutivo, el CIO tiene la responsabilidad de todo el proceso GRC dentro de TI. Deben
establecerse las estructuras adecuadas para reunir a las personas adecuadas en el momento adecuado para guiar
eficazmente la realización de la estrategia. El CIO debe asegurarse de que la gestión de riesgos es parte de la
discusión en estos foros de gobierno como una herramienta para ayudar a informar las opciones y avanzar hacia
un denominador común para tomar decisiones de trade-off.
Además, el CIO debe estar al tanto de las funciones de aseguramiento (auditoría), que evalúan los objetivos, los
controles internos y su diseño y eficacia operativa. La auditoría proporciona hallazgos y recomendaciones al
ejecutivo y al consejo para que la organización se beneficie de una gestión inteligente e intencional.
Evaluaciones similares de aseguramiento ayudan a proporcionar a los accionistas ya otras partes externas
interesadas una visión del funcionamiento de una organización. La toma de conciencia por parte del CIO de los
hallazgos de aseguramiento asegura que el enfoque de la organización a la gobernabilidad se fije en el nivel
superior y que las actividades de GRC se entiendan y se utilicen en todos los niveles.
En la Fase del Plan, el objetivo es asegurarse de que los servicios de TI ofrecidos al negocio sean valiosos,
predecibles, confiables y rentables, y que respondan a las necesidades empresariales en constante cambio.
[Date]
113
Estructura de gobierno y derechos de decisión.
Objetivos de gestión definidos.
Principales riesgos para alcanzar los objetivos identificados.
Entorno normativo general.
Política definida.
En la fase Entregar, el objetivo es asegurarse de que los servicios de TI que el negocio y la TI han acordado se
desarrollen de manera efectiva, se desplieguen con éxito y estén listos para Operaciones.
En la fase de operación, el objetivo es asegurarse de que los servicios desplegados son operados, mantenidos y
soportados de acuerdo con los objetivos SLA establecidos por el negocio y la TI.
GRC crea flujos de procesos organizados en todas las fases del ciclo de vida, ayudando a la toma de decisiones,
equilibrando las compensaciones, estableciendo una estrategia mediante la gestión de los riesgos y
asegurándose de que la gestión de riesgos es apropiada para las actividades que se llevan a cabo. Al asistir a
estos GRC , la TI puede contribuir mejor a la viabilidad y mejoramiento a largo plazo de la organización y es
capaz de establecer con claridad: "Así es como manejamos la TI y gestionamos el riesgo".
[Date]
114
Participa en la toma de Asegura que la hoja de ruta de mejora
decisiones está en su lugar
Valida el diseño y la
efectividad operativa de las
Resiste que GRC está constantemente
Aseguramiento e estructuras y procesos de GRC
bajo revisión y continuamente mejorado
Informes Recomienda cambios para
mejorar
Gestiona las actividades del Garantiza que los procesos GRC resultan
Administrador de proceso de gestión del cambio en un cambio que se entiende
cambios para la organización de TI Garantiza la gestión de los riesgos
[Date]
115
Aprueba la política
Establece tonos en la cima para el apropiadas y deseadas
cultivo de control y cumplimiento
Establecer una toma de decisiones clara y efectiva en la gestión de los activos de TI.
Gestionar el riesgo de manera eficaz.
Cumplimiento de las políticas, leyes y reglamentos aplicables.
Resultados Medidas
[Date]
116
Las actividades de TI generan rentabilidad esperada de la inversión
El uso de los activos de TI cumple con las previsiones
La toma de decisiones es oportuna y no requiere reexamen
Buen gobierno La confidencialidad, integridad y disponibilidad de los activos de TI son
congruentes con las necesidades y directivas de la empresa
Las políticas se crean y se gestionan de manera oportuna
Términos clave
La siguiente tabla contiene definiciones de los términos clave que se encuentran en esta guía.
Término Definición
Procesos que aseguran la conformidad de TI con las regulaciones gubernamentales, las leyes y
las políticas específicas de la empresa-en otras palabras, un medio para informar a las personas
Conformidad
sobre la actividad apropiada y también asegurar que la organización está haciendo lo que ha
dicho que hará
Un proceso que prepara una organización para responder coherentemente a los resultados
Contingencia
planificados, así como a incidentes no planificados
Evidencia Prueba comprobable de que las políticas y los procesos funcionan como se esperaba
La gobernanza especifica quién debe tomar decisiones y cómo, cómo comunicarse eficazmente
Gobernancia y cuándo debe suceder, y cómo seguir el progreso de TI en relación con los objetivos
empresariales
Cualquier información, datos, propiedad intelectual, sistema o máquina propiedad de la
Activos de TI
empresa que se utilice en el curso de actividades empresariales
Controles de Una actividad específica realizada por personas o sistemas diseñados para asegurar el
TI cumplimiento de los objetivos empresariales
Procesos o actividades que se establecen con el propósito de reducir las posibles consecuencias
Mitigación
de un riesgo reduciendo la probabilidad o el impacto del riesgo
Riesgo La posibilidad de efectos adversos en los objetivos de negocio o TI. El riesgo se mide en
[Date]
117
términos de impacto, probabilidad y exposición
Gestión de
Los esfuerzos de una organización para abordar el riesgo en el entorno de TI
riesgos
Desde el punto de vista del proceso, GRC es diferente de muchos de los SMF de MOF. Su aplicación no es,
estrictamente hablando, un flujo secuencial -primera A sucede, entonces B, entonces C. En cambio, como
muestra la Figura 2, son tres conjuntos separados de procesos-gobernabilidad, riesgo y cumplimiento-cualquiera
de los cuales puede tener lugar simultáneamente o en tándem con los otros procesos.
Sin embargo, para facilitar la comprensión, este SMF discutirá estas actividades interconectadas como procesos
separados:
Las siguientes secciones tratan estas actividades en detalle. En la Guía de administración de riesgos de
seguridad de Microsoft se puede encontrar un análisis exhaustivo de la gestión de riesgos especializada
relacionada con el riesgo de seguridad: http://www.microsoft.com/technet/security/guidance/default.mspx
La gobernanza describe el liderazgo, la estructura de toma de decisiones, los procesos y la rendición de cuentas
que determinan cómo una organización recibe el trabajo. La gobernanza comienza en la cima, pero requiere la
[Date]
118
participación en todos los niveles de la organización. La naturaleza de las decisiones tomadas y la información
pasada a otros participantes de GRC se retrata en la Figura 3. Como muestra, hay formas para que todos los
miembros de la organización contribuyan a una gobernabilidad exitosa.
Mirando los varios grupos que pasan la información a través de la organización demuestra que es provechoso
tener una manera común de comunicarse sobre la información de GRC. Este GRC SMF se centra en los
mecanismos para conectar estos niveles utilizando las actividades de gestión y control de riesgos, lo que resulta
en una mejor toma de decisiones y el establecimiento de la rendición de cuentas por los resultados.
En términos cotidianos, estos conceptos se harán más concretos por el papel específico y las actividades
involucradas. Por ejemplo, el profesional de TI que configure buzones de Microsoft® Exchange Server
necesitará conocer las políticas de retención y purga de correo electrónico y asegurarse de que estas políticas se
apliquen de manera efectiva mediante reglas de configuración y Directiva de grupo. El gerente de TI debe ser
consciente de los objetivos de la gerencia con respecto a las comunicaciones corporativas y qué requisitos
reglamentarios podrían estar involucrados para asegurarse de que la opinión legal apropiada es llevada a cabo
para que se desarrollen las políticas requeridas.
El CIO y otros ejecutivos deben hacer su determinación de que la estrategia de su organización y cualquier
regulación que afecte la comunicación corporativa es racional y que han establecido una dirección y una política
apropiadas para el resto de la organización.
[Date]
119
Figura 4. Establecer gobierno de TI
[Date]
120
empresariales y de TI que tomarán decisiones conjuntamente y se harán responsables. Los resultados de las
actividades de gobernabilidad en última instancia afectan cómo se eligen las iniciativas y las tecnologías y
proporcionan el contexto para los recursos de TI más valorados: las personas, para obtener oportunidades y
beneficios.
Ocupaciones Consideraciones
La organización está sujeta a requisitos reglamentarios u otros requisitos externos
para la gobernanza
La gerencia quiere una comprensión clara de la manera en que se ejecuta
Suposiciones
La dirección de negocios quiere entender la contribución que hace TI a los
resultados empresariales
Entradas:
Salidas:
[Date]
121
Responsabilidad por las decisiones de gobernanza
Monitoreo y métricas de rendimiento
Requisitos de realización de valor
Carta de gobierno de TI y propietario
Mejores prácticas:
Entradas:
Salidas:
Mejores prácticas:
Reducir las luchas políticas turf reuniendo a las partes interesadas con un proceso
claro para determinar las compensaciones y los caminos de escalada acordados.
La alineación de negocios / TI puede ocurrir a través de muchos niveles de una
organización; proporcionar un foro para la discusión a múltiples niveles.
[Date]
122
Para obtener más información acerca de la configuración de la visión y la
alineación de estrategias, consulte Función de gestión del servicio de alineación de
negocios / IT de MOF .
Preguntas clave:
Entradas:
Mejores prácticas:
Los marcos son puntos de partida. Proporcionan los conceptos básicos que luego
requieren la elaboración y aplicación a las realidades de la organización específica.
Se necesita una comprensión profunda de los factores de la empresa y de la
industria para adaptar el marco a las consideraciones únicas de la propia empresa.
Los profesionales de TI tienen conocimientos técnicos que deben ser considerados
al aplicar el marco elegido para que sea alcanzable y soportable.
¿Cuáles son las áreas en las que la compañía desea explícitamente requerir
comportamientos deseados?
¿Qué procesos deberían tener medidas específicas de desempeño definidas por la
política?
¿Qué dice la representación legal sobre la política propuesta?
Entradas:
Salidas:
[Date]
123
Política documentada y comunicada
Mapeo de la política a los objetivos de control
Políticas promulgadas en la práctica
Mejores prácticas:
La gestión del riesgo es el intento de TI de abordar el riesgo mientras se alcanzan los objetivos de gestión. Las
organizaciones de TI logran un éxito a largo plazo al manejar el riesgo mediante el uso efectivo de los controles
internos .
Los controles internos son actividades específicas realizadas por personas o sistemas diseñados para asegurar
que se cumplan los objetivos del negocio. El diseño cuidadoso, la documentación y el funcionamiento de los
controles son cruciales en todos los niveles de la organización. Estar "en control" significa que las posibilidades
de experimentar impactos adversos de eventos indeseables están en niveles aceptables y que la probabilidad de
lograr objetivos es satisfactoria. El control interno está interrelacionado y directamente afectado por las
actividades de gobierno de una organización.
La Figura 5 ilustra las actividades de gestión de riesgos. Es importante entender que el proceso de gestión de
cada riesgo pasa por todas estas actividades al menos una vez y, a menudo, ciclos a través de numerosas veces.
Debido a que cada riesgo tiene su propia línea de tiempo, múltiples riesgos podrían estar en cada etapa en
cualquier punto dado.
[Date]
124
Figura 5. El ciclo generalizado de evaluación, monitoreo y control del riesgo
Cada fase del ciclo de vida del servicio de TI tiene un conjunto asociado de riesgos característicos y actividades
correspondientes para gestionarlos:
En la Fase del Plan, el enfoque se centra en los riesgos relacionados con estrategias específicas,
arquitecturas de información y riesgos en toda la cartera de TI.
La fase de entrega evalúa el riesgo desde una perspectiva orientada al proyecto, que está más orientada
y limitada en el tiempo.
La fase de operación se centra en las actividades cotidianas y los riesgos que pueden afectar a las
operaciones fiables.
Por último, Manage Layer trata de la gestión de riesgos desde un punto de vista general y enfocado:
general en términos de estructuras de gobierno, coordinación organizacional, toma de decisiones y
planes de comunicación; centrada en la gestión del cambio y la configuración y los riesgos que
provienen de la modificación de elementos del entorno de servicios de TI, así como de los procesos y
recursos que forman parte de ese entorno.
Las categorías de riesgo surgen a lo largo de las diversas fases del ciclo de vida del servicio. Implican riesgos
financieros, operativos, de reputación, de cuota de mercado, de ingresos y regulatorios, así como otros riesgos
[Date]
125
que son más específicos para la industria de una organización en particular (por ejemplo, la asistencia sanitaria)
o una actividad que actualmente ocurre (como una fusión o adquisición) .
Al abordar la gestión de riesgos de una manera que estimule la reflexión sobre las posibles consecuencias de
las actividades, la evaluación de su impacto y, a continuación, adoptar un enfoque muy explícito para abordar
estos riesgos, la TI obtiene una ventaja considerable. Una organización no puede abordar el riesgo de manera
inteligente sin que la TI y el negocio se sienten juntos y definan tolerancias de riesgo y objetivos de control.
Dado que las consecuencias del riesgo se evalúan en términos de alcanzar los objetivos de negocio, esto ayuda a
integrar la TI en las discusiones de negocios y las compensaciones y elimina después del hecho de apuntar en
virtud de la transparencia que implica la gestión de riesgos.
Ocupaciones Consideraciones
La gestión de los riesgos se extiende más allá de la seguridad y la privacidad de los
datos a una variedad de riesgos que pueden afectar el cumplimiento de los objetivos
Suposiciones de la administración (incluyendo, entre otros: riesgo financiero, riesgo de no cumplir
compromisos de desempeño.
Entradas:
Salida:
[Date]
126
La tolerancia al riesgo y el enfoque de la gestión de riesgos de la organización
Mejores prácticas:
La gestión de riesgos ocurre muchas veces durante cada fase del ciclo de vida del
servicio de TI. La comprensión de los riesgos relativos a los objetivos de una fase
particular establecerá el dominio del riesgo.
Este dominio de riesgo, combinado con la única tolerancia al riesgo de la compañía,
guiará el enfoque de la gestión de riesgos en esa fase del ciclo de vida del servicio de
TI.
La tolerancia al riesgo es fluida y cambia con oportunidades y recompensas
potenciales, así como incidentes y posibles sanciones.
Entradas:
Salida:
Mejores prácticas:
[Date]
127
Para obtener más información sobre la identificación de riesgos, consulte NIST SP
800-30 ( http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf ).
Preguntas clave:
¿Qué impactos tendrán los riesgos y amenazas (situaciones o estados que podrían
causar daño) en la organización en su conjunto?
¿Cuáles son los impactos probables de las amenazas a objetivos de gestión
específicos y procesos de negocio asociados?
¿Se pueden descomponer las amenazas y los impactos en aquellos que podrían
perjudicar el rendimiento del servicio de TI pero no comprometer los datos?
¿Cuáles son las vulnerabilidades conocidas en los sistemas que componen los
servicios de TI?
¿Cuáles son las amenazas para los sistemas individuales?
Entradas:
Mejores prácticas:
Entradas:
[Date]
128
Lista de controles primarios y controles de compensación (que usualmente operan
para detectar problemas después del hecho)
Entrevistas con el personal responsable de los objetivos de negocio y procesos
asociados
Entrevistas con personal en áreas de control de TI
Cuestiones y informes de auditoría
Salida:
Mejores prácticas:
Los controles trabajan juntos para crear un entorno de control. Al evaluar un solo
control, tenga en cuenta la constelación de controles relacionados, y considere cómo
un control podría compensar a otro.
Preguntas clave:
Entradas:
Informes de auditoría
Lista de controles existentes
Entrevistas con personal en cada área de control
Plan que asigna controles a los servicios de TI ya los procesos empresariales
Mejores prácticas:
[Date]
129
¿Cuál es la prioridad de desarrollo para los controles que no están en su lugar?
Entradas:
Salidas:
Mejores prácticas:
Preguntas clave:
Entradas:
Salidas:
Rastrear y
Informes de riesgos
reportar riesgos y
Control de informes de estado de desarrollo
controles
Mejores prácticas:
[Date]
130
¿Están los niveles de tolerancia al riesgo y los disparadores de acción funcionando
según sea necesario?
¿Están los planes de acción de gestión de riesgos siguiendo los pasos esperados?
Entradas:
Informes de riesgos
Control de informes de estado de desarrollo
Reporte de cumplimiento de SLA
Salidas:
Mejores prácticas:
Entradas:
Salidas:
[Date]
131
Mejores prácticas:
El cumplimiento es una aplicación de la gestión de riesgos que garantiza la conformidad de TI con las políticas
de la empresa, las regulaciones gubernamentales y las leyes específicas de la industria. Algunas de las leyes de
cumplimiento más conocidas y sus funciones se incluyen en la siguiente tabla.
Cada vez más, las actividades de cumplimiento requieren mayor diligencia y responsabilidad de parte de los
profesionales de TI. Por ejemplo, muchas grandes corporaciones han automatizado significativamente sus
sistemas de gestión financiera, lo que ha dado lugar a la automatización de los controles internos del negocio.
Estos controles de aplicación forman parte del entorno de cumplimiento; cuando se automatizan, se convierten
en parte del entorno de TI. Los profesionales de TI también deben ser conscientes de los controles informáticos
generales (por ejemplo, la separación de entornos de desarrollo y de prueba), que se definen como aquellos
procesos, actividades y configuraciones que se aplican a través de múltiples componentes de infraestructura
para garantizar que la tecnología funciona como se esperaba .
[Date]
132
Esto puede ser confuso para los profesionales de TI que suelen utilizar el término "pruebas" para referirse a los
procesos de aseguramiento de calidad (QA) utilizados en el desarrollo de software y el despliegue del sistema.
Guardar los datos reales utilizados para realizar las pruebas (la evidencia) no es una parte común de la
metodología de pruebas del profesional de TI. Sin embargo, los auditores quieren que las pruebas recopiladas
durante un período de tiempo suficientemente largo para poder formarse una opinión sobre la eficacia y la
eficiencia de los controles. Otro punto de confusión entre las pruebas de aseguramiento y el uso del término
"pruebas" por parte del profesional de TI es que las pruebas de aseguramiento generalmente se centran en
controles y procesos en el entorno de producción. Se centra en lo que realmente está sucediendo en la
experiencia del mundo real de la organización, no en el entorno de prueba aislado, donde los problemas
funcionales pueden ser aislados y resueltos.
Por último, los informes de aseguramiento pueden obtenerse de varias fuentes (por ejemplo, auditorías de
cumplimiento, auditorías de seguridad o auditoría relacionadas con obligaciones contractuales), y los
profesionales de TI pueden encontrar que se les pide pruebas muy similares en numerosas ocasiones. Al tomar
conciencia de las actividades de aseguramiento en su organización, explorar los requisitos de retención de
evidencia y comprender el uso de la evidencia requerida, los profesionales de TI pueden mejorar la eficiencia y
reducir los aspectos perturbadores del proceso de aseguramiento.
[Date]
133
Figura 6. Cumplir con las directivas
[Date]
134
El profesional de TI debe traer activamente a la atención de la empresa las regulaciones relevantes
para TI. Estas regulaciones pueden entonces ser evaluadas, la compañía puede determinar su
posición relativa a cada una, y las políticas y las directivas apropiadas se pueden construir para guiar
decisiones y actividades. Con esta vía establecida, el auditor podrá tomar los objetivos de gestión-
ahora en forma de directrices- y verificar el cumplimiento de dichas directivas.
Ocupaciones Consideraciones
La organización quiere asegurarse de que las directivas son seguidas,
estén o no sujetas a requisitos formales de gobernabilidad.
TI puede tener servicios que llevan requisitos de desempeño con
sanciones por incumplimiento.
Suposiciones
La organización ha estado sujeta a hallazgos de auditoría que indican
que su ambiente de control es ineficaz o ineficiente o que han resultado
en que la compañía está fuera de cumplimiento.
Entradas:
Salidas:
[Date]
135
Directivas de cumplimiento identificadas que apoyan la intención de la
organización de cumplir con la estrategia
Mejores prácticas:
Preguntas clave:
Entradas:
Mejores prácticas:
Entradas:
[Date]
136
Evaluaciones de riesgos para sistemas y procesos de negocio (ver
"Proceso 2: Evaluar, monitorear y controlar el riesgo")
Políticas y directivas existentes
Informes de cumplimiento, actividad de denunciante
Cumplimiento del rendimiento para contratos y acuerdos de servicios
de TI
Salida:
Mejores prácticas:
Entradas:
Salida:
Mejores prácticas:
[Date]
137
relacionados? ¿Es la política demasiado pesada y pesada, que podría
resultar en un conflicto entre el desempeño y el cumplimiento? ¿Es
adecuada la capacitación?
Consulte con un abogado antes de finalizar la política basada en la
regulación. Es importante tener una interpretación de cómo la
compañía debe cumplir con las regulaciones que incluye una
comprensión más amplia del precedente legal y de la madurez de
regulaciones.
Preguntas clave:
Entradas:
Salida:
Mejores prácticas:
[Date]
138
¿Qué problemas de incumplimiento están ocurriendo?
¿Hay formas de reducir los costos de cumplimiento sin aumentar el
riesgo?
Entradas:
Plan de cumplimiento
Informes de gestión y control de servicios
(consulte el SMF de supervisión y control de servicios )
Informes de auditoría, monitoreo de control
Riesgo y niveles de tolerancia de cumplimiento
Salidas:
Informes de cumplimiento
Actualizaciones del panel de control de cumplimiento
Mejores prácticas:
Entradas:
Salidas:
[Date]
139
Plan de cumplimiento actualizado
Mejores prácticas:
Conclusión
Publicado: 25 de abril de 2008 | Actualizado: 10 de octubre de 2008
El SMF de Gobierno, Riesgo y Cumplimiento proporciona orientación para integrar las actividades
de GRC en el contexto de procesos y actividades a lo largo del ciclo de vida del servicio de TI. Esta
integración hace uso de la gestión de riesgos y controles internos presentes en cada SMF para
proporcionar formas consistentes de tomar decisiones y gestionar las actividades de TI.
Realimentación
Envíe preguntas y comentarios sobre esta guía a mof@microsoft.com .
[Date]
140
última instancia, su retiro. MOF organiza estas actividades y procesos en Funciones de Gestión de
Servicios (SMF), que se agrupan en fases del ciclo de vida. Cada SMF está anclado dentro de una
fase de ciclo de vida y contiene un conjunto único de metas y resultados que apoyan los objetivos de
esa fase. Los SMF pueden ser usados como conjuntos independientes de procesos, pero es cuando
los SMFs se usan juntos que son más efectivos para asegurar la prestación de servicios con los
niveles de calidad y riesgo deseados.
El SMF de Gobierno, Riesgo y Cumplimiento (GRC) pertenece a Manage Layer, la base del ciclo de
vida del servicio de TI de MOF. La siguiente figura muestra el lugar del GRC SMF dentro de la capa
de administración, así como la ubicación de la capa de administración dentro del ciclo de vida del
servicio de TI.
Figura 1. Posición del GRC SMF dentro del ciclo de vida del servicio de TI
Antes de utilizar este SMF, puede leer las siguientes guías de MOF 4.0 para obtener más
información sobre el ciclo de vida del servicio de TI de MOF y la capa Administrar:
Descripción de MOF
Manejar la capa
[Date]
141
Establecer gobierno de TI.
Evaluar, monitorear y controlar el riesgo.
Cumplir con las directivas.
Descripción de GRC
Publicado: 25 de abril de 2008 | Actualizado: 10 de octubre de 2008
¿Qué es GRC?
La gobernanza de TI es una actividad de alto nivel de gestión que, cuando está bien ejecutada,
aclara quién tiene la autoridad para tomar decisiones, determina la responsabilidad por las acciones
y la responsabilidad por los resultados y se ocupa de cómo se evaluará el rendimiento esperado. La
mayoría de las organizaciones logran el gobierno de TI creando grupos, tales como comités de
dirección, que reúnen a las partes correctas para tomar decisiones.
La gobernanza a nivel de toda la Organización establece, entre otras cosas, resultados positivos y
expectativas de crecimiento, caminos elegidos para mejorar la satisfacción del cliente, nuevos
productos y desarrollo del mercado, todas las áreas donde la TI puede hacer una contribución
significativa cuando se coordinan todos los esfuerzos de gobernabilidad.
Las actividades de gobierno se llevan a cabo, ya sean planificadas o no. La falta de procesos
planificados de gobernanza puede resultar en el establecimiento arbitrario de objetivos y la toma de
decisiones, luchas políticas en torno al césped y desperdicio de recursos de esfuerzos confusos y
conflictivos. La gobernanza planificada debería resultar en:
El riesgo representa posibles impactos negativos en el logro de metas y puede surgir de acciones
tomadas o no tomadas. Las organizaciones utilizan los procesos de gobernanza para decidir las
prioridades y el nivel de esfuerzo que debe dedicarse a reducir la probabilidad y la magnitud de los
impactos del riesgo.
[Date]
142
Los procesos de buen gobierno buscan riesgos y ofrecen discusiones abiertas y enfoques claros
para abordar el riesgo. Una cultura de gestión de riesgos ayuda a prevenir la ignorancia deliberada
del riesgo o el ocultamiento intencional del riesgo y reduce el número de riesgos desconocidos que
pueden dar lugar a consecuencias negativas.
Los controles internos son los procesos y sistemas que existen para abordar los riesgos e influenciar
o mitigar los resultados potenciales. En el sentido más general, los controles internos proporcionan
los medios por los cuales los objetivos de gestión se logran de manera confiable y, al hacerlo,
contribuyen a resultados positivos para las partes interesadas.
El cumplimiento es un proceso que asegura que las personas estén al tanto de las regulaciones,
políticas y procedimientos que deben seguirse como resultado de las decisiones de la alta dirección.
El cumplimiento es también la evaluación de lo que realmente sucede en la organización en
comparación con los resultados previstos establecidos por los objetivos de la administración, las
políticas y los requisitos reglamentarios.
Factores externos a las organizaciones, tales como regulaciones, estándares y mejores prácticas de
la industria, tienen impacto en cómo se hace el trabajo. Estos factores se evalúan e implementan
con mayor eficacia cuando se aplican los procesos de GRC adecuados. Por ejemplo, hay una serie
de organismos y reglamentos relacionados con la fiabilidad de los datos y la fiabilidad de la
organización. Es posible que las organizaciones de TI tengan que responder a una variedad de
organismos reguladores de la Comisión de Valores y Cambios (SEC, por sus siglas en inglés) a la
Unión Europea (UE), y tal vez necesite abordar los requisitos y reglamentos de gestión de datos tan
variados como la Health Insurance Portability and Accountability Act HIPAA), la Ley de Protección de
Datos, Basel I / II, y Sarbanes Oxley (SOX). Las actividades de GRC pueden ayudar a las empresas
(y sus departamentos de TI) a convertirse en:
[Date]
143
Reunir a los grupos adecuados de personas ( gobernanza ) para aclarar lo que debe suceder
y evaluar lo que podría interponerse en el camino ( gestión del riesgo ).
Ayudar a la organización a determinar los compromisos de recursos ( gobernabilidad )
necesarios para asegurar que se logren sus objetivos ( gestión de riesgos ).
Dejar claro ( gobernanza y cumplimiento ) qué procesos y actividades deben o no deben
suceder ( gestión de riesgos y cumplimiento ).
Capturar y documentar los procesos y sus resultados como evidencia ( cumplimiento ).
Cuando una organización se dirige a las actividades de GRC de TI, varias preguntas clave ayudan a
establecer el contexto. Responder a estas preguntas muy probablemente requerirá conversaciones
con grupos externos a TI, tales como auditoría interna, legal, cumplimiento, y recursos humanos.
¿Cuál es el plan de gobierno de nuestra organización? ¿Quién decide cómo y qué decidir?
¿Cuál es la tolerancia al riesgo de nuestra organización? ¿Dónde podemos aceptar más
riesgos y en qué áreas debemos ser más cautelosos?
¿Hay problemas específicos de regulación y cumplimiento que se aplican a nuestra industria?
¿Cuál es nuestra cultura de cumplimiento, es decir, cómo determinamos que estamos
haciendo lo que dijimos que haríamos?
El rol del GRC de los profesionales de TI enfatiza la aplicación de las decisiones que se han tomado
a través de los procesos de gobernanza a las actividades y procedimientos cotidianos. Los
profesionales de TI se centran en los aspectos de cumplimiento de GRC y el uso de conocimientos
técnicos en profundidad para ayudar a identificar y mitigar los riesgos y encontrar maneras de
automatizar los controles de manera eficiente. Aseguran que las actividades y los sistemas
funcionen dentro de las directrices que se han establecido en el proceso GRC. Tienen
conocimientos especializados que pueden usarse para refinar controles basados en capacidades o
restricciones tecnológicas.
Los gerentes de TI a menudo participan en grupos de GRC que toman decisiones de trade-off. Un
mandato principal para la gerencia consiste en traducir los objetivos estratégicos (establecidos en los
niveles ejecutivo y de junta) en directivas y políticas tácticas y tangibles que resultarán en servicios,
soluciones, políticas y actividades cotidianas. Los gerentes de TI impulsan la traducción de los
objetivos estratégicos en metas tácticas, impulsan el análisis del riesgo a esos objetivos e impulsan
la identificación de los controles internos para mitigar esos riesgos.
Finalmente, en el nivel ejecutivo, el CIO tiene la responsabilidad de todo el proceso GRC dentro de
TI. Deben establecerse las estructuras adecuadas para reunir a las personas adecuadas en el
momento adecuado para guiar eficazmente la realización de la estrategia. El CIO debe asegurarse
de que la gestión de riesgos es parte de la discusión en estos foros de gobierno como una
[Date]
144
herramienta para ayudar a informar las opciones y avanzar hacia un denominador común para tomar
decisiones de trade-off.
Además, el CIO debe estar al tanto de las funciones de aseguramiento (auditoría), que evalúan los
objetivos, los controles internos y su diseño y eficacia operativa. La auditoría proporciona hallazgos
y recomendaciones al ejecutivo y al consejo para que la organización se beneficie de una gestión
inteligente e intencional. Evaluaciones similares de aseguramiento ayudan a proporcionar a los
accionistas ya otras partes externas interesadas una visión del funcionamiento de una organización.
La toma de conciencia por parte del CIO de los hallazgos de aseguramiento asegura que el enfoque
de la organización a la gobernabilidad se fije en el nivel superior y que las actividades de GRC se
entiendan y se utilicen en todos los niveles.
En la Fase del Plan, el objetivo es asegurarse de que los servicios de TI ofrecidos al negocio sean
valiosos, predecibles, confiables y rentables, y que respondan a las necesidades empresariales en
constante cambio.
En la fase Entregar, el objetivo es asegurarse de que los servicios de TI que el negocio y la TI han
acordado se desarrollen de manera efectiva, se desplieguen con éxito y estén listos para
Operaciones.
En la fase de operación, el objetivo es asegurarse de que los servicios desplegados son operados,
mantenidos y soportados de acuerdo con los objetivos SLA establecidos por el negocio y la TI.
[Date]
145
En esta fase, el enfoque de GRC es:
GRC crea flujos de procesos organizados en todas las fases del ciclo de vida, ayudando a la toma
de decisiones, equilibrando las compensaciones, estableciendo una estrategia mediante la gestión
de los riesgos y asegurándose de que la gestión de riesgos es apropiada para las actividades que se
llevan a cabo. Al asistir a estos GRC , la TI puede contribuir mejor a la viabilidad y mejoramiento a
largo plazo de la organización y es capaz de establecer con claridad: "Así es como manejamos la TI
y gestionamos el riesgo".
[Date]
146
Gestiona los programas
Asegura procesos y expectativas
generales de gestión de
GRC bien comunicados
Gerente de riesgos y cumplimiento
Asegura que las personas entiendan
Riesgos y Comunica los procesos y
sus responsabilidades de GRC y
Cumplimiento de TI requisitos de GRC a la
tomen acción en consecuencia.
organización
Valida el diseño y la
efectividad operativa de las
Resiste que GRC está
estructuras y procesos de
Aseguramiento e constantemente bajo revisión y
GRC
Informes continuamente mejorado
Recomienda cambios para
mejorar
[Date]
147
estén entrenadas y comprendan
Proporciona capacitación y
los mandatos de cumplimiento
preparación suficientes para
Revisa eventos de riesgo no
mantener el cumplimiento
anticipado y problemas de
Asegura que los eventos
incumplimiento para identificar
imprevistos sean abordados
mejoras a procesos
Establecer una toma de decisiones clara y efectiva en la gestión de los activos de TI.
Gestionar el riesgo de manera eficaz.
Cumplimiento de las políticas, leyes y reglamentos aplicables.
Resultados Medidas
Las actividades de TI generan rentabilidad esperada de la inversión
El uso de los activos de TI cumple con las previsiones
La toma de decisiones es oportuna y no requiere reexamen
Buen gobierno La confidencialidad, integridad y disponibilidad de los activos de TI
son congruentes con las necesidades y directivas de la empresa
Las políticas se crean y se gestionan de manera oportuna
[Date]
148
Confidencialidad, integridad y disponibilidad de los activos de TI
Términos clave
La siguiente tabla contiene definiciones de los términos clave que se encuentran en esta guía.
Término Definición
Procesos que aseguran la conformidad de TI con las regulaciones gubernamentales,
las leyes y las políticas específicas de la empresa-en otras palabras, un medio para
Conformidad
informar a las personas sobre la actividad apropiada y también asegurar que la
organización está haciendo lo que ha dicho que hará
Un proceso que prepara una organización para responder coherentemente a los
Contingencia
resultados planificados, así como a incidentes no planificados
Prueba comprobable de que las políticas y los procesos funcionan como se
Evidencia
esperaba
La gobernanza especifica quién debe tomar decisiones y cómo, cómo comunicarse
Gobernancia eficazmente y cuándo debe suceder, y cómo seguir el progreso de TI en relación con
los objetivos empresariales
Cualquier información, datos, propiedad intelectual, sistema o máquina propiedad de
Activos de TI
la empresa que se utilice en el curso de actividades empresariales
Controles de Una actividad específica realizada por personas o sistemas diseñados para asegurar
TI el cumplimiento de los objetivos empresariales
Procesos o actividades que se establecen con el propósito de reducir las posibles
Mitigación
consecuencias de un riesgo reduciendo la probabilidad o el impacto del riesgo
La posibilidad de efectos adversos en los objetivos de negocio o TI. El riesgo se
Riesgo
mide en términos de impacto, probabilidad y exposición
Gestión de
Los esfuerzos de una organización para abordar el riesgo en el entorno de TI
riesgos
[Date]
149
Figura 2. La relación entre gobernabilidad, riesgo y cumplimiento
Desde el punto de vista del proceso, GRC es diferente de muchos de los SMF de MOF. Su
aplicación no es, estrictamente hablando, un flujo secuencial -primera A sucede, entonces B,
entonces C. En cambio, como muestra la Figura 2, son tres conjuntos separados de procesos-
gobernabilidad, riesgo y cumplimiento-cualquiera de los cuales puede tener lugar simultáneamente o
en tándem con los otros procesos.
Sin embargo, para facilitar la comprensión, este SMF discutirá estas actividades interconectadas
como procesos separados:
Mirando los varios grupos que pasan la información a través de la organización demuestra que es
provechoso tener una manera común de comunicarse sobre la información de GRC. Este GRC SMF
se centra en los mecanismos para conectar estos niveles utilizando las actividades de gestión y
[Date]
150
control de riesgos, lo que resulta en una mejor toma de decisiones y el establecimiento de la
rendición de cuentas por los resultados.
En términos cotidianos, estos conceptos se harán más concretos por el papel específico y las
actividades involucradas. Por ejemplo, el profesional de TI que configure buzones de Microsoft®
Exchange Server necesitará conocer las políticas de retención y purga de correo electrónico y
asegurarse de que estas políticas se apliquen de manera efectiva mediante reglas de configuración y
Directiva de grupo. El gerente de TI debe ser consciente de los objetivos de la gerencia con
respecto a las comunicaciones corporativas y qué requisitos reglamentarios podrían estar
involucrados para asegurarse de que la opinión legal apropiada es llevada a cabo para que se
desarrollen las políticas requeridas.
[Date]
151
Figura 4. Establecer gobierno de TI
[Date]
152
antes de tomar decisiones. Hacer esto ayudará a identificar a los representantes empresariales y de
TI que tomarán decisiones conjuntamente y se harán responsables. Los resultados de las
actividades de gobernabilidad en última instancia afectan cómo se eligen las iniciativas y las
tecnologías y proporcionan el contexto para los recursos de TI más valorados: las personas, para
obtener oportunidades y beneficios.
Ocupaciones Consideraciones
La organización está sujeta a requisitos reglamentarios u otros requisitos
externos para la gobernanza
La gerencia quiere una comprensión clara de la manera en que se
Suposiciones ejecuta
La dirección de negocios quiere entender la contribución que hace TI a
los resultados empresariales
Entradas:
[Date]
153
Salidas:
Mejores prácticas:
Entradas:
Salidas:
[Date]
154
negocios y las TI
Mejores prácticas:
Reducir las luchas políticas turf reuniendo a las partes interesadas con un
proceso claro para determinar las compensaciones y los caminos de
escalada acordados.
La alineación de negocios / TI puede ocurrir a través de muchos niveles
de una organización; proporcionar un foro para la discusión a múltiples
niveles.
Para obtener más información acerca de la configuración de la visión y la
alineación de estrategias, consulte Función de gestión del servicio de
alineación de negocios / IT de MOF .
Preguntas clave:
Entradas:
Salidas:
Identificar normas
y normas
Un marco de gobierno que represente la menor carga organizativa para el
mayor beneficio de la eficiencia, la efectividad, el cumplimiento y la
alineación con el negocio
Mejores prácticas:
[Date]
155
requerir comportamientos deseados?
¿Qué procesos deberían tener medidas específicas de desempeño
definidas por la política?
¿Qué dice la representación legal sobre la política propuesta?
Entradas:
Salidas:
Mejores prácticas:
La gestión del riesgo es el intento de TI de abordar el riesgo mientras se alcanzan los objetivos de
gestión. Las organizaciones de TI logran un éxito a largo plazo al manejar el riesgo mediante el uso
efectivo de los controles internos .
Los controles internos son actividades específicas realizadas por personas o sistemas diseñados
para asegurar que se cumplan los objetivos del negocio. El diseño cuidadoso, la documentación y el
funcionamiento de los controles son cruciales en todos los niveles de la organización. Estar "en
control" significa que las posibilidades de experimentar impactos adversos de eventos indeseables
están en niveles aceptables y que la probabilidad de lograr objetivos es satisfactoria. El control
interno está interrelacionado y directamente afectado por las actividades de gobierno de una
organización.
La Figura 5 ilustra las actividades de gestión de riesgos. Es importante entender que el proceso de
gestión de cada riesgo pasa por todas estas actividades al menos una vez y, a menudo, ciclos a
[Date]
156
través de numerosas veces. Debido a que cada riesgo tiene su propia línea de tiempo, múltiples
riesgos podrían estar en cada etapa en cualquier punto dado.
Cada fase del ciclo de vida del servicio de TI tiene un conjunto asociado de riesgos característicos y
actividades correspondientes para gestionarlos:
En la Fase del Plan, el enfoque se centra en los riesgos relacionados con estrategias
específicas, arquitecturas de información y riesgos en toda la cartera de TI.
La fase de entrega evalúa el riesgo desde una perspectiva orientada al proyecto, que está
más orientada y limitada en el tiempo.
La fase de operación se centra en las actividades cotidianas y los riesgos que pueden afectar
a las operaciones fiables.
Por último, Manage Layer trata de la gestión de riesgos desde un punto de vista general y
enfocado: general en términos de estructuras de gobierno, coordinación organizacional, toma
de decisiones y planes de comunicación; centrada en la gestión del cambio y la configuración
y los riesgos que provienen de la modificación de elementos del entorno de servicios de TI,
así como de los procesos y recursos que forman parte de ese entorno.
[Date]
157
Las categorías de riesgo surgen a lo largo de las diversas fases del ciclo de vida del servicio.
Implican riesgos financieros, operativos, de reputación, de cuota de mercado, de ingresos y
regulatorios, así como otros riesgos que son más específicos para la industria de una organización
en particular (por ejemplo, la asistencia sanitaria) o una actividad que actualmente ocurre (como una
fusión o adquisición) .
Al abordar la gestión de riesgos de una manera que estimule la reflexión sobre las posibles
consecuencias de las actividades, la evaluación de su impacto y, a continuación, adoptar un enfoque
muy explícito para abordar estos riesgos, la TI obtiene una ventaja considerable. Una organización
no puede abordar el riesgo de manera inteligente sin que la TI y el negocio se sienten juntos y
definan tolerancias de riesgo y objetivos de control. Dado que las consecuencias del riesgo se
evalúan en términos de alcanzar los objetivos de negocio, esto ayuda a integrar la TI en las
discusiones de negocios y las compensaciones y elimina después del hecho de apuntar en virtud de
la transparencia que implica la gestión de riesgos.
Ocupaciones Consideraciones
La gestión de los riesgos se extiende más allá de la seguridad y la
privacidad de los datos a una variedad de riesgos que pueden afectar el
Suposiciones cumplimiento de los objetivos de la administración (incluyendo, entre otros:
riesgo financiero, riesgo de no cumplir compromisos de desempeño.
Entradas:
[Date]
158
Resultados (éxito y fracaso) de la gestión de riesgos hasta la fecha
Salida:
Mejores prácticas:
La gestión de riesgos ocurre muchas veces durante cada fase del ciclo de
vida del servicio de TI. La comprensión de los riesgos relativos a los
objetivos de una fase particular establecerá el dominio del riesgo.
Este dominio de riesgo, combinado con la única tolerancia al riesgo de la
compañía, guiará el enfoque de la gestión de riesgos en esa fase del ciclo
de vida del servicio de TI.
La tolerancia al riesgo es fluida y cambia con oportunidades y recompensas
potenciales, así como incidentes y posibles sanciones.
Entradas:
Salida:
Mejores prácticas:
[Date]
159
con un equipo que represente diferentes perspectivas y áreas de
especialización.
La identificación del riesgo también debe incluir la notificación al stakeholder
de riesgo. La identificación del riesgo debe repetirse frecuentemente.
Para obtener más información sobre la identificación de riesgos, consulte
NIST SP 800-30 ( http://csrc.nist.gov/publications/nistpubs/800-30/sp800-
30.pdf ).
Preguntas clave:
Entradas:
Mejores prácticas:
[Date]
160
¿Qué vulnerabilidades de confidencialidad, integridad y acceso a los datos
deben abordarse con controles explícitos?
Entradas:
Salida:
Mejores prácticas:
Entradas:
Informes de auditoría
Lista de controles existentes
Entrevistas con personal en cada área de control
Plan que asigna controles a los servicios de TI ya los procesos
empresariales
Salida:
Mejores prácticas:
[Date]
161
funcionar correctamente para que otros controles puedan depender de ellos
(por ejemplo, controles para acceso a datos).
Controles de diseño con procesos de recolección de evidencia construidos
para hacer más eficientes y eficaces la auditoría y otras pruebas de control.
Las pruebas de control requieren la prueba (en forma de evidencia) de que
el control está en su lugar y funciona como se esperaba.
Preguntas clave:
Entradas:
Planificar y Salidas:
programar la
implementación Plan de desarrollo de riesgos y control
Mitigación identificada
Lista de solicitudes de cambio relacionadas con el control
Mejores prácticas:
Entradas:
Salidas:
Informes de riesgos
Control de informes de estado de desarrollo
Mejores prácticas:
[Date]
162
respectivos planes de acción.
Monitorear la probabilidad, el impacto, la exposición y otras medidas de
riesgo para cambios que podrían alterar los planes de prioridad o riesgo (y,
en última instancia, la disponibilidad del servicio de TI relacionado).
Asegúrese de que el personal de operaciones, el gerente de servicio y otros
interesados conozcan el estado de los principales riesgos y los planes para
manejarlos.
Preguntas clave:
Entradas:
Informes de riesgos
Control de informes de estado de desarrollo
Reporte de cumplimiento de SLA
Salidas:
Operar
Reporte de operaciones de control
controles
Impactos en el nivel de servicio
Mejores prácticas:
[Date]
163
¿Las auditorías indican un entorno de control efectivo?
Entradas:
Salidas:
Mejores prácticas:
[Date]
164
Cada vez más, las actividades de cumplimiento requieren mayor diligencia y responsabilidad de
parte de los profesionales de TI. Por ejemplo, muchas grandes corporaciones han automatizado
significativamente sus sistemas de gestión financiera, lo que ha dado lugar a la automatización de
los controles internos del negocio. Estos controles de aplicación forman parte del entorno de
cumplimiento; cuando se automatizan, se convierten en parte del entorno de TI. Los profesionales
de TI también deben ser conscientes de los controles informáticos generales (por ejemplo, la
separación de entornos de desarrollo y de prueba), que se definen como aquellos procesos,
actividades y configuraciones que se aplican a través de múltiples componentes de infraestructura
para garantizar que la tecnología funciona como se esperaba .
Esto puede ser confuso para los profesionales de TI que suelen utilizar el término "pruebas" para
referirse a los procesos de aseguramiento de calidad (QA) utilizados en el desarrollo de software y el
despliegue del sistema. Guardar los datos reales utilizados para realizar las pruebas (la evidencia)
no es una parte común de la metodología de pruebas del profesional de TI. Sin embargo, los
auditores quieren que las pruebas recopiladas durante un período de tiempo suficientemente largo
para poder formarse una opinión sobre la eficacia y la eficiencia de los controles. Otro punto de
confusión entre las pruebas de aseguramiento y el uso del término "pruebas" por parte del
profesional de TI es que las pruebas de aseguramiento generalmente se centran en controles y
procesos en el entorno de producción. Se centra en lo que realmente está sucediendo en la
experiencia del mundo real de la organización, no en el entorno de prueba aislado, donde los
problemas funcionales pueden ser aislados y resueltos.
Por último, los informes de aseguramiento pueden obtenerse de varias fuentes (por ejemplo,
auditorías de cumplimiento, auditorías de seguridad o auditoría relacionadas con obligaciones
contractuales), y los profesionales de TI pueden encontrar que se les pide pruebas muy similares en
numerosas ocasiones. Al tomar conciencia de las actividades de aseguramiento en su organización,
explorar los requisitos de retención de evidencia y comprender el uso de la evidencia requerida, los
profesionales de TI pueden mejorar la eficiencia y reducir los aspectos perturbadores del proceso de
aseguramiento.
[Date]
165
Figura 6. Cumplir con las directivas
[Date]
166
El profesional de TI debe traer activamente a la atención de la empresa las regulaciones relevantes
para TI. Estas regulaciones pueden entonces ser evaluadas, la compañía puede determinar su
posición relativa a cada una, y las políticas y las directivas apropiadas se pueden construir para guiar
decisiones y actividades. Con esta vía establecida, el auditor podrá tomar los objetivos de gestión-
ahora en forma de directrices- y verificar el cumplimiento de dichas directivas.
Ocupaciones Consideraciones
La organización quiere asegurarse de que las directivas son seguidas,
estén o no sujetas a requisitos formales de gobernabilidad.
TI puede tener servicios que llevan requisitos de desempeño con
sanciones por incumplimiento.
Suposiciones
La organización ha estado sujeta a hallazgos de auditoría que indican
que su ambiente de control es ineficaz o ineficiente o que han resultado
en que la compañía está fuera de cumplimiento.
Entradas:
Salidas:
[Date]
167
Directivas de cumplimiento identificadas que apoyan la intención de la
organización de cumplir con la estrategia
Mejores prácticas:
Preguntas clave:
Entradas:
Mejores prácticas:
Entradas:
[Date]
168
Evaluaciones de riesgos para sistemas y procesos de negocio (ver
"Proceso 2: Evaluar, monitorear y controlar el riesgo")
Políticas y directivas existentes
Informes de cumplimiento, actividad de denunciante
Cumplimiento del rendimiento para contratos y acuerdos de servicios
de TI
Salida:
Mejores prácticas:
Entradas:
Salida:
Mejores prácticas:
[Date]
169
relacionados? ¿Es la política demasiado pesada y pesada, que podría
resultar en un conflicto entre el desempeño y el cumplimiento? ¿Es
adecuada la capacitación?
Consulte con un abogado antes de finalizar la política basada en la
regulación. Es importante tener una interpretación de cómo la
compañía debe cumplir con las regulaciones que incluye una
comprensión más amplia del precedente legal y de la madurez de
regulaciones.
Preguntas clave:
Entradas:
Salida:
Mejores prácticas:
[Date]
170
¿Qué problemas de incumplimiento están ocurriendo?
¿Hay formas de reducir los costos de cumplimiento sin aumentar el
riesgo?
Entradas:
Plan de cumplimiento
Informes de gestión y control de servicios
(consulte el SMF de supervisión y control de servicios )
Informes de auditoría, monitoreo de control
Riesgo y niveles de tolerancia de cumplimiento
Salidas:
Informes de cumplimiento
Actualizaciones del panel de control de cumplimiento
Mejores prácticas:
Entradas:
Salidas:
[Date]
171
Plan de cumplimiento actualizado
Mejores prácticas:
Conclusión
Publicado: 25 de abril de 2008 | Actualizado: 10 de octubre de 2008
El SMF de Gobierno, Riesgo y Cumplimiento proporciona orientación para integrar las actividades
de GRC en el contexto de procesos y actividades a lo largo del ciclo de vida del servicio de TI. Esta
integración hace uso de la gestión de riesgos y controles internos presentes en cada SMF para
proporcionar formas consistentes de tomar decisiones y gestionar las actividades de TI.
Realimentación
Envíe preguntas y comentarios sobre esta guía a mof@microsoft.com .
[Date]
172