Como o COBIT 5 ajudou o Banco Al Rajhi a

alcançar requisitos de compliance e regulatórios

COBIT Focus | 10 de Agosto de 2015

Fundado em 1957, o Banco Al Rajhi é um dos maiores bancos

Islâmicos no mundo, com um total de ativos de SR 288 bilhões
(US 76,8 bilhões), um capital de US 4,3 bilhões e uma base de
8.400 funcionários. Com mais de 50 anos de experiência em
atividade bancária, os diversos negócios individuais com o
nome Al Rahji foram unificados sob um mesmo guarda-chuva, Al Rahji Trading and Exchange
Corporation, em 1978. Em 1988, o banco foi estabelecido como uma companhia de acionistas
sauditas.

Com base em Riad, Arábia Saudita, o Banco Al Rahji possui uma vasta rede com mais de 500
agências, mais de 100 agências dedicadas às mulheres, mais de 4 mil ATMs, 36 mil POSs
instalados em comércios e a maior base de clientes em comparação a qualquer outro banco do
Reino, em complemento aos 130 centros de remessa ao longo do Reino.

A função de Governança de TI do Banco foi estabelecida em 2014, e o banco necessitava

estar em conformidade com requisitos regulatórios requeridos pelo Banco Central da Arábia
Saudita. Além disso, as auditorias indicavam a necessidade de melhorar o framework de
gestão de riscos e controle internos. O banco estava usando múltiplos frameworks e padrões,
incluindo o ITIL, escritório de gestão de projetos (PMO) e a ISO 27001 para governar e
gerenciar a TI.

Escolhendo um Framework
O banco reconheceu a necessidade de usar um modelo integrado para atender as várias
necessidades, especialmente de compliance e de requisitos de auditoria. Também foi
considerado essencial que o modelo integrado introduzisse uma linguagem comum de
gerenciamento de riscos para permitir que o banco medisse melhor a performance de TI. Então
o banco se voltou ao COBIT, que se mostrou adequado para atender suas necessidades.
Todos os requisitos do banco foram mapeados nos processos e práticas de processos do
COBIT. E os diversos guias, ferramentas e treinamentos do COBIT 5 ajudaram os acionistas do
banco a melhorarem seu conhecimento do COBIT para outras mais implementações de
sucesso.

Suporte gerencial
Para ganhar o apoio da alta gestão, foram identificados os objetivos de negócio e pain points
foram identificados. Os pain points incluíram o fato de que múltiplos padrões e frameworks
estavam sendo usados para gerenciar e governar a TI e auditar as não-conformidade de áreas
internas e órgão externos.

Os objetivos de negócios incluíam atender os requisitos regulatórios e de compliance, fechando

gaps de auditoria e integrando a governança de TI e da empresa.
Os pain points e objetivos de negócios foram mapeados às práticas do COBIT usando o
mecanismo de objetivos em cascata (figura 1). Os processos do COBIT foram mapeados em
relação ao modelo de operação de TI do banco.

Figura 1—Objetivos cascateados do COBIT 5

Fonte: Adaptado do COBIT 5 da ISACA, USA 2012

A gestão do banco também explicou a importância de uma abordagem holística, usando os 7

habilitadores do COBIT 5 (figura 2), em direção à uma governança e um modelo de gestão de
riscos sustentável de TI para o banco.
 Figura 2—Habilitadores do COBIT

Fonte: ISACA, COBIT 5, USA 2012

Alcançando os objetivos
Um roadmap para atender os requisitos de governança e compliance foram definidos em um
projeto de 3 fases (figura 3).

Figura 3—Building Blocks da Governança de TI

Fonte: Ibrahim Al-Rashid, Vaseem Nasiruddeen e Sreechith Radhakrishnan, sob permissão.

O banco realizou uma avaliação da maturidade do processo baseado no COBIT 5 e na ISO

15504 para identificar os pontos fortes e fracos do processo existente. Também foi realizado
uma avaliação de riscos baseada no resultado da avaliação de maturidade para priorizar o
processo que mais necessitava de melhoria. Uma vez que o time determinou o processo mais
importante para melhorar e receber foco, foi dado para os requisitos de compliance. O banco
também desenvolveu um roadmap para melhorar os processos, que incluiu projetos de curto e
longo prazo.

Avançando
O banco produziu um modelo em que o COBIT pode ser usado para alcançar a performance
dos requisitos de TI, auditoria e compliance dentro do banco. A criação desses modelos
permitiu ao banco replicar o trabalho já realizado e aplica-lo facilmente em futuras
necessidades de TI, auditoria e compliance, assim que elas surgirem.

O modelo de gestão de riscos também foi criado como um projeto de duas fases (figura 4).

Figura 4—Modelo de gestão de riscos

Fonte: Ibrahim Al-Rashid, Vaseem Nasiruddeen e Sreechith Radhakrishnan, sob permissão.

Conclusão
CO COBIT pode ser usado pelas empresas para melhorar a performance de TI e alcançar
requisitos regulatórios e de compliance. Começa com a gestão comprando a ideia e priorizando
os processos ou práticas de processo a serem melhorados e/ou implementados. Os objetivos
em cascata são uma excelente ferramenta e pode ser útil em mapear pain points e eventos
ativadores de processos do COBIT, como demonstrado no COBIT 5 Implementation.

Há alguns poucos pontos para relembrar:

  Não tente fazer tudo de uma só vez. A prática permite a melhoria contínua, em pequenos passos
e estabilizar as melhorias na medida que avança.
 Defina papeis e responsabilidades que sejam claramente definidas usando o modelo RACI
(Responsible, Accountable, Consulted e Informed).
 Dê maior foco na mudança do comportamento das pessoas. Os aspectos culturais da
implementação desses melhorias não pode ser subestimado.

Ibrahim Al-Rashid
É o CIO (Chief Information Officer) liderando o departamento de TI do maior banco do Oriente
Médio.

Vaseem Nasiruddeen, COBIT Foundation, ITIL Expert, PMP, CMQ/OE

É o Program Manager da governança de TI e do programa de gestão de serviços de TI no AL
Rahji Bank. Ele é um consultor de TI e ITIL Expert com mais de 20 anos de experiência.
Nasiduddeen tem uma extensa experiência internacional em estratégia de TI, governança e
entrega de serviços em bancos.

Sreechith Radhakrishnan, COBIT Certified Assessor, ISO/IEC 20000 LA, ISO/IEC

27001 LA, ISO22301 LA, ITIL Expert, PMP
É o instrutor líder e principal consultor da Global Success Systems FZ LLC, Emirados Árabes
Unidos, onde ele e seu time ajudam organizações a melhorarem a performance de TI e colher
o máximo benefício dos investimentos realizados em TI. Ele é um instrutor com acreditação
para múltiplas disciplinas, incluindo COBIT, ITIL, PMP e segurança de TI. Sua experiência de
mais de 19 anos na gestão dinâmica de TI inclui a gestão da infraestrutura de rede, gestão de
projetos, gestão da operação de TI e gerenciamento de serviços.

Por Ibrahim Al-Rashid

Fonte: http://www.isaca.org/COBIT/focus/Pages/how-cobit-5-helped-al-rajhi-bank-to-
meet-compliance-and-regulatory-requirements-portuguese.aspx