1. COBIT 4.0 Entregar e Suportar
Gerenciar Serviços de Terceiros DS2
OBJETIVO DE CONTROLE DE ALTO NÍVEL
de
ialida
ade
ade
ade
nibilid
e
idade
iabilid
ormid
idênc
ridad
ncia
Dispo
Efetiv
Eficiê
Integ
Conf
Conf
Conf
P P S S S S S
DS2 Gerenciar Serviços de Terceiros
A necessidade de assegurar que serviços providos por terceiros atendem os requerimentos do negócio requer um
processo efetivo de gerenciamento de terceiros. Este processo é efetuado com papeis claramente definidos,
responsabilidades e expectativas em acordos com terceiros, como também com revisão e monitoramento destes acordos
para efetividade e conformidade. Gerenciamento efetivo de serviços de terceiros minimiza os riscos de negócio
associados com fornecedores não conformes.
Controle sobre o processo da TI
Gerenciar serviços de terceiros
que satisfaça o requisito do negócio
de prover serviços satisfatórios por terceiros, enquanto transparentes sobre benefícios, custos e riscos
focando sobre
estabelecer relacionamentos e responsabilidades bilaterais com provedores qualificados de serviços
terceirizados e monitorar a entrega dos serviços para assegurar aderência com os acordos
é atingido através
• Identificar e categorizar fornecedores de serviço
• Identificar e mitigar riscos de suprimento
• Monitorar e medir o desempenho dos fornecedores
e é medido por
• Número de reclamações de usuários de serviços contratadas
• Porcentagem de maiores fornecedores que atendem requerimentos e
níveis de serviço claramente definidos
• Porcentagem de fornecedores maiores sujeitos ao monitoramento por ano
tura
ação
s
estru
açõe
oas
Inform
Infra-
Pess
Aplic
X X X X
_______________________________________________________________________________________________________________
IT GOVERNANCA INSTITUTE
2. COBIT 4.0 Entregar e Suportar
Gerenciar Serviços de Terceiros DS2
_______________________________________________________________________________________________________________
IT GOVERNANCA INSTITUTE
3. COBIT 4.0 Entregar e Suportar
Gerenciar Serviço de Terceiros DS2
OBJETIVOS DE GUIA GERENCIAL
CONTROLE DETALHADOS
DS2 Gerenciar Serviços de Terceiros
DS2.1 Identificação de todos os Relacionamentos com Fornecedores
Identificar todos os fornecedores de serviço e categoriza estes de acordo com tipo de fornecimento, significância e
críticidade. Manter uma documentação formal sobre relacionamentos técnicos e organizacionais, cobrindo os papeis e
responsabilidades, metas, entregáveis esperados e credenciamento de representantes destes fornecedores.
DS2.2 Gerenciamento dos Relacionamentos com Fornecedores
Formalize o processo do gerenciamento dos relacionamentos com os fornecedores para cada fornecedor. Os
proprietários dos relacionamentos precisam ser atentos aos assuntos de clientes e fornecedores e assegurar a qualidade
dos relacionamentos baseados em confiança e transparência (p.ex. através de acordos de níveis de serviço).
DS2.3 Gerenciamento dos Riscos dos Fornecedores
Identificar e mitigar riscos relacionados às habilidades dos fornecedores de continuar com a entrega de serviços efetivos,
numa maneira seguro e eficiente, como também em base continuou. Assegura contratos conforme padrões universais de
negócio e em concordância com requerimentos legais e regulamentos. O gerenciamento de risco deve considerar
também acordos de não conformidade (ANC’s), custódia contratual, viabilidade de fornecimento continuou, conformidade
com requerimentos de segurança, fornecedores alternativos, penalidades e recompensas, etc.
DS2.4 Monitoramento do Desempenho de Fornecedores
Estabeleça um processo para monitorar a entrega do serviço para assegurar que o fornecedor atende os requerimentos
atuais de negócio e continuam aderente aos acordos contratuais e acordos de níveis de serviço e que o desempenho é
competitivo em relação de fornecedores alternativos e condições de mercado.
DS2 Gerenciar Serviços de Terceiros
De Entradas Saídas Para
PO1 Estratégias de suprimento na TI Relatórios de despenho do processo ME1
PO8 Padrões de aquisição Catalogo de fornecedores AI5
PO5 Portfolio de serviços da TI atualizado Riscos de fornecimento PO9
AI5 Acordos contratuais, requerimentos do
gerenciamento do relacionamento com terceiros
DS1 ANS's, relatório de revisão de contrato
DS4 Requerimentos de recuperação de serviço,
incluindo papeis e responsabilidades
_______________________________________________________________________________________________________________
IT GOVERNANCA INSTITUTE
4. COBIT 4.0 Entregar e Suportar
Gerenciar Serviço de Terceiros DS2
Chart RACI Funções
nça
egura
cio
S
cos e
Negó
to
TI
Proje
ão da
imento
a, Ris
e
sso d
rio do
istraç
uditori
gócio
ções
nvolv
Proce
escritó
Admin
Opera
de Ne
Dese
de. A
hefe
de
rmida
etário
te da
te do
eto C
te de
te de
tivos
Execu
Geren
Geren
Geren
Geren
Propri
Confo
Arquit
CEO
CFO
CIO
Atividades
Identificar e categorizar relacionamentos para serviços terceirizados I C R C R A/R C C
Defina e documento o processo de gerenciamento de fornecedores C A I R I R R C C
Estabeleça avaliação de fornecedores, políticas e procedimentos de
C A C C C R C C
seleção
Identifica, avalia e mitiga riscos de fornecimento I A R R R C C
Monitora a entrega de serviço de fornecedores R A R R R C C
Avaliar metas de longo prazo do relacionamento para serviços para todos
C C C A/R C C C C R C C
os stakeholders
O Chart RACI identifica quem é Responsável, tem Autoridade, é Consultado ou Informado
Objetivos e Métricas
Metas de Atividade Metas de Processos Metas da TI
• Identificar e categorizar serviços de • Estabeleça relacionamento e respo- • Assegura a satisfação mutuo do
fornecedores sabilidades bilaterais com provedores relacionamento com terceiros
• Identificar e medir riscos de fornecimento de serviços qualificados • Assegura a satisfação dos usuários finais
• Monitorar e medir desempenho de • Monitorar a entrega de serviços e • Responde ao requerimentos de negócio
fornecedores verifica a aderência ao acordos com a oferta de serviços e níveis de serviço
• Assegura a conformidade de fornecimento • Assegura transparência e compreensão
com padrões internos e externos dos custos, benefícios, estratégia,
• Manter a vontade dos fornecedores políticas e níveis de serviço da TI
para continuar o relacionamento
conduz conduz
são medidos por são medidos por são medidos por
Indicadores Chaves de Metas de
Indicadores Chaves de Desempenho Indicadores Chaves de Metas da TI
Processos
• % de fornecedores maiores sujeito ao • % de fornecedores que atendem • % de usuários compatíveis com os
requerimentos e níveis de serviço requerimentos e níveis de serviços serviços contratados
claramente definidos claramente definidos • % de gastos de compras sujeitos ao
• % de fornecedores maiores sujeito ao • Número de disputas formais com fornecimentos competitivos
monitoramento fornecedores
• Nível de satisfação do negócio com • % de pedidos de fornecedores disputados
a efetividade da comunicação de
fornecedores
• Nível de satisfação dos fornecedores
com a efetividade da comunicação do
negócio
• % de incidentes significativos de não
conformidade de fornecedores por
período de t po
em
_______________________________________________________________________________________________________________
IT GOVERNANCA INSTITUTE
5. COBIT 4.0 Entregar e Suportar
Gerenciar Serviço de Terceiros DS2
MODELO DE MATURIDADE
DS2 Gerenciar Serviços de Terceiros
Gerenciamento do processo de Gerenciar Serviços de Terceiros que satisfaça os requerimentos do negócio ao TI
para prover serviços de terceiros satisfatórios, enquanto transparentes sobre benefícios, custos e risco é:
0 Não Existente quando
Responsabilidades e autoridades não estão definidas. Não existem políticas e procedimentos formais respeito de
contratar serviços de terceiros. Serviços de terceiros não são aprovados e não revisados pela administração. Não
existem atividades de medição e relatórios de terceiros. Na ausência de obrigações contratuais para reportar, a
administração sênior não é atento sobre a qualidade de serviços entregas.
1 Inicial / Ad Hoc quando
A administração é atenta sobre as necessidades de ter políticas e procedimentos documentados para gerenciar terceiros,
incluindo contratos assinados. Não existem termos padrão para acordos com provedores de serviço. A medição dos
serviços providos é informal e reativo. As práticas dependem da experiência de indivíduos e de fornecedores (p.ex. sob
demanda).
2 Repetitivo mas Intuitivo quando
O processo para supervisionar provedores de serviços terceirizados, riscos associados e a entrega do serviço é informal.
Existe um contrato assinado, pro forma, usando termos e condições padrão do fornecedor (p.ex. a descrição dos serviços
a serem providos). Relatórios sobre os serviços providos são disponíveis, mas não focam os objetivos de negócio.
3 Processo Definido quando
Procedimentos bem documentados estão implementados para governar serviços de terceiros com processos claros para
examinar serviços e negociar com fornecedores. Quando um acordo para a provisão de serviços é feito, o
relacionamento com terceiros é absoluto contratual. A natureza dos serviços providos de detalhado no contrato e inclua
requerimentos legais, operacionais e de controle. As responsabilidades para supervisionar serviços de terceiros são
atribuídos. Termos contratuais são baseados em modelos padronizados. O risco associado com serviços de terceiros é
avaliado e reportado.
4 Gerenciado e Mensurável quando
Critérios formais e padronizados são estabelecidos para definir os termos do compromisso, incluindo o escopo de
trabalho, serviços / entregáveis a serem providos, suposições, programação, custos, acordos de pagamento e
responsabilidades. Responsabilidades para gerenciar contratos e fornecedores são atribuídas. Qualificação do
fornecedor, riscos e competências são verificadas em base continuou. Requerimentos de serviços são definidos e ligados
aos objetivos de negócio. Um processo existe para revisar o desempenho do serviço contra ternos contratuais, provendo
input para avaliar serviços atuais e futuros de terceiros. Modelos de preços de transferência são usados no processo de
suprimento. Todas as partes envolvidas são atentas sobre expectativas de serviço, custo e marcos. KPI’s e KGI’s para a
supervisão dos provedores de serviços foram acordados.
5 Otimizado quando
Contratos assinados com terceiros são revisados periodicamente em intervalos pré-definidos. A responsabilidade para
gerenciar fornecedores e a qualidade dos serviços providos é atribuída. Evidências sobre a conformidade com contratos
em relação às provisões operacionais, legais e de controle são monitoradas e ação corretiva é exigida. O terceiro é
sujeito à revisão independente periódico e o feedback sobre o desempenho é provido e usado para melhorar a entrega
do serviço. Medições variam em resposta às mudanças das condições do negócio. Medições suportam a detecção cedo
de problemas potenciais com serviços de terceiros. Reporte definido, compreensivo, sobre o atendimento de níveis de
serviços é ligado a compensações do terceiro. A administração ajusta o processo da aquisição e monitoração de serviços
de terceiros baseados em KPI’s e KGI’s resultantes.
_______________________________________________________________________________________________________________
IT GOVERNANCA INSTITUTE