COBIT 4.0 DS2

_______________________________________________________________________________________________________________IT GOVERNANCA INSTITUTE

OBJETIVO DE CONTROLE DE ALTO NÍVEL

Efe

tivid

ade

Efic

iênc

iaC

onfid

ênci

alid

ade

Inte

grid

ade

Dis

poni

bilid

ade

Con

form

idad

eC

onfia

bilid

ade

P P S S S S S

DS2 Gerenciar Serviços de Terceiros

A necessidade de assegurar que serviços providos por terceiros atendem os requerimentos do negócio requer um processo efetivo de gerenciamento de terceiros. Este processo é efetuado com papeis claramente definidos, responsabilidades e expectativas em acordos com terceiros, como também com revisão e monitoramento destes acordos para efetividade e conformidade. Gerenciamento efetivo de serviços de terceiros minimiza os riscos de negócio associados com fornecedores não conformes.

Controle sobre o processo da TI

Gerenciar serviços de terceiros

que satisfaça o requisito do negócio

de prover serviços satisfatórios por terceiros, enquanto transparentes sobre benefícios, custos e riscos

focando sobre

estabelecer relacionamentos e responsabilidades bilaterais com provedores qualificados de serviços terceirizados e monitorar a entrega dos serviços para assegurar aderência com os acordos

é atingido através

• Identificar e categorizar fornecedores de serviço • Identificar e mitigar riscos de suprimento • Monitorar e medir o desempenho dos fornecedores

e é medido por

• Número de reclamações de usuários de serviços contratadas • Porcentagem de maiores fornecedores que atendem requerimentos e níveis de serviço claramente definidos • Porcentagem de fornecedores maiores sujeitos ao monitoramento por ano

Apl

icaç

ões

Info

rmaç

ãoIn

fra-

estr

utur

aP

esso

as

X X X X

Entregar e SuportarGerenciar Serviços de Terceiros

COBIT 4.0 DS2

_______________________________________________________________________________________________________________IT GOVERNANCA INSTITUTE

Entregar e SuportarGerenciar Serviços de Terceiros

COBIT 4.0 DS2

De Entradas SaídasPO1 Estratégias de suprimento na TI Relatórios de despenho do processo ME1

PO8 Padrões de aquisição Catalogo de fornecedores AI5

PO5 Portfolio de serviços da TI atualizado Riscos de fornecimento PO9

DS1 ANS's, relatório de revisão de contrato

DS2 Gerenciar Serviços de Terceiros

DS4 Requerimentos de recuperação de serviço, incluindo papeis e responsabilidades

Para

AI5 Acordos contratuais, requerimentos do gerenciamento do relacionamento com terceiros

Chart RACI Funções

Atividades CE

O

CF

O

Exe

cutiv

os d

e N

egóc

ioC

IO

Pro

prie

tário

de

Pro

cess

o de

Neg

ócio

Ger

ente

de

Ope

raçõ

esA

rqui

teto

Che

feG

eren

te d

e D

esen

volv

imen

toG

eren

te d

a A

dmin

istr

ação

da

TI

Ger

ente

do

escr

itório

do

Pro

jeto

Con

form

idad

e. A

udito

ria, R

isco

s e

Seg

uran

ça

Identificar e categorizar relacionamentos para serviços terceirizados I C R C R A/R C CDefina e documento o processo de gerenciamento de fornecedores C A I R I R R C C

Identifica, avalia e mitiga riscos de fornecimento I A R R R C CMonitora a entrega de serviço de fornecedores R A R R R C CAvaliar metas de longo prazo do relacionamento para serviços para todos os stakeholders

C C C A/R C C C C R C C

O Chart RACI identifica quem é Responsável, tem Autoridade, é Consultado ou Informado

Estabeleça avaliação de fornecedores, políticas e procedimentos de seleção

C A C C CC R C

_______________________________________________________________________________________________________________IT GOVERNANCA INSTITUTE

OBJETIVOS DE CONTROLE DETALHADOS

DS2 Gerenciar Serviços de Terceiros

DS2.1 Identificação de todos os Relacionamentos com Fornecedores

Identificar todos os fornecedores de serviço e categoriza estes de acordo com tipo de fornecimento, significância e críticidade. Manter uma documentação formal sobre relacionamentos técnicos e organizacionais, cobrindo os papeis e responsabilidades, metas, entregáveis esperados e credenciamento de representantes destes fornecedores.

DS2.2 Gerenciamento dos Relacionamentos com Fornecedores

Formalize o processo do gerenciamento dos relacionamentos com os fornecedores para cada fornecedor. Os proprietários dos relacionamentos precisam ser atentos aos assuntos de clientes e fornecedores e assegurar a qualidade dos relacionamentos baseados em confiança e transparência (p.ex. através de acordos de níveis de serviço).

DS2.3 Gerenciamento dos Riscos dos Fornecedores

Identificar e mitigar riscos relacionados às habilidades dos fornecedores de continuar com a entrega de serviços efetivos, numa maneira seguro e eficiente, como também em base continuou. Assegura contratos conforme padrões universais de negócio e em concordância com requerimentos legais e regulamentos. O gerenciamento de risco deve considerar também acordos de não conformidade (ANC’s), custódia contratual, viabilidade de fornecimento continuou, conformidade com requerimentos de segurança, fornecedores alternativos, penalidades e recompensas, etc.

DS2.4 Monitoramento do Desempenho de Fornecedores

Estabeleça um processo para monitorar a entrega do serviço para assegurar que o fornecedor atende os requerimentos atuais de negócio e continuam aderente aos acordos contratuais e acordos de níveis de serviço e que o desempenho é competitivo em relação de fornecedores alternativos e condições de mercado.

GUIA GERENCIAL

Entregar e SuportarGerenciar Serviço de Terceiros

COBIT 4.0 DS2

Objetivos e MétricasMetas de Atividade Metas de Processos Metas da TI

• Identificar e categorizar serviços de • Estabeleça relacionamento e respo- • Assegura a satisfação mutuo do

fornecedores sabilidades bilaterais com provedores relacionamento com terceiros

• Identificar e medir riscos de fornecimento de serviços qualificados • Assegura a satisfação dos usuários finais

• Monitorar e medir desempenho de • Monitorar a entrega de serviços e • Responde ao requerimentos de negócio

fornecedores verifica a aderência ao acordos com a oferta de serviços e níveis de serviço

• Assegura a conformidade de fornecimento • Assegura transparência e compreensão

com padrões internos e externos dos custos, benefícios, estratégia,

• Manter a vontade dos fornecedores políticas e níveis de serviço da TI

para continuar o relacionamento

conduz conduzsão medidos por são medidos por são medidos por

Indicadores Chaves de DesempenhoIndicadores Chaves de Metas de Processos

Indicadores Chaves de Metas da TI

• % de fornecedores maiores sujeito ao • % de fornecedores que atendem • % de usuários compatíveis com os

requerimentos e níveis de serviço requerimentos e níveis de serviços serviços contratados

claramente definidos claramente definidos • % de gastos de compras sujeitos ao

• % de fornecedores maiores sujeito ao • Número de disputas formais com fornecimentos competitivos

monitoramento fornecedores

• Nível de satisfação do negócio com • % de pedidos de fornecedores disputados

a efetividade da comunicação de

fornecedores

• Nível de satisfação dos fornecedores

com a efetividade da comunicação do

negócio

• % de incidentes significativos de não

conformidade de fornecedores por

período de tempo

_______________________________________________________________________________________________________________IT GOVERNANCA INSTITUTE

Entregar e SuportarGerenciar Serviço de Terceiros

COBIT 4.0 DS2

_______________________________________________________________________________________________________________IT GOVERNANCA INSTITUTE

MODELO DE MATURIDADE

DS2 Gerenciar Serviços de Terceiros

Gerenciamento do processo de Gerenciar Serviços de Terceiros que satisfaça os requerimentos do negócio ao TI para prover serviços de terceiros satisfatórios, enquanto transparentes sobre benefícios, custos e risco é:

0 Não Existente quando

Responsabilidades e autoridades não estão definidas. Não existem políticas e procedimentos formais respeito de contratar serviços de terceiros. Serviços de terceiros não são aprovados e não revisados pela administração. Não existem atividades de medição e relatórios de terceiros. Na ausência de obrigações contratuais para reportar, a administração sênior não é atento sobre a qualidade de serviços entregas.

1 Inicial / Ad Hoc quando

A administração é atenta sobre as necessidades de ter políticas e procedimentos documentados para gerenciar terceiros, incluindo contratos assinados. Não existem termos padrão para acordos com provedores de serviço. A medição dos serviços providos é informal e reativo. As práticas dependem da experiência de indivíduos e de fornecedores (p.ex. sob demanda).

2 Repetitivo mas Intuitivo quando

O processo para supervisionar provedores de serviços terceirizados, riscos associados e a entrega do serviço é informal. Existe um contrato assinado, pro forma, usando termos e condições padrão do fornecedor (p.ex. a descrição dos serviços a serem providos). Relatórios sobre os serviços providos são disponíveis, mas não focam os objetivos de negócio.

3 Processo Definido quando

Procedimentos bem documentados estão implementados para governar serviços de terceiros com processos claros para examinar serviços e negociar com fornecedores. Quando um acordo para a provisão de serviços é feito, o relacionamento com terceiros é absoluto contratual. A natureza dos serviços providos de detalhado no contrato e inclua requerimentos legais, operacionais e de controle. As responsabilidades para supervisionar serviços de terceiros são atribuídos. Termos contratuais são baseados em modelos padronizados. O risco associado com serviços de terceiros é avaliado e reportado.

4 Gerenciado e Mensurável quando

Critérios formais e padronizados são estabelecidos para definir os termos do compromisso, incluindo o escopo de trabalho, serviços / entregáveis a serem providos, suposições, programação, custos, acordos de pagamento e responsabilidades. Responsabilidades para gerenciar contratos e fornecedores são atribuídas. Qualificação do fornecedor, riscos e competências são verificadas em base continuou. Requerimentos de serviços são definidos e ligados aos objetivos de negócio. Um processo existe para revisar o desempenho do serviço contra ternos contratuais, provendo input para avaliar serviços atuais e futuros de terceiros. Modelos de preços de transferência são usados no processo de suprimento. Todas as partes envolvidas são atentas sobre expectativas de serviço, custo e marcos. KPI’s e KGI’s para a supervisão dos provedores de serviços foram acordados.

5 Otimizado quando Contratos assinados com terceiros são revisados periodicamente em intervalos pré-definidos. A responsabilidade para gerenciar fornecedores e a qualidade dos serviços providos é atribuída. Evidências sobre a conformidade com contratos em relação às provisões operacionais, legais e de controle são monitoradas e ação corretiva é exigida. O terceiro é sujeito à revisão independente periódico e o feedback sobre o desempenho é provido e usado para melhorar a entrega do serviço. Medições variam em resposta às mudanças das condições do negócio. Medições suportam a detecção cedo de problemas potenciais com serviços de terceiros. Reporte definido, compreensivo, sobre o atendimento de níveis de serviços é ligado a compensações do terceiro. A administração ajusta o processo da aquisição e monitoração de serviços de terceiros baseados em KPI’s e KGI’s resultantes.

Entregar e SuportarGerenciar Serviço de Terceiros