• Bookmark

Como o COBIT 5 ajudou o Banco Al Rajhi a alcançar requisitos de compliance e regulatórios

Por Ibrahim Al-Rashid, Vaseem Nasiruddeen, COBIT Foundation, ITIL Expert, PMP, CMQ/OE, e Sreechith Radhakrishnan, COBIT Certified Assessor, ISO/IEC 20000 LA, ISO/IEC 27001 LA, ISO22301 LA, ITIL Expert, PMP

COBIT Focus | 10 de Agosto de 2015 Árabe | Inglês| Francês | Japonês | Espanhol

Fundado em 1957, o Banco Al Rajhi é um dos maiores bancos Islâmicos no mundo, com um total de ativos de SR 288 bilhões (US 76,8 bilhões), um capital de US 4,3 bilhões e uma base de 8.400 funcionários. Com mais de 50 anos de experiência em atividade bancária, os diversos negócios individuais com o nome Al Rahji foram unificados sob um mesmo guarda-chuva, Al Rahji Trading and Exchange Corporation, em 1978. Em 1988, o banco foi estabelecido como uma companhia de acionistas sauditas.


Com base em Riad, Arábia Saudita, o Banco Al Rahji possui uma vasta rede com mais de 500 agências, mais de 100 agências dedicadas às mulheres, mais de 4 mil ATMs, 36 mil POSs instalados em comércios e a maior base de clientes em comparação a qualquer outro banco do Reino, em complemento aos 130 centros de remessa ao longo do Reino.


A função de Governança de TI do Banco foi estabelecida em 2014, e o banco necessitava estar em conformidade com requisitos regulatórios requeridos pelo Banco Central da Arábia Saudita. Além disso, as auditorias indicavam a necessidade de melhorar o framework de gestão de riscos e controle internos. O banco estava usando múltiplos frameworks e padrões, incluindo o ITIL, escritório de gestão de projetos (PMO) e a ISO 27001 para governar e gerenciar a TI.


Escolhendo um Framework

O banco reconheceu a necessidade de usar um modelo integrado para atender as várias necessidades, especialmente de compliance e de requisitos de auditoria. Também foi considerado essencial que o modelo integrado introduzisse uma linguagem comum de gerenciamento de riscos para permitir que o banco medisse melhor a performance de TI. Então o banco se voltou ao COBIT, que se mostrou adequado para atender suas necessidades. Todos os requisitos do banco foram mapeados nos processos e práticas de processos do COBIT. E os diversos guias, ferramentas e treinamentos do COBIT 5 ajudaram os acionistas do banco a melhorarem seu conhecimento do COBIT para outras mais implementações de sucesso.


Suporte gerencial

Para ganhar o apoio da alta gestão, foram identificados os objetivos de negócio e pain points foram identificados. Os pain points incluíram o fato de que múltiplos padrões e frameworks estavam sendo usados para gerenciar e governar a TI e auditar as não-conformidade de áreas internas e órgão externos.


Os objetivos de negócios incluíam atender os requisitos regulatórios e de compliance, fechando gaps de auditoria e integrando a governança de TI e da empresa.


Os pain points e objetivos de negócios foram mapeados às práticas do COBIT usando o mecanismo de objetivos em cascata (figura 1). Os processos do COBIT foram mapeados em relação ao modelo de operação de TI do banco.


Figura 1—Objetivos cascateados do COBIT 5

Fonte: Adaptado do COBIT 5 da ISACA, USA 2012


A gestão do banco também explicou a importância de uma abordagem holística, usando os 7 habilitadores do COBIT 5 (figura 2), em direção à uma governança e um modelo de gestão de riscos sustentável de TI para o banco.


Figura 2—Habilitadores do COBIT

Fonte: ISACA, COBIT 5, USA 2012


Alcançando os objetivos

Um roadmap para atender os requisitos de governança e compliance foram definidos em um projeto de 3 fases (figura 3).


Figura 3—Building Blocks da Governança de TI

Fonte: Ibrahim Al-Rashid, Vaseem Nasiruddeen e Sreechith Radhakrishnan, sob permissão.


O banco realizou uma avaliação da maturidade do processo baseado no COBIT 5 e na ISO 15504 para identificar os pontos fortes e fracos do processo existente. Também foi realizado uma avaliação de riscos baseada no resultado da avaliação de maturidade para priorizar o processo que mais necessitava de melhoria. Uma vez que o time determinou o processo mais importante para melhorar e receber foco, foi dado para os requisitos de compliance. O banco também desenvolveu um roadmap para melhorar os processos, que incluiu projetos de curto e longo prazo.


Avançando

O banco produziu um modelo em que o COBIT pode ser usado para alcançar a performance dos requisitos de TI, auditoria e compliance dentro do banco. A criação desses modelos permitiu ao banco replicar o trabalho já realizado e aplica-lo facilmente em futuras necessidades de TI, auditoria e compliance, assim que elas surgirem.


O modelo de gestão de riscos também foi criado como um projeto de duas fases (figura 4).


Figura 4—Modelo de gestão de riscos

Fonte: Ibrahim Al-Rashid, Vaseem Nasiruddeen e Sreechith Radhakrishnan, sob permissão.


Conclusão

CO COBIT pode ser usado pelas empresas para melhorar a performance de TI e alcançar requisitos regulatórios e de compliance. Começa com a gestão comprando a ideia e priorizando os processos ou práticas de processo a serem melhorados e/ou implementados. Os objetivos em cascata são uma excelente ferramenta e pode ser útil em mapear pain points e eventos ativadores de processos do COBIT, como demonstrado no COBIT 5 Implementation.


Há alguns poucos pontos para relembrar:

  • Não tente fazer tudo de uma só vez. A prática permite a melhoria contínua, em pequenos passos e estabilizar as melhorias na medida que avança.
  • Defina papeis e responsabilidades que sejam claramente definidas usando o modelo RACI (Responsible, Accountable, Consulted e Informed).
  • Dê maior foco na mudança do comportamento das pessoas. Os aspectos culturais da implementação desses melhorias não pode ser subestimado.


Ibrahim Al-Rashid

É o CIO (Chief Information Officer) liderando o departamento de TI do maior banco do Oriente Médio.


Vaseem Nasiruddeen, COBIT Foundation, ITIL Expert, PMP, CMQ/OE

É o Program Manager da governança de TI e do programa de gestão de serviços de TI no AL Rahji Bank. Ele é um consultor de TI e ITIL Expert com mais de 20 anos de experiência. Nasiduddeen tem uma extensa experiência internacional em estratégia de TI, governança e entrega de serviços em bancos.


Sreechith Radhakrishnan, COBIT Certified Assessor, ISO/IEC 20000 LA, ISO/IEC 27001 LA, ISO22301 LA, ITIL Expert, PMP

É o instrutor líder e principal consultor da Global Success Systems FZ LLC, Emirados Árabes Unidos, onde ele e seu time ajudam organizações a melhorarem a performance de TI e colher o máximo benefício dos investimentos realizados em TI. Ele é um instrutor com acreditação para múltiplas disciplinas, incluindo COBIT, ITIL, PMP e segurança de TI. Sua experiência de mais de 19 anos na gestão dinâmica de TI inclui a gestão da infraestrutura de rede, gestão de projetos, gestão da operação de TI e gerenciamento de serviços.

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.