Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


Acompanhe nosso Twitter

27/09/2007 - Baguete Escrever Comentário Enviar Notícia por e-mail Feed RSS

Risco Operacional, Risco de TI e a Resolução 3380

Por: Mário Sérgio Ribeiro


Em 29 de junho do ano passado o Banco Central Brasileiro torna público a Resolução 3380 que dispõe sobre a implementação de estrutura de gerenciamento do risco operacional nas instituições financeiras e demais instituições autorizadas sob sua supervisão.

Segundo a resolução, Risco Operacional é a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos.

Ok! Não temos como escopo discutir nesse artigo o planejamento, construção e implementação dessa estrutura, mas sim, o que isso teria a ver diretamente com a TI? Que riscos são esses em TI, que possam resultar em impacto e perdas para a organização? Como conhecê-los e tratá-los?

Não é uma tarefa muito simples que possamos finalizar em um rápido artigo, mas vamos dar uma boa pincelada que pode ajudar. Vejamos o que a 3380 destaca entre os vários eventos do risco operacional e que interessariam diretamente a TI:

Fraudes internas
Fraudes externas
Falhas em sistemas de TI

Vamos começar por mostrar qual seria o contexto desse risco de TI. Olhemos a figura relacionada abaixo.

Por ela podemos definir como Risco, a probabilidade de uma ameaça explorar uma vulnerabilidade de um determinado ativo, provocando impactos nos negócios da organização. Esses riscos indicam requisitos de segurança que procuram por controles para mitigar o risco, protegendo, prevenindo das ameaças. A fraude, utilizando-se como meio elementos computacionais, pode ser categorizada como ma das centenas de ameaças existentes. As fraudes podem ter como agentes:

o interno (dentro da organização, um funcionário insatisfeito, por exemplo) e; o externo (de fora da organização, um hacker, por exemplo).

Pois bem, se eu consigo analisar e avaliar o meu risco através de uma abordagem qualitativa ou quantitativa, entre tantas disponíveis no mercado, eu devo decidir o que fazer. Posso aceitá-lo, posso eliminá-lo, posso transferi-lo a uma seguradora ou posso procurar reduzi-lo, utilizando um processo de mitigação do risco.

O processo de mitigação do risco, utilizado na maioria dos casos, procura através da avaliação do risco fazer uma análise de custo/benefício e selecionar os melhores controles dentro dessa análise. A criteriosa escolha desses controles auxilia na prevenção de incidentes que possam vir a causar impactos indesejáveis à organização, como por exemplo, as fraudes, vazamento de informação, sabotagens, etc., tão comum nas organizações hoje em dia, e ao mesmo tempo, tão escondido das pesquisas.

Mas ao mesmo tempo sabemos que não há dinheiro suficiente para implementarmos todos os controles que desejamos. Dessa forma, o que sobra, é o que chamamos de Risco Residual. Como conhecemos os controles que implementamos, também devemos conhecer o Risco Residual. Isso é importante para a Gestão do Risco.

As melhores práticas salientam e a própria 3380 também, que deva ser realizada uma reavaliação com periodicidade mínima de um ano que permitam a identificação e correção das deficiências de controle e de gerenciamento do risco. É isso: realizar o processo pelo menos uma vez por ano!

A prática da Análise, Avaliação e Tratamento dos Riscos em TI deve estar presente nas organizações, pelo menos, de médio e grande porte. Não só para obedecer aos regulamentos nacionais e internacionais, mas, e principalmente, para proteger os negócios da organização. A decisão de se ter um processo sistemático de Gestão de Riscos em TI, não é um processo de TI, é um processo crucial para os negócios da empresa.


* Mário Sérgio Ribeiro é gestor em projetos de segurança e governança de TI para o principal banco privado do país. Foi CSO do Grupo Pão de Açúcar e também obteve passagem de sucesso na São Paulo Alpargatas e Grupo Itaú.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 577 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2016 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal