• Bookmark

Cómo COBIT 5 ayudó a Al Rajhi Bank a alcanzar los requerimientos de cumplimiento y regulatorios

Por Ibrahim Al-Rashid, Vaseem Nasiruddeen, COBIT Foundation, ITIL Expert, PMP, CMQ/OE, y Sreechith Radhakrishnan, Asesor Certificado COBIT, ISO/IEC 20000 LA, ISO/IEC 27001 LA, ISO22301 LA, ITIL Expert, PMP

COBIT Focus | 10 de agosto de 2015 Árabe | Inglés | Francés | Japonés | Portugués

Fundado en 1957, el Al Rajhi Bank es uno de los bancos islámicos más grandes del mundo, con un activo total de SR 288 mil millones (US $76,800 millones), un capital desembolsado de US $4,300 millones y una base de empleados de más de 8,400 asociados. Con más de 50 años de experiencia en servicios bancarios y actividades de comercialización, los diferentes establecimientos individuales bajo el nombre de Al Rajhi fueron fusionados bajo la sombrilla de Al Rajhi Trading and Exchange Corporation en 1978. En 1988, el banco se estableció como una compañía de participación accionaria saudí.


Con su base establecida en Riad, Arabia Saudita, el Al Rajhi Bank cuenta con una amplia red de más de 500 sucursales, más de 100 sucursales especiales para damas, más de 4,030 cajeros automáticos (ATM), 36,000 terminales de punto de venta (POS) instaladas en negocios y la base de clientes más grande de cualquier banco en el reino, además de 130 centros de remesas a lo largo del reino.


La función de regulación de TI del banco fue recién establecida en 2014 y el banco necesita cumplir con los requerimientos regulatorios establecidos por el Banco Central de Arabia Saudita. Adicionalmente, los hallazgos de auditorías indicaron la necesidad de mejorar el marco de gestión de riesgos de TI y los controles internos. El banco estaba usando múltiples marcos y estándares incluyendo ITIL, Project Management Office (PMO) y ISO/IEC 27001 para regular y gestionar las TI.


Escogiendo un marco

El banco reconoció la necesidad de usar un modelo integrado para cumplir con varias necesidades establecidas, especialmente los requerimientos de cumplimiento y auditoría. También se consideraba esencial el que un modelo integrado introdujera un lenguaje común de gestión de riesgos para permitir que el banco midiera mejor el desempeño de TI. Así que el banco recurrió a COBIT, ya que se consideró adecuado para cumplir con las necesidades del banco. Todos los requerimientos identificados del banco pudieron ser mapeados a los procesos y prácticas de procesos de COBIT. Y la amplia gama de guías, herramientas y capacitación de COBIT 5 ayudó a las personas involucradas del banco a mejorar sus conocimientos de COBIT para una implementación más exitosa.


Soporte de Gestión

Para obtener el soporte de la gerencia superior se identificaron los desafíos y los objetivos de negocios. Los desafíos incluyeron el hecho de que se estaban usando múltiples marcos y estándares de regulación para manejar y regular las TI y la falta de conformidad en auditoría de los cuerpos internos y externos.


Los objetivos de negocios incluyen alcanzar los requerimientos de cumplimiento y regulatorios, cerrar las brechas de auditoría e integrar la regulación de TI con regulación corporativa.


Los desafíos y los objetivos de negocios fueron mapeados según las prácticas de COBIT usando el mecanismo de cascada de metas (figura 1). Los Procesos de COBIT fueron mapeados al modelo operativo de TI del banco.


Figura 1—Cascada de metas de COBIT 5

Fuente: Adaptado de ISACA, COBIT 5, EUA 2012


La gerencia del Banco también explicó la importancia de un método holístico, usando los 7 habilitadores de COBIT 5 (figura 2), para crear una regulación de IT sustentable y un modelo de gestión de riesgos para el banco.


Figura 2—Habilitadores de COBIT

Fuente: ISACA, COBIT 5, EUA 2012


Alcanzando la Metas

La guía para cumplir con los requerimientos de regulación y cumplimiento fueron definidos en un proyecto de 3 fases (figura 3).


Figura 3—Elementos Esenciales para Regulación de TI

Fuente: Ibrahim Al-Rashid, Vaseem Nasiruddeen y Sreechith Radhakrishnan. Reimpreso con autorización.


El banco llevó a cabo una evaluación de capacidad de procesos basados en COBIT 5 e ISO 15504, para identificar las fortalezas y debilidades de los procesos existentes. También llevó a cabo una evaluación de riesgos basada en los resultados de la evaluación para dar prioridades a los procesos que más necesitan mejoras. Una vez que el equipo determinó los procesos más importantes para mejorar y en los cuales enfocarse, se le dio prioridad a los requerimientos de cumplimiento El banco también desarrollo una guía para mejorar los procesos, los cuales incluían proyectos a corto y largo plazo.


Avanzando

El banco produjo un modelo en el cual se puede usar COBIT para cumplir con los requerimientos de desempeño, auditoría y cumplimiento de TI dentro del banco. El crear dicho modelo permite al banco replicar el trabajo ya creado y aplicarlo fácilmente a las necesidades de desempeño, auditoría y cumplimiento de TI futuras al ir surgiendo.


También se creó un modelo de gestión de riesgo como un proyecto de 2 fases (figura 4).


Figura 4—Modelo de Gestión de Riesgo

Fuente: Ibrahim Al-Rashid, Vaseem Nasiruddeen y Sreechith Radhakrishnan. Reimpreso con autorización.


Conclusión

Las organizaciones pueden usar COBIT para mejorar el desempeño de TI y alcanzar los requerimientos regulatorios y de cumplimiento. Inicia con el compromiso de la gerencia y el dar prioridades a los procesos o las prácticas de procesos a ser mejoradas y/o implementadas. La cascada de metas es una gran herramienta y también es útil en el mapeo de desafíos y para activar eventos para procesos COBIT, como se demuestra en la guía COBIT 5 Implementation.


Hay algunos puntos a recordar:

  • No trate de hacer todo a la vez. Practique pequeñas mejoras, tome pequeños pasos y estabilice las mejoras al continuar.
  • Asigne roles y responsabilidades que sean definidas claramente usando el modelo de responsable, rendición de cuentas, consultado e informado (RACI).
  • Enfóquese más en cambiar el comportamiento de la gente. El aspecto cultural de la implementación de estas mejoras no puede ser subestimado.


Ibrahim Al-Rashid

Es el director de informática dirigiendo el departamento de TI del banco más grande del Medio Este.


Vaseem Nasiruddeen, COBIT Foundation, ITIL Expert, PMP, CMQ/OE

Es el gerente de programa de regulación de TI y del programa de gestión de servicios de TI de Al Rajhi Bank. Es un consultor de TI y un experto de ITIL, con más de 20 años de experiencia relevante. Nasiruddeen cuenta con una extensa experiencia internacional en estrategia, regulación y suministro de servicio de TI en la banca.


Sreechith Radhakrishnan, Asesor Certificado COBIT, ISO/IEC 20000 LA, ISO/IEC 27001 LA, ISO22301 LA, ITIL Expert, PMP

Es un capacitador líder y consultor principal de Global Success Systems FZ LLC, de los Emiratos Árabes Unidos, donde él y su equipo ayudan a organizaciones a mejorar su desempeño en TI y obtener los máximos beneficios por sus inversiones en TI. Es un capacitador acreditado en múltiples disciplinas incluyendo COBIT, ITIL, PMP y seguridad de TI. Sus más de 19 años de experiencia en administración de TI dinámicas incluye la gestión de infraestructura de redes, gerencia de proyectos, gerencia de operaciones de TI y gerencia de servicio.

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.