Exemplo da Vida Real do Uso de COBIT ®

Este estudo de caso é um exemplo da vida real do uso de COBIT ® para o gerenciamento de risco dentro de um banco global. COBIT foi utilizada de forma eficaz para o gerenciamento de risco dentro das equipes de tecnologia para garantir que a governança de TI apropriada e de TI processos de garantia foram utilizados em todo o banco.

fundo

O banco, no caso dado é um conglomerado global com operações em mais de 50 países e com mais de 125.000 funcionários em todo o mundo. equipes de tecnologia do banco estão localizados em todo o mundo para apoiar linhas globais de negócios. As equipes de TI incluem centros de desenvolvimento que fazem parte do banco e outros que são terceirizados para fornecedores, bem como escritórios de tecnologia para trás que suportam infra-estrutura e serviços de TI. O banco tinha um histórico de vários modelos de governança e de garantia e processos seguidos por equipes diferentes, regiões e localidades. Assim, o principal desafio era criar uma governação comum e processo de garantia entre as equipes de tecnologia.

O programa de governança de tecnologia e garantia foi concebido através de um quadro de gestão de riscos para garantir de risco eficaz e gerenciamento de controle.

O quadro foi definido para resolver as deficiências gestão de riscos e de controlo existentes, tais como:

processos imaturos para a avaliação e verificação da conformidade

A falta de um único repositório de controle, resultando na duplicação de controle

A falta de um processo claro, repetível para completar as avaliações de risco

O novo quadro era esperado para permitir que equipes de tecnologia para compreender os riscos operacionais significativas e seu impacto sobre a organização mais ampla por:

Dirigindo áreas em que os riscos não foram efetivamente controlados

Permitindo que executivos de tecnologia para demonstrar competências de regulação eficiente

Usando uma plataforma comum para comunicar todos os requisitos regulamentares em todas as regiões e países

Efetivamente relatórios de risco de tecnologia e controle de deficiências que possam impactar o negócio

A implementação de um processo padrão em todas as regiões e escritórios para garantir a coerência e evitar a duplicação da comunicação

Uso de OCOBIT

A equipe de administração decidiu usar COBIT como uma estrutura padrão. Uma equipe de profissionais-incluindo risco, segurança de TI e US Sarbanes-Oxley Act de processo especialistas em foi criada para definir os processos e modelos. A equipe trabalhou principalmente em três áreas:

Definição de um quadro para usar quadro objectivo -Control (COF)

Identificar uma definição padrão de 'entidades' contra o qual riscos e controles estavam a ser avaliada -Key modelo de gestão entidade

Identificar um processo de gestão de riscos -risco e controle de avaliação (RCA)

As principais etapas no processo de desenvolvimento de um novo quadro de gestão de riscos são descritos nas seções a seguir.

Passo 1-Definir COF

O COF foi definida para vincular riscos que afetam escritórios Tecnologia e Indústria controles padrão de melhores práticas, como definido pelo COBIT. Três objetivos foram definidos, enquanto a definição do COF:

Ele deve agir como uma ferramenta para facilitar a avaliação eficaz dos riscos e controles dentro da tecnologia.

Deve agir como um quadro de informação para demonstrar como satisfaz Reporting Technology requisitos regulamentares, incluindo as da Sarbanes-Oxley.

Ele deve agir como uma ajuda para conduzir garantia de gestão.

Os passos na implementação COF usando COBIT incluídos:

Identificar os riscos principais -O principais riscos de nível I foram definidas e congelados com base nas informações anteriormente. Os identificados incluídos os riscos relacionados com a tecnologia, as operações, as pessoas, os relatórios financeiros legal e regulamentar, o crime financeiro, marca e mudança.

Identificar o nível II riscos -O risco de principal foi ainda dividido em nível de riscos II. Como exemplo, a 'tecnologia de risco principal »foi ainda perfurados para baixo:

- concepção inadequada / teste de sistemas de TI

- indisponibilidade de sistemas de TI

- Falta de segurança de TI

Identificar objetivos de controle -Para cada um dos riscos de nível II, objetivos de controle foram identificados utilizando COBIT. A Figura 1 indica o mapeamento dos riscos de nível II com os objetivos de controle identificados contra cada um dos riscos tecnológicos.

Figura 1-Mapping Nível de Riscos II

Benefício da Etapa 1

Antes de aplicar este quadro, cada entidade, organização e localização tinha o seu próprio conjunto de controles. COBIT ajudou no desenvolvimento e gestão de uma lista única de controles para cada tipo de risco por meio do mapeamento de controles necessários para COBIT. Por sua vez, este assistente, com o atestado de cada tipo de risco, o que proporcionou confiança para altos executivos no processo de registro e certificação. Posteriormente, um processo de avaliação de riscos foi desenvolvido para definir riscos e controles. Isso ajudou a garantir que controles adequados foram mobilizados para cobrir os principais riscos e nível de riscos II.

Passo 2-Identificar Entidades de Gestão de Riscos e Controles

O modelo de gerenciamento de chaves entidade foi definido para incluir TI blocos de construção, contra a qual as avaliações de risco e de controlo foram a ser realizada. Os blocos de construção de TI estão logicamente ligados entre si para fins de relatório para fornecer uma avaliação de risco e controle para todos os serviços de suporte dentro do âmbito do escritório de tecnologia.

Os blocos de construção de TI foram definidos como:

Entidades de processamento -Estes representam os processos utilizados para apoiar,

...