|
Artigo elaborado por Mário Sérgio Ribeiro
Risco Operacional, Risco de TI e a Resolução 3380
Em 29 de junho do ano passado o Banco Central Brasileiro torna público a Resolução 3380
que dispõe sobre a implementação de estrutura de gerenciamento do risco operacional nas
instituições financeiras e demais instituições autorizadas sob sua supervisão. Segundo a
resolução, Risco Operacional é a possibilidade de ocorrência de perdas resultantes de falha,
deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos
externos. Ok! Não temos como escopo discutir nesse artigo o planejamento, construção e
implementação dessa estrutura, mas sim, o que isso teria a ver diretamente com a TI? Que
riscos são esses em TI, que possam resultar em impacto e perdas para a organização? Como
conhecê-los e tratá-los?
Não é uma tarefa muito simples que possamos finalizar em um rápido artigo, mas vamos
dar uma boa pincelada que pode ajudar. Vejamos o que a 3380 destaca entre os vários
eventos do risco operacional e que interessariam diretamente a TI:
- Fraudes internas
- Fraudes externas
- Falhas em sistemas de TI
Vamos começar por mostrar qual seria o contexto desse risco de TI. Olhemos a figura:
Por ela podemos definir como Risco, a probabilidade de uma ameaça explorar uma vulnerabilidade de um determinado ativo, provocando impactos nos negócios da organização. Esses riscos indicam requisitos de segurança que procuram por controles para mitigar o risco, protegendo, prevenindo das ameaças.
A fraude, utilizando-se como meio elementos computacionais, pode ser categorizada como ma das centenas de ameaças existentes. As fraudes podem ter como agentes:
- o interno (dentro da organização, um funcionário insatisfeito, por exemplo) e;
- o externo (de fora da organização, um hacker, por exemplo).
Pois bem, se eu consigo analisar e avaliar o meu risco através de uma abordagem qualitativa ou quantitativa, entre tantas disponíveis no mercado, eu devo decidir o que fazer. Posso aceitá-lo, posso eliminá-lo, posso transferi-lo a uma seguradora ou posso procurar reduzi-lo, utilizando um processo de mitigação do risco.
O processo de mitigação do risco, utilizado na maioria dos casos, procura através da
avaliação do risco fazer uma análise de custo/benefício e selecionar os melhores controles
dentro dessa análise. A criteriosa escolha desses controles auxilia na prevenção de
incidentes que possam vir a causar impactos indesejáveis à organização, como por
exemplo, as fraudes, vazamento de informação, sabotagens, etc., tão comum nas
organizações hoje em dia, e ao mesmo tempo, tão escondido das pesquisas.
Mas ao mesmo tempo sabemos que não há dinheiro suficiente para implementarmos todos
os controles que desejamos. Dessa forma, o que sobra, é o que chamamos de Risco
Residual. Como conhecemos os controles que implementamos, também devemos conhecer
o Risco Residual. Isso é importante para a Gestão do Risco.
As melhores práticas salientam e a própria 3380 também, que deva ser realizada uma
reavaliação com periodicidade mínima de um ano que permitam a identificação e correção
das deficiências de controle e de gerenciamento do risco. É isso: realizar o processo pelo
menos uma vez por ano!
A prática da Análise, Avaliação e Tratamento dos Riscos em TI deve estar presente nas
organizações, pelo menos, de médio e grande porte. Não só para obedecer aos regulamentos
nacionais e internacionais, mas, e principalmente, para proteger os negócios da
organização. A decisão de se ter um processo sistemático de Gestão de Riscos em TI, não é
um processo de TI, é um processo crucial para os negócios da empresa.
Até a próxima!
|
|
