Exemplo da Vida Real do Uso de COBIT ®

...

concepção inadequada / teste de sistemas de TI

- indisponibilidade de sistemas de TI

- Falta de segurança de TI

Identificar objetivos de controle -Para cada um dos riscos de nível II, objetivos de controle foram identificados utilizando COBIT. A Figura 1 indica o mapeamento dos riscos de nível II com os objetivos de controle identificados contra cada um dos riscos tecnológicos.

Figura 1-Mapping Nível de Riscos II

Benefício da Etapa 1

Antes de aplicar este quadro, cada entidade, organização e localização tinha o seu próprio conjunto de controles. COBIT ajudou no desenvolvimento e gestão de uma lista única de controles para cada tipo de risco por meio do mapeamento de controles necessários para COBIT. Por sua vez, este assistente, com o atestado de cada tipo de risco, o que proporcionou confiança para altos executivos no processo de registro e certificação. Posteriormente, um processo de avaliação de riscos foi desenvolvido para definir riscos e controles. Isso ajudou a garantir que controles adequados foram mobilizados para cobrir os principais riscos e nível de riscos II.

Passo 2-Identificar Entidades de Gestão de Riscos e Controles

O modelo de gerenciamento de chaves entidade foi definido para incluir TI blocos de construção, contra a qual as avaliações de risco e de controlo foram a ser realizada. Os blocos de construção de TI estão logicamente ligados entre si para fins de relatório para fornecer uma avaliação de risco e controle para todos os serviços de suporte dentro do âmbito do escritório de tecnologia.

Os blocos de construção de TI foram definidos como:

Entidades de processamento -Estes representam os processos utilizados para apoiar, controlar e gerenciar o ambiente de TI. Quaisquer problemas de controle em uma entidade processo afetaria muitos serviços de TI, por exemplo, controle de mudanças é generalizada na maior parte dos serviços de TI.

Apoiar as entidades de serviços -linking com entidades processos e tecnologia permite uma avaliação completa end-to-end de risco e controle para que o serviço de apoio, por exemplo, a interface riscos entre entidades de tecnologia, os riscos de nível de serviço para o serviço de TI end-to-end, e riscos de integração (o gerenciamento de handoffs entre os departamentos).

Entidades de tecnologia -Estes representam os "tradicionais" componentes de TI, por exemplo, servidores, aplicativos, redes e firewalls. Os mapas de serviço e o processo de RCA foram usadas para facilitar a identificação das entidades de tecnologia-chave que compõem cada serviço de apoio.

Entidades do projecto entidades do projeto -Whilst não têm efeito sobre os 20 melhores serviços, é muito importante para capturar qualquer controle e risco informação antes do go-live. Isso permitirá que os controles estatais alvo para uma nova mudança / desenvolvimento de projeto a ser avaliado, relatados e comunicada antes do go-live. Alguns exemplos dos 20 melhores serviços incluem conectividade ATM e serviços de suporte de aplicações de core banking.

método do banco para a definição de serviços de TI é através de um catálogo de serviços de TI. Como parte de seu catálogo de serviços de TI, cada um dos 20 melhores serviços foi identificada para os serviços de apoio que lhe estão subjacentes. Um mapa serviço foi criado para cada serviço de apoio. Os mapas de serviço ilustrar os componentes de tecnologia que estão ligados em conjunto para apoiar os serviços end-to-end.

Cada entidade entidade e tecnologia de processo é diferente e pode ser vinculado a vários serviços de apoio. Como resultado, o modelo de gerenciamento de chave de entidade é flexível e pode apoiar a expansão de serviços de TI adicionais, conforme necessário. A articulação entre as entidades permite que as avaliações de risco a serem agregadas para fornecer um perfil de risco serviço end-to-end, o que é significativo para a gestão e os diferentes grupos de gestão das entidades do serviço global.

Benefício da Etapa 2

Antes de implementar o novo processo de gestão de risco, cada região, país, etc., do banco tinha suas próprias matrizes de risco e de controlo. A avaliação de riscos e controles foi baseada na compreensão de cada equipe de trabalho sobre gestão de risco dentro da região, e não havia nenhum foco no ’resultado final’, ou seja, o impacto do risco no atendimento ao cliente. COBIT ajudou a identificar os principais serviços que tiveram um impacto sobre os negócios e os clientes e manteve o foco em controles. Uma vez que esses riscos foram identificados, os controles foram congelados com base no framework COBIT e foram avaliados para o controle de eficácia, com o claro objetivo de determinar o impacto no serviço ao cliente. Isto resultou na redução do número total de incidentes e reduzir o impacto dos incidentes sobre os clientes e \ ou serviços ao cliente.

Passo 3-Definição e Implementação do Processo RCA

Visão geral do processo na figura 2 destaca os cinco passos para realizar uma avaliação de risco. Dentro de cada uma das etapas, foram identificadas as principais tarefas. Uma série de ferramentas / auxiliares de processo foi definido para ajudar com o escopo, programação e entrega de avaliação de risco, e é descrito na figura 2 .

Figura Etapas do processo de 2-RCA

O objetivo no desenvolvimento do processo RCA comum era o de garantir que as análises de riscos e controles foram consistentes entre as equipes no mundo todo.

Uma das ferramentas foi um modelo simples Excel definido para capturar o risco e controlar a informação. O molde foi então congelado para utilização por todas as entidades. O modelo foi definido para capturar a seguinte informação importante:

Principais e nível riscos II

objetivos de controle com referência ao processo de controles do COBIT

Referência aos requisitos de controle Sarbanes-Oxley

proprietário de controle

avaliação eficaz de controle, ineficaz

Medidas para tornar o controle efetivo

fechamento de Acção proprietário detalhes de ação, a data-alvo

Os modelos foram preenchidas pelo proprietário dos riscos e