• Bookmark

Comment COBIT 5 a aidé Al Rajhi Bank à répondre aux exigences de conformité et de réglementation

Ibrahim Al-Rashid, Vaseem Nasiruddeen, COBIT Fondation, expert ITIL, PMP, CMQ/OE et Sreechith Radhakrishnan, évaluateur certifié, ISO/IEC 20000 LA, ISO/IEC 27001 LA, ISO22301 LA, expert ITIL, PMP

COBIT Focus | 10 août 2015 Arabe | Anglais | Japonais | Portugais | Espagnol

Créée en 1957, Al Rajhi Bank est l’une des plus grandes banques islamiques du monde avec un actif total de 288 milliards SR (76,8 milliards USD), un capital versé de 4,3 milliards USD et un personnel de plus de 8 400 associés. Ayant plus de 50 ans d’expérience dans les activités bancaires et boursières, les différents établissements individuels sous le nom d’Al Rajhi ont fusionné en une seule entité en 1978, Al Rajhi Trading et Exchange Corporation. En 1988, la banque a été établie comme une société par actions saoudienne.


Avec son siège social situé à Riyad en Arabie Saoudite, Al Rajhi Bank dispose d’un vaste réseau de plus de 500 succursales, plus de 100 succursales dédiées aux femmes, plus de 4 030 guichets automatiques bancaires (GAB), de 36 000 points de service (POS) installés chez des marchands et de la plus grande clientèle bancaire du royaume, en plus de 130 centres de transfert de fonds dans tout le royaume.


La fonction de gouvernance des TI de la banque a été nouvellement établie en 2014, et il était nécessaire que la banque respecte les exigences de conformité et de réglementation établies par la Banque centrale d’Arabie Saoudite. En outre, les résultats de la vérification ont démontré la nécessité d’un cadre de gestion du risque informatique et de contrôles internes améliorés. La banque utilisait plusieurs référentiels et normes, dont ITIL, le « bureau de gestion de projet » (BGP) et ISO/IEC 27001 pour régir et gérer les TI.


Choisir un référentiel

La banque reconnaît la nécessité d’utiliser un modèle intégré pour répondre aux différents besoins établis, notamment les exigences de conformité et de vérification. Il a également été jugé essentiel qu’un modèle intégré introduise un langage commun de la gestion du risque pour permettre à la banque de mieux évaluer la performance des TI. La banque s’est donc tournée vers COBIT, parce qu’il a été jugé approprié, afin de répondre à ses besoins. Tous les besoins identifiés de la banque étaient en mesure de correspondre aux processus et aux pratiques de processus de COBIT. De plus, les cinq grandes gammes de guides, d’outils et de formations de COBIT ont aidé les parties prenantes de la banque à améliorer leurs connaissances de COBIT pour effectuer une mise en œuvre plus réussie.


Aide à la gestion

Pour obtenir le soutien de la haute direction, les points faibles et les objectifs de la banque ont été identifiés. Les points faibles comprenaient le fait que plusieurs référentiels et normes de gouvernance étaient utilisés pour gérer et régir les TI et les irrégularités des vérifications à partir d’organismes internes et externes.


Les objectifs de l'entreprise comprenaient le respect des exigences de conformité et de réglementation, le comblement des lacunes en matière de vérifications et l’intégration de la gouvernance des TI avec la gouvernance de l’entreprise.


Les points faibles et les objectifs de l'entreprise ont été mis en correspondance avec les pratiques de COBIT en utilisant la méthode de la cascade d’objectifs (figure 1). Les processus de COBIT ont été mis en correspondance avec le modèle d’exploitation des TI de la banque.


Figure 1—Cascade d’objectifs de COBIT 5

Source : Adapté de ISACA, COBIT 5, É.-U. 2012


La direction de la banque a également expliqué l’importance d’adopter une approche holistique en utilisant les sept facilitateurs de COBIT 5 (figure 2) en vue d’établir une gouvernance des TI et un modèle de gestion du risque durables pour la banque.


Figure 2—Facilitateurs COBIT

Source: ISACA, COBIT 5, É.-U. 2012


Atteindre les objectifs

Une feuille de route pour répondre aux exigences de conformité et de gouvernance a été définie dans un projet de trois phases (figure 3).


Figure 3—Éléments constitutifs de la gouvernance des TI

Source : Ibrahim Al-Rashid, Vaseem Nasiruddeen et Sreechith Radhakrishnan. Reproduit avec autorisation.


La banque a effectué une évaluation de la capacité des processus en fonction de COBIT 5 et d’ISO 15504 pour déterminer les forces et les faiblesses des processus existants. Elle a également effectué une évaluation du risque fondée sur le résultat de l’évaluation afin de prioriser les processus qui ont le plus besoin d’être améliorés. Une fois que l’équipe a déterminé les processus les plus importants à améliorer et sur lesquels se concentrer, la priorité a été donnée aux exigences de conformité. La banque a aussi développé une feuille de route pour améliorer les processus, incluant des projets à court et à long terme.


Aller de l’avant

La banque a produit un modèle dans lequel COBIT peut être utilisé pour répondre aux exigences de performance des TI, de vérification et de conformité au sein de la banque. La création d’un tel modèle permet à la banque de reproduire le travail déjà accompli et de l’appliquer facilement aux exigences futures de performance des TI, de vérification et de conformité à mesure qu’elles surviennent.


Un modèle de gestion du risque a également été produit dans le cadre d’un projet à deux phases (figure 4).


Figure 4—Modèle de gestion du risque

Source : Ibrahim Al-Rashid, Vaseem Nasiruddeen et Sreechith Radhakrishnan. Reproduit avec autorisation.


Conclusion

COBIT peut être utilisé par des organisations pour améliorer la performance des TI et répondre aux exigences de conformité et de réglementation. Tout commence par l’adhésion de la direction et la priorisation de processus ou de pratiques de processus à améliorer ou à mettre en œuvre. La cascade d’objectif est un excellent outil et elle est très utile pour établir la correspondance des points faibles et des événements déclencheurs avec les processus de COBIT, comme il est démontré dans le guide de mise en œuvre de COBIT.


Voici quelques points importants à retenir :

  • N’essayez pas de tout faire en une seule fois. Pratiquez l’amélioration continue, allez-y par de courtes étapes et stabilisez les améliorations au fur et à mesure.
  • Attribuez des rôles et des responsabilités qui sont clairement définis à l’aide d’une matrice « Responsable, approuve, consulté et informé » (RACI).
  • Concentrez-vous davantage sur le changement de comportement des gens. L’aspect culturel de la mise en œuvre de ces améliorations ne peut être sous-estimé.


Ibrahim Al-Rashid

Ibrahim Al-Rashid est directeur des systèmes d’information du département des TI de la plus grande banque du Moyen-Orient.


Vaseem Nasiruddeen, Fondation COBIT, expert ITIL, PMP, CMQ/OE

Vaseem Nasiruddeen est le responsable de programme pour le programme de gouvernance des TI et de gestion de service des TI chez Al Rajhi Bank. Il est un consultant en TI et un expert ITIL qui a plus de 20 ans d’expérience pertinente. Nasiruddeen possède une vaste expérience internationale en stratégie des TI, en gouvernance et en prestation de services dans le secteur bancaire.


Sreechith Radhakrishnan, évaluateur certifié de COBIT, ISO/IEC 20000 LA, ISO/IEC 27001 LA, ISO22301 LA, expert ITIL, PMP

Sreechith Radhakrishnan est formateur et consultant principal chez Global Success Systems FZ LLC, Émirats arabes unis, où lui et son équipe aident des organisations à améliorer leur performance en TI et à retirer un bénéfice maximal de leur investissement en TI. Il est formateur accrédité de plusieurs disciplines, dont COBIT, ITIL, PMP et la sécurité des TI. Son expérience dynamique de plus de 19 ans en gestion des TI comprend la gestion des infrastructures de réseau, la gestion de projet, la gestion de l’exploitation des TI et la gestion de service.

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.