• Bookmark

Como o COBIT 5 ajudou o Banco Al Rajhi a alcançar requisitos de compliance e regulatórios

Por Ibrahim Al-Rashid, Vaseem Nasiruddeen, COBIT Foundation, ITIL Expert, PMP, CMQ/OE, e Sreechith Radhakrishnan, COBIT Certified Assessor, ISO/IEC 20000 LA, ISO/IEC 27001 LA, ISO22301 LA, ITIL Expert, PMP

COBIT Focus | 10 de Agosto de 2015 Árabe | Inglês| Francês | Japonês | Espanhol

Fundado em 1957, o Banco Al Rajhi é um dos maiores bancos Islâmicos no mundo, com um total de ativos de SR 288 bilhões (US 76,8 bilhões), um capital de US 4,3 bilhões e uma base de 8.400 funcionários. Com mais de 50 anos de experiência em atividade bancária, os diversos negócios individuais com o nome Al Rahji foram unificados sob um mesmo guarda-chuva, Al Rahji Trading and Exchange Corporation, em 1978. Em 1988, o banco foi estabelecido como uma companhia de acionistas sauditas.


Com base em Riad, Arábia Saudita, o Banco Al Rahji possui uma vasta rede com mais de 500 agências, mais de 100 agências dedicadas às mulheres, mais de 4 mil ATMs, 36 mil POSs instalados em comércios e a maior base de clientes em comparação a qualquer outro banco do Reino, em complemento aos 130 centros de remessa ao longo do Reino.


A função de Governança de TI do Banco foi estabelecida em 2014, e o banco necessitava estar em conformidade com requisitos regulatórios requeridos pelo Banco Central da Arábia Saudita. Além disso, as auditorias indicavam a necessidade de melhorar o framework de gestão de riscos e controle internos. O banco estava usando múltiplos frameworks e padrões, incluindo o ITIL, escritório de gestão de projetos (PMO) e a ISO 27001 para governar e gerenciar a TI.


Escolhendo um Framework

O banco reconheceu a necessidade de usar um modelo integrado para atender as várias necessidades, especialmente de compliance e de requisitos de auditoria. Também foi considerado essencial que o modelo integrado introduzisse uma linguagem comum de gerenciamento de riscos para permitir que o banco medisse melhor a performance de TI. Então o banco se voltou ao COBIT, que se mostrou adequado para atender suas necessidades. Todos os requisitos do banco foram mapeados nos processos e práticas de processos do COBIT. E os diversos guias, ferramentas e treinamentos do COBIT 5 ajudaram os acionistas do banco a melhorarem seu conhecimento do COBIT para outras mais implementações de sucesso.


Suporte gerencial

Para ganhar o apoio da alta gestão, foram identificados os objetivos de negócio e pain points foram identificados. Os pain points incluíram o fato de que múltiplos padrões e frameworks estavam sendo usados para gerenciar e governar a TI e auditar as não-conformidade de áreas internas e órgão externos.


Os objetivos de negócios incluíam atender os requisitos regulatórios e de compliance, fechando gaps de auditoria e integrando a governança de TI e da empresa.


Os pain points e objetivos de negócios foram mapeados às práticas do COBIT usando o mecanismo de objetivos em cascata (figura 1). Os processos do COBIT foram mapeados em relação ao modelo de operação de TI do banco.


Figura 1—Objetivos cascateados do COBIT 5

Fonte: Adaptado do COBIT 5 da ISACA, USA 2012


A gestão do banco também explicou a importância de uma abordagem holística, usando os 7 habilitadores do COBIT 5 (figura 2), em direção à uma governança e um modelo de gestão de riscos sustentável de TI para o banco.


Figura 2—Habilitadores do COBIT

Fonte: ISACA, COBIT 5, USA 2012


Alcançando os objetivos

Um roadmap para atender os requisitos de governança e compliance foram definidos em um projeto de 3 fases (figura 3).


Figura 3—Building Blocks da Governança de TI

Fonte: Ibrahim Al-Rashid, Vaseem Nasiruddeen e Sreechith Radhakrishnan, sob permissão.


O banco realizou uma avaliação da maturidade do processo baseado no COBIT 5 e na ISO 15504 para identificar os pontos fortes e fracos do processo existente. Também foi realizado uma avaliação de riscos baseada no resultado da avaliação de maturidade para priorizar o processo que mais necessitava de melhoria. Uma vez que o time determinou o processo mais importante para melhorar e receber foco, foi dado para os requisitos de compliance. O banco também desenvolveu um roadmap para melhorar os processos, que incluiu projetos de curto e longo prazo.


Avançando

O banco produziu um modelo em que o COBIT pode ser usado para alcançar a performance dos requisitos de TI, auditoria e compliance dentro do banco. A criação desses modelos permitiu ao banco replicar o trabalho já realizado e aplica-lo facilmente em futuras necessidades de TI, auditoria e compliance, assim que elas surgirem.


O modelo de gestão de riscos também foi criado como um projeto de duas fases (figura 4).


Figura 4—Modelo de gestão de riscos

Fonte: Ibrahim Al-Rashid, Vaseem Nasiruddeen e Sreechith Radhakrishnan, sob permissão.


Conclusão

CO COBIT pode ser usado pelas empresas para melhorar a performance de TI e alcançar requisitos regulatórios e de compliance. Começa com a gestão comprando a ideia e priorizando os processos ou práticas de processo a serem melhorados e/ou implementados. Os objetivos em cascata são uma excelente ferramenta e pode ser útil em mapear pain points e eventos ativadores de processos do COBIT, como demonstrado no COBIT 5 Implementation.


Há alguns poucos pontos para relembrar:

  • Não tente fazer tudo de uma só vez. A prática permite a melhoria contínua, em pequenos passos e estabilizar as melhorias na medida que avança.
  • Defina papeis e responsabilidades que sejam claramente definidas usando o modelo RACI (Responsible, Accountable, Consulted e Informed).
  • Dê maior foco na mudança do comportamento das pessoas. Os aspectos culturais da implementação desses melhorias não pode ser subestimado.


Ibrahim Al-Rashid

É o CIO (Chief Information Officer) liderando o departamento de TI do maior banco do Oriente Médio.


Vaseem Nasiruddeen, COBIT Foundation, ITIL Expert, PMP, CMQ/OE

É o Program Manager da governança de TI e do programa de gestão de serviços de TI no AL Rahji Bank. Ele é um consultor de TI e ITIL Expert com mais de 20 anos de experiência. Nasiduddeen tem uma extensa experiência internacional em estratégia de TI, governança e entrega de serviços em bancos.


Sreechith Radhakrishnan, COBIT Certified Assessor, ISO/IEC 20000 LA, ISO/IEC 27001 LA, ISO22301 LA, ITIL Expert, PMP

É o instrutor líder e principal consultor da Global Success Systems FZ LLC, Emirados Árabes Unidos, onde ele e seu time ajudam organizações a melhorarem a performance de TI e colher o máximo benefício dos investimentos realizados em TI. Ele é um instrutor com acreditação para múltiplas disciplinas, incluindo COBIT, ITIL, PMP e segurança de TI. Sua experiência de mais de 19 anos na gestão dinâmica de TI inclui a gestão da infraestrutura de rede, gestão de projetos, gestão da operação de TI e gerenciamento de serviços.