• Bookmark

Mejorando el RFP y el proceso de contratos con COBIT 5

por Przemek Tomczak, CISA, CA, CPA

COBIT Focus | 22 de septiembre 2014 Inglés | Ruso

Przemek TomczakCambiar de proveedores de servicios de TI no es una tarea sencilla. Es aún más difícil cuando la organización que hace el cambio es responsable del procesamiento de lecturas de medidores y del apoyo con la facturación de más de cuatro millones de clientes con tarifas de tiempo de uso. Tal complejidad requería un marco para ayudar a guiar el proceso de búsqueda y contrato, por lo que la organización, en este caso, confió en COBIT 5.


El Independent Electricity System Operator (IESO) equilibra la oferta y la demanda de electricidad en Ontario (Canadá) y luego dirige su flujo a través de las líneas de transmisión de la provincia. Trabajando en el corazón del sistema de energía de Ontario, el IESO conecta a todos los participantes: generadores que producen electricidad, transmisores que la envían a través de la provincia, los minoristas que compran y venden, las industrias y los negocios que la utilizan en grandes cantidades y las empresas de distribución locales que la entregan a las casas de las personas.


El IESO también es la Smart Metering Entity responsable del servicio inteligente de Gestión y Repositorio de Datos de Medidor (MDM/R por sus siglas en inglés) de Ontario. El MDM/R es el primer y más grande servicio compartido en el mundo de gestión y procesamiento de medidores inteligentes, apoyando las operaciones desde el medidor hasta la facturación de más de 70 empresas de servicios públicos. Esta operación crucial, en servicio las 24 horas del día, maneja más de 100 millones de transacciones por día y apoya en la facturación de más de cuatro millones de clientes con tarifas de tiempo de uso.


El IESO usó COBIT 5 para la contratación de servicios de TI, ayudando a acelerar el proceso de contratación y mejorar el contrato y su gestión.


El reto de cambiar los proveedores de servicios

Ya que el contrato con el proveedor de servicios actual para la operación del sistema MDM/R y de la infraestructura estaba llegando a su fin, el IESO llevó a cabo un proceso de licitación abierta y competitiva para seleccionar un proveedor para operar este servicio complejo y crucial a niveles de servicio muy exigentes. La operación de este servicio implica:

  • Procesar más de 100 millones de lecturas de medidores en unas cuantas horas cada día
  • Procesar entre 200,000 y 350,000 solicitudes de facturación por día
  • Procesar más de 40,000 solicitudes de información de consumo por hora
  • Entregar más de 2,300 informes por día
  • Compatibilidad con cinco tecnologías diferentes de Infraestructura Avanzada de Medición y más de seis sistemas diferentes para facturación de información de clientes
  • Apoyar a 72 empresas de servicios públicos con extensos requisitos de gobierno y de las partes interesadas
  • Auditorías externas de funciones y procesos MDM/R

Para asegurarse de que el sistema existente de MDM/R se transfiriera al licitador ganador antes de la expiración del contrato actual, el IESO necesitaba completar el proceso competitivo de licitación y contratación dentro de un plazo de tiempo muy ajustado.


Como parte del proceso de contratación, era necesario especificar a los proveedores de servicios potenciales los requisitos del IESO relacionados con actividades, roles, responsabilidades y entregables para la operación del MDM/R.


Mejora del proceso RFP

El IESO evaluó marcos posibles que podrían ayudar a definir los requisitos para la operación del MDM/R para su inclusión en una solicitud de propuesta (RFP). El marco debía incluir una cobertura integral de todos los procesos para el gobierno y la gestión de un servicio de TI integrado. Para satisfacer este requisito, el IESO seleccionó a COBIT 5 para su inclusión en la RFP.


El marco COBIT fue utilizado para especificar los roles, responsabilidades, entregables y niveles de capacidad esperados para cada proceso de TI. Lo más importante, es que especificaba los términos tanto para el IESO como para los proveedores para aclarar los roles y evitar las interpretaciones erróneas; se empleó la matriz RACI: Responsible (Responsable), Accountable (Rinde cuentas), Consulted (Consultado) e Informed (Informado); consulte el ejemplo en la Figura 1.
 

Figure 1—Muestra RACI del contrato IESO

Leyenda
Verde: Contenido de COBIT 5
Azul: Contenido de IESO

Práctica clave Práctica que se realizará Actividades Salidas/
Entregables
¿Entregar a IESO? RACI del proveedor RACI de IESO Aclaración de RACI (cuando corresponda)
BAI06.01 - Evaluar, priorizar y autorizar solicitudes de cambio Evaluar todas las solicitudes de cambio para determinar el impacto en los procesos de negocio y servicios de TI; y evaluar si el cambio afectará negativamente al entorno operativo y presentará riesgos inaceptables. Asegurarse de que los cambios se registren, prioricen, clasifiquen, evalúen, autoricen, planifiquen y programen. 1. Usar solicitudes de cambio formales para permitir a los propietarios de los procesos de negocio y a TI solicitar cambios a los procesos de negocio, la infraestructura, los sistemas o las aplicaciones. Asegurarse de que todos estos cambios surjan solo a través del proceso de gestión de solicitudes de cambio.
2. Categorizar todos los cambios solicitados (p. ej., procesos comerciales, infraestructura, sistemas operativos, redes, sistemas de aplicación, software de aplicación comprada/empaquetada) y relacionar los elementos de configuración afectados.
3. Priorizar todos los cambios solicitados basándose en los requisitos de negocio y técnicos, recursos requeridos y las razones legales, regulatorias y contractuales para el cambio solicitado.
4. Planificar y evaluar todas las solicitudes de una manera estructurada. Incluir un análisis de impacto en los procesos de negocio, infraestructura, sistemas y aplicaciones, planes de continuidad del negocio (BCP) y proveedores de servicios para asegurarse que todos los componentes afectados hayan sido identificados. Evaluar la probabilidad de afectar adversamente el entorno operativo y el riesgo de implementar el cambio. Considerar las implicaciones de seguridad, legales, contractuales y de cumplimiento del cambio solicitado. Considerar también las interdependencias entre los cambios. Involucrar a los propietarios de los procesos de negocio en el proceso de evaluación, según corresponda.
5. Aprobar formalmente cada cambio por parte de los propietarios de los procesos de negocio, gerentes de servicios y técnicos de TI, según corresponda. Los cambios que son de bajo riesgo y relativamente frecuentes deben pre-aprobarse como cambios estándar.
6. Planificar y programar todos los cambios aprobados.
7. Considerar el impacto de los proveedores de servicios contratados (p. ej., de procesamiento de negocio externalizado, infraestructura, desarrollo de aplicaciones y servicios compartidos) en el proceso de gestión de cambios, incluyendo la integración de los procesos de gestión de cambios organizacionales con los procesos de gestión de cambios de los proveedores de servicios y el impacto en términos contractuales y SLAs.
1. Evaluaciones del impacto
2. Solicitudes de cambio aprobadas
3. Plan y cronograma de cambios




R A El proveedor e IESO acuerdan un procedimiento de gestión de cambios que cumpla con los Términos de Servicio MDM/R y el Manual de Gestión de Cambios MDM/R.

El proveedor proporcionará un resumen de los cambios informados (operación cotidiana [Business-As-Usual, BAU]) en la herramienta de servicio de IESO. Los elementos BAU es el trabajo del proveedor que se realiza tras bambalinas en la infraestructura subyacente y que se reportan semanalmente al IESO como una sola partida con los detalles disponibles.
BAI06.02 - Gestionar cambios de emergencia Gestionar cuidadosamente los cambios de emergencia para minimizar futuros incidentes y asegurarse de que el cambio esté controlado y se realiza de forma segura. Verificar que los cambios de emergencia son evaluados adecuadamente y autorizados después del cambio. 1. Asegurarse de que existe un procedimiento documentado para declarar, evaluar, aprobar preliminarmente, autorizar después de un cambio y registrar un cambio de emergencia.
2. Verificar que todos los acuerdos de acceso de emergencia para los cambios se autoricen, documenten y revoquen adecuadamente después de que el cambio se haya aplicado.
3. Monitorear todos los cambios de emergencia y realizar las revisiones posteriores a la implementación con la participación de todas las partes interesadas. La revisión debe considerar e iniciar acciones correctivas basadas en las causas raíz, tales como problemas con los procesos de negocio, desarrollo y mantenimiento de sistemas de aplicación, entornos de desarrollo y pruebas, documentación y manuales, y la integridad de datos.
4. Definir lo que constituye un cambio de emergencia.
1. Revisión posterior a la implementación de los cambios de emergencia R A El proveedor e IESO acuerdan un procedimiento de gestión de cambios que cumpla con los Términos de Servicio MDM/R, el Manual de Gestión de Cambios MDM/R y los requisitos descritos en este documento.
BAI06.03 Rastrear e informar el estado de los cambios Mantener un sistema de rastreo e informes para documentar los cambios rechazados, comunicar el estado de los cambios aprobados y en proceso, y los cambios finalizados. Asegurarse que los cambios aprobados se implementen según lo previsto. 1. Categorizar las solicitudes de cambio en el proceso de seguimiento (p. ej., rechazado; aprobado pero no iniciado; aprobado y en proceso; cerrado).
2. Implementar los informes del estado de cambios con las métricas de rendimiento para permitir la revisión y monitoreo de la administración, tanto del estado detallado de los cambios como del estado general (p. ej., el análisis de antigüedad de las solicitudes de cambios). Asegurarse de que los informes de estado formen una pista de auditoría para que los cambios puedan rastrearse posteriormente, desde su inicio hasta su eventual disposición.
3. Monitorear los cambios abiertos para asegurarse que todos los cambios aprobados se cierren de manera oportuna, dependiendo de la prioridad.
4. Mantener un sistema de seguimiento e informe para todas las solicitudes de cambio.
1. Informes de estado de las solicitudes de cambio (pueden obtenerse a través de la herramienta Service Now) R RA El IESO pondrá a disposición la herramienta Service Desk para rastrear los cambios a la MDM/R para el uso por parte del proveedor y del IESO.
BAI06.04 - Cerrar y documentar los cambios Siempre que se implementen cambios, actualizar acordemente la documentación de la solución y la documentación del usuario, así como los procedimientos afectados por el cambio. 1. Incluir los cambios a la documentación (p. ej., procedimientos operativos de negocio y de TI, documentación de continuidad del negocio y recuperación ante desastres, información de configuración, documentación de aplicaciones, pantallas de ayuda y materiales de capacitación) en el procedimiento de gestión de cambios como una parte integral del cambio.
2. Definir un período de retención adecuado para la documentación de cambios y la documentación del sistema y documentación del usuario antes y después del cambio.
3. Someter la documentación al mismo nivel de revisión que el cambio en sí mismo.
1. Documentación de cambios R RA  


El IESO evaluó las respuestas de los proveedores para la RFP, incluyendo su capacidad demostrada para satisfacer los requisitos de proceso establecidos para gobernar y gestionar la operación del MDM/R.


Durante el cierre del contrato con el licitador RFP elegido, se aclararon y anexaron al contrato el alcance de servicios, obligaciones, responsabilidades y entregables del proveedor para cada proceso en el marco de trabajo de COBIT. Aunque este ejercicio implicó un importante esfuerzo tanto de los proveedores como de los equipos de IESO, ayudó a garantizar que ambas partes utilizaran un lenguaje común y reconocido en la industria para los procesos y las prácticas de TI.


Definición de los términos del nuevo contrato

Este ejemplo ilustra cómo se definieron los objetivos, actividades, resultados y entregables para el proceso de gestión de cambios BAI06 para la RFP y el contrato IESO.


La tabla RACI se utilizó para desarrollar una asignación sugerida de nivel de responsabilidad para las prácticas de proceso a diferentes roles y estructuras:

  • R(esponsible) [responsable] - ¿Quién está realizando la tarea?
  • A(ccountable) [rinde cuentas]: ¿Quién rinde cuentas del éxito de la tarea?
  • C(onsulted) [consultado]: ¿Quién está proporcionando información?
  • I(nformed) [informado]: ¿Quién está recibiendo información?

BAI06 - Descripción del proceso
Todos los cambios se gestionan de una manera controlada, incluyendo cambios estándar y mantenimiento de emergencia en relación con los procesos de negocio, aplicaciones e infraestructura. Esto incluye estándares y procedimientos de cambios, evaluación del impacto, priorización y autorización, cambios de emergencia, rastreo, informes, cierre y documentación. Los cambios pueden identificarse en cualquier momento durante el proyecto o fase operativa.


BAI06 - Propósito del proceso
Habilitar la entrega rápida y confiable de los cambios para el negocio, y la mitigación del riesgo de un impacto negativo en la estabilidad o integridad del entorno modificado.


BAI06 - Nivel de capacidad deseado a corto plazo
Al final de la fase de transición, la empresa habrá alcanzado el nivel de capacidad 3, “proceso establecido” (dos atributos).1 El proceso administrado se implementa mediante un proceso definido que es capaz de lograr los resultados del proceso.


BAI06 - Nivel de capacidad deseado a largo plazo
En los tres años posteriores a la fase de transición, la empresa habrá alcanzado el nivel de capacidad 4, “proceso predecible” (dos atributos).El proceso establecido que se describió previamente ahora opera dentro de límites definidos para lograr los resultados del proceso.


Conclusión

El marco COBIT ayudó al IESO a mejorar significativamente la claridad de la definición de los requisitos de procesos y las obligaciones de proveedores ya que era un marco reconocido, lo que redujo el riesgo de malentendidos o interpretaciones erróneas. Todo el proceso, desde la emisión de la RFP, la evaluación de respuestas y la firma del contrato con el licitador ganador, se completó en cinco meses.


El marco también permitió al IESO desarrollar una estrategia de transición para la maduración de los procesos durante el plazo del contrato. COBIT 5 continúa siendo utilizado por el IESO y el proveedor para la gobernanza y supervisión de la MDM/R.
COBIT ha sido una herramienta muy útil para facilitar el acuerdo entre el IESO y su proveedor en un modelo de gobernanza y responsabilidades, identificando y gestionando riesgos, y estableciendo objetivos de mejora continua.


Przemek Tomczak, CISA, CA, CPA

Es el director de medición inteligente del Independent Electricity System Operator (IESO) de Ontario, supervisando las operaciones del primer y más grande servicio compartido en el mundo de gestión y procesamiento de medidores inteligentes, apoyando las operaciones desde el medidor hasta la facturación de las empresas de distribución locales de Ontario. Antes de su actual cargo, lideró las funciones de auditoría interna y gestión de riesgos del IESO. Tomczak tiene una larga experiencia en liderazgo de negocios y de TI, suministrando iniciativas de programas y transformación, consultoría, outsourcing y gestión de riesgos. También ha ocupado puestos de alta gerencia en Protiviti Consulting, Capgemini, Accenture, EMC y PricewaterhouseCoopers.


Notas finales

1 Las definiciones del nivel de capacidad se basan en las utilizadas en el modelo de evaluación de proceso (PAM) del Programa de Evaluación COBIT, basándose en la norma ISO/IEC 15504 Parte 2, que define los atributos del marco de medición en estos niveles.

 

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.