Para alavancar a governança de TI e as atividades da Sarbanes-Oxley, a

Harley-Davidson criou um departamento de conformidade de SI e começou a

implementar o modelo geral de controles de computadores de um fornecedor.
Depois de participar de uma convenção de usuário do C OBI T, um especialista
em riscos da Harley-Davidson recomendou o C OBI T à gerência e depois
converteu a estrutura de controle em C OBI T, publicado pelo IT Governance
Institute. Simultaneamente, o departamento de auditoria interna estava levando
a TI a ir além da pura conformidade. A empresa percebeu que precisava de
uma ampla estrutura de controle, que ajudou a eliminar o “bar” em constante
mudança usado como referência.

Os motivos por trás da seleção de C OBI T da Harley-Davidson incluem:

É um padrão internacionalmente aceito para práticas de controle e governança

de TI.
Ele pode ser usado por profissionais de gerenciamento, usuários finais e
auditoria e segurança de TI, além de fornecer um idioma comum.
Ele fornece um meio de comparação dos controles de conformidade.
O uso da estrutura C OBI T, incluindo ferramentas e modelos, está disponível
gratuitamente como download em www.itgi.org
Outros padrões líderes, incluindo ISO 17799, ITIL e NIST, harmonizam e
mapeiam para C OBI T.
A empresa conseguiu acordo com o auditor externo sobre a mesma estrutura e
objetivos de controle.
A chave para a introdução do C OBI T foi garantir que toda a TI e
gerenciamento entendessem por que precisavam se preocupar com controles
eficazes e focados em valor. Fazer com que eles percebam que existem muitas
razões comerciais importantes para esse foi o primeiro obstáculo importante a
ser resolvido com sucesso. A linguagem focada nos negócios da C OBI T
permitiu o gerenciamento, a TI e a auditoria interna para garantir que eles
estivessem no mesmo caminho.

O processo de migração C OBI T da Harley-Davidson precisava ir além de

perguntas como "Você tem um processo de ciclo de vida de desenvolvimento
de sistemas (SDLC)?") Para estimular conversas internas sobre o que
realmente é um SDLC e quais habilidades eram necessárias. A equipe
começou pelo mapeamento dos controles implementados para C OBI T e
compararam os resultados com C a anteriormente aceites Big 4 da empresa de
contabilidade OBI mapeamento T. Foram identificadas lacunas e foram
desenvolvidos planos para colmatar essas lacunas.
Um dos principais benefícios do uso de C OBI T como seu modelo global de
controlo e compliance internos foi ficando motocicleta todos, especialmente
não-técnica especialistas-aceleraram sobre as atividades de controle e por isso
que os controles são importantes. A Harley-Davidson está sujeita a muitos
regulamentos, incluindo HIPAA e Gramm-Leach-Bliley, e o C OBI T serve como
uma estrutura abrangente que ajuda a empresa a se concentrar em atividades
apropriadas de controle e conformidade.

Por exemplo, é um desafio constante garantir que os proprietários do controle

realmente entendam o controle efetivo. Às vezes, eles assumem “mais é
melhor”. Com o C OBI T, a equipe de risco poderia mostrar claramente a eles
que um ou dois bons controles podem ser melhores do que ter sete controles,
dos quais vários são ineficazes. Depois que os proprietários do controle
entenderam o valor de gastar menos recursos e menos tempo para um controle
igual ou melhor, eles entraram em ação.

O rastreamento e os relatórios são componentes importantes das atividades de

governança de TI em andamento. Os membros da equipe devem ser capazes
de aprender sobre a transferência e repetir descobertas e acompanhar os
proprietários do plano de ação de gerenciamento para garantir que o impulso
futuro continue a resolver os problemas. A Harley-Davidson desenvolveu um
banco de dados de rastreamento de problemas do MS Access para ter
visibilidade conjunta da TI e da auditoria interna das deficiências conhecidas do
controle.

Promover mudanças internas também era um objetivo principal dessa empresa

altamente competitiva e o benchmarking C OBI T era uma ferramenta
inestimável para comparação independente. Colocou as informações na
perspectiva correta para o gerenciamento e para obter a adesão geral. A
estrutura mostra a comparação entre pares em um formato imparcial e é usada
como parte de todas as auditorias de TI. O melhor de tudo é que ele convida à
discussão sobre onde a empresa gostaria de estar.

Conclusão
Antes da implementação da estrutura do C OBI T, as áreas que o auditor
externo auditado foram escolhidas aleatoriamente ou com justificativas soltas.
Agora, as áreas selecionadas para auditoria são firmemente baseadas no valor
comercial e nas necessidades de controle.
A amplitude e profundidade do C OBI T naturalmente permitiram que ele fosse
usado com sucesso como modelo de controle central. Além disso, os
benefícios encontrados pela Harley-Davidson usando o C OBI T como modelo
de controle incluem:

A equipe de governança de TI pode mapear estruturas "nos bastidores".

Os usuários finais precisam estar cientes de apenas um padrão.
A TI pode mostrar facilmente conformidade com várias estruturas.
Ajuda a estabelecer um foco consistente.
Obtém contrato de auditoria externa sobre a posição de controle da empresa.
Estabelece a capacidade de usar objetivos de controle para ajudar a identificar
as causas principais.
Existe uma visão abrangente do ambiente de risco e controle.
Ele fornece uma base para todas as futuras auditorias internas e relacionadas
à Sarbanes-Oxley.
A empresa também planeja realizar uma auditoria de governança de TI usando
a Val IT, uma estrutura de governança que ajuda os conselhos de
administração e a gerência executiva a obter um ROI (retorno do investimento)
adequado para investimentos ativados por TI. Os executivos da empresa
percebem que precisam ir além de saber "qual controle está em vigor" e
expandir para entender "esse controle realmente funciona" e "é o objetivo de
controle realmente atingido".