Implementación de COBIT

Implementación de COBIT 4.0 en Scotiabank, Costa Rica

Por Francisco Herrera Hernández y Manuel Vargas Roldán

Scotiabank conocido como BNS (Bank of Nova Scotia) es uno de los cinco grandes bancos de Canadá. Ha existido por más de 178 años y tiene presencia en más de 50 países, siendo el banco más "internacional" de los bancos canadienses por la cantidad de sucursales que tiene fuera del país, utilizando la red internacional de sucursales y oficinas en Latinoamérica, Canadá y Estados Unidos, el Caribe, Europa, Asia y el Pacífico.
En BNS se dio inicio con el proyecto de implementación de COBIT 4.0 con una encuesta internacional dirigida a los encargados de las direcciones de TI en BNS, para conocer si alguno de ellos aplica una normativa que implique la obligatoriedad de contar con procesos basados en el marco de referencia de COBIT en cualquiera de sus versiones; encontramos gran cantidad de “scotiabankers” con certificaciones de ISACA, pero ninguna otra sucursal manifestó poseer regulaciones semejantes a la costarricense, tales como el acuerdo SUGEF 14-091 aprobado por el Consejo Nacional de Supervisión del Sistema Financiero de Costa Rica (SUGEF), y tampoco existen otras sucursales que estén sujetas a lineamientos o directrices parecidos a los que rigen a los bancos en Costa Rica en el “reglamento sobre la gestión de la tecnología de información [TI]” incluido en el acuerdo SUGEF 14-09.

Antecedentes

El SUGEF, aprobó el “reglamento sobre la gestión de la TI”, aplicable para todas las entidades bancarias y financieras del país, a partir de 2009, estableciendo la obligatoriedad de implementar los 34 procesos de COBIT y alcanzar el tercer nivel de madurez en los próximos tres años.
El cumplimiento de este reglamento se realiza mediante la ejecución de auditorías externas independientes, lideradas por un profesional con certificación CISA plenamente vigente y enmarcándose en las guías de auditoría externa2 y los criterios profesionales y éticos3 dictados por ISACA, tomando como requisito de aplicación obligatoria el estándar S74de auditoría y aseguramiento de TI, además de la guía de auditoría y aseguramiento G20.5
Decisión Corporativa
Siendo la cultura del control uno de los principios de BNS, la TI se apoya en los canales existentes para difundir los controles implementados basados en la utilización de los servicios web y en la unidad de cumplimiento de temas regulatorios de TI (unidad encargada de la verificación del cumplimiento de regulaciones externas). Uno de los factores críticos del éxito en la implementación de un buen gobierno de TI, fue utilizar la actual estructura organizacional; para que planifique, organice, dirija, coordine, monitoree y tome las decisiones adecuadas y oportunas para aprovechar las ventajas, beneficios y oportunidades que se derivan de su utilización. Esto permitió que la unidad de cumplimiento se convirtiera en el único canal autorizado para recibir y entregar requerimientos de parte de los auditores ya fueran internos o externos.
Aunque la responsabilidad total para el buen gobierno de TI recae por definición en la junta directiva, se delegan funciones a las distintas unidades del banco; cuyo control, evaluación y rendimiento de cuentas sigue el esquema de autoridad y responsabilidad que mantiene vigente el banco.

Enfrentando el Reto

Para enfrentar el reto de la implementación de los procesos obligatorios siguiendo los términos y condiciones establecidos por el regulador local, en este caso el SUGEF, BNS diseñó un plan de ruta (plan diseñado para lograr cumplir en el menor tiempo posible los objetivos de control de COBIT 4.0) para la priorización de las medidas a seguir para cumplir con éxito el requerimiento. Este plan contempló en primer término, el involucramiento del comité de TI con la participación activa de la alta gerencia y los principales ejecutivos del banco.
En un segundo plano se verificó la adecuada implementación de los controles utilizando los documentos existentes y realizar la tarea de acondicionarlos, referenciarlos y realizar las homologaciones necesarias, para cumplir tanto con los controles detallados como con los requerimientos de los niveles de madurez de COBIT requeridos por el SUGEF, para cada uno de los procesos. Se asignaron dos funcionarios dedicados de tiempo completo al proyecto, para asegurar la continuidad y el seguimiento del plan de ruta.

Estrategia de Implementación

La estrategia de implementación definió con claridad los objetivos generales y específicos, que permitieran al equipo de TI alcanzar los objetivos de manera efectiva, eficiente y económica, así como de garantizar la disponibilidad de los recursos requeridos de acuerdo a las tareas programadas, la asignación de personal comprometido y capaz de ejecutar con excelencia las labores encomendadas y el seguimiento activo permanente del avance del proyecto por parte del comité de TI.
El plan analizó en su primera fase, 17 procesos que requieren cumplir con los niveles de madurez 2 y 3 de acuerdo con el proceso seleccionado. Los procesos incluidos fueron: PO1, PO3, PO5, PO9, PO10, AI3, AI5, AI6, DS2, DS3, DS4, DS5, DS9, DS10, DS11, DS12, y el ME2. En la segunda fase de implementación se analizaron los 17 procesos restantes que deben alcanzar el nivel de madurez 1 para posteriormente alcanzar de manera paulatina el nivel de madurez 3 en un máximo de 3 años a partir del año 2010.
Dentro del proceso se incluyeron capacitaciones en COBIT y de buen gobierno de TI, éstas se enfocaron a fortalecer los conocimientos del personal participante en la implementación.
Resultados Obtenidos
Entre los beneficios que BNS ha recibido al utilizar el marco conceptual de COBIT 4.0 se encuentran los siguientes:
  • Fortalecimiento del alineamiento entre las estrategias de negocio y de TI, por medio de la coherencia entre dominios y procesos de COBIT
  • Creación de procesos definidos con estructuras internacionalmente aceptadas, auditables, medibles y que integren las mejores prácticas de la industria bancaria
  • Identificación de los controles claves que deben ser reforzados e implementados para asegurar un adecuado control interno para TI
  • Procesos mejorados y más confiables que fortalecen la aplicación de las prácticas relacionadas con la gestión de los cinco elementos de control que constituyen el buen gobierno de TI


Lecciones Aprendidas

Esta primera experiencia relacionada con la implementación simultánea de varios procesos de alto nivel, muchos de los cuales son sumamente complejos y detallados; además de la necesidad de crear condiciones para que rindan los beneficios esperados, ha demandado un esfuerzo significativo por parte de la institución, pero con excelentes resultados.
El esfuerzo ha sido cuantioso en lo económico así como en la cantidad de tiempo dedicado por los líderes de procesos de BNS, el demandante y continuo seguimiento, monitoreo y control, como también el involucramiento constante de toda la organización, la junta directiva, la administración, las jefaturas y la dirección de TI.
A pesar de las dificultades y el riesgo que involucra la ejecución de un proyecto de estas dimensiones, la estrategia planteada con anticipación, el seguimiento y toma de decisiones oportunas y acertadas para retomar el rumbo han rendido los resultados esperados, que si bien apenas comienzan a emerger, seguramente generarán un banco más competitivo, ágil, con procesos fortalecidos, con mayor enfoque de negocio y con una cultura tecnológica envidiable.
Manuel Vargas, CISM, CGEIT
Con más de 29 años de experiencia en TI, es gerente senior de seguridad de la información y cumplimiento de TI en BNS. Se le puede localizar en manuel.vargas@scotiabank.com.
Francisco Herrera, CGEIT
Con más de 35 años de experiencia, es director internacional de TI en BNS. Se le puede localizar enfrancisco.herrera@scotiabank.com.

Notas Finales

1 Consejo Nacional de Supervisión del Sistema Financiero de Costa Rica (SUGEF), San José Costa Rica, publicada en LA GACETA Nº 50, San José , Costa Rica, 12 de marzo del 2009, www.sugef.fi.cr 
2 ISACA, IT Audit and Assurance Standard, Guidelines, Tools and Techniques, www.isaca.org/standards 
3 ISACA, Code of Professional Ethics, www.isaca.org/ethics 
4 ISACA, “Norma de Auditoría de SI Reporte Documento No S7, www.isaca.org/Knowledge-Center/Standards/Documents/Standards-IT-Spanish-S7.pdf 
5 ISACA, G20 Reporting, IT Audit and Assurance Guidelines, www.isaca.org/Knowledge-Center/Standards/Pages/IS-Auditing-Guideline-G20-Reporting1.aspx 
6 Op cit, Consejo Nacional de Supervisión del Sistema Financiero de Costa Rica (SUGEF)

Framework Committee
Steven A. Babb, CGEIT, CRISC, UK, chair
Charles Betz, USA
David Cau, ITIL, MSP, Prince2, France
Sushil Chatterji, CGEIT, Singapore
Frank Cindrich, CGEIT, CIPP, CIPP/G, USA
Jimmy Heschl, CISA, CISM, CGEIT, ITIL, Austria
Anthony P. Noble, CISA, USA
Andre Pitkowski, CGEIT, CRISC, OCTAVE, Brazil
Paras Shah, CISA, CGEIT, CRISC, CA, Australia
Editorial Content
Comments regarding the editorial content may be directed to Jennifer Hajigeorgiou, senior editorial manager, atjhajigeorgiou@isaca.org.
COBIT Focus is published by ISACA. Opinions expressed in COBIT Focus represent the views of the authors. They may differ from policies and official statements of ISACA and its committees, and from opinions endorsed by authors, employers or the editors of COBIT Focus. COBIT Focus does not attest to the originality of authors’ content.
© 2012 ISACA. All rights reserved.
Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Please contact Julia Fullerton atjfullerton@isaca.org.

No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)