É essencial que os gestores da sua empresa estejam conscientes da necessidade de haver uma harmonização entre os fatores: Gestão de Risco, Gestão do Tratamento do Risco, Gestão da Continuidade do Negócio e Gestão de um sistema completo de Segurança da Informação, antes da decisão de compra de serviços de consultoria ou mesmo de software de implementação de segurança da informação ou continuidade do negócio.
Partindo-se do princípio de que Gestão de Risco é o primeiro passo para a compreensão dos elementos de risco envolvidos no seu negócio específico e conseqüente habilidade de determinar as prioridades de forma sistemática, qual não é a nossa surpresa ao perceber que existem empresas comprando proteção para um pequeno pedaço do processo, sem antes analisar o todo, e ter em conta suas mudanças constantes, no dia a dia.
Gestão do Sistema de Segurança da Informação (conforme as melhores práticas da Norma ISO 27001:2005) é uma gestão completa de todos os fatores envolvidos na proteção da informação determinada pela empresa. Não é prudente implementar um sistema de Plano de Continuidade do Negócio, por exemplo, sem que tenha sido feita uma análise de riscos, onde cada ativo da informação foi analisado em termos da sua importância, consideradas a Confidencialidade, Integridade e Disponibilidade desejadas pelos gestores. A análise dos riscos inerentes aos processos que se deseja proteger é o passo número 1. Não existe coerência em “adivinhar” hoje o que tem que ser protegido, e em seguida notar, amanhã, que aquilo que estamos gastando tempo e dinheiro protegendo tornou-se informação pública há um ano atrás.
A Gestão de Riscos é viva dentro da Gestão de Problemas, Gestão de Incidentes e Gestão de Mudanças, que trabalham juntas para inserir, de forma consistente com a Análise de Risco, ações corretivas, preventivas, ou simplesmente mudanças de configuração em qualquer das áreas afetadas por uma variação de qualquer tipo, incluindo fatores de recursos humanos, de terceirizados (outsourcing), ou outros fatores administrativos que mudam os aspectos de risco, mesmo vindo de fora da área de TI (Tecnologia da Informação).
Sem o primeiro passo – Gestão de Risco, com objetivos e metas para cada controle - não se tem visibilidade se o risco está aumentando ou diminuindo de tamanho com o uso do controle. Deve-se, por exemplo, estabelecer objetivos e metas de segurança - por exemplo - metas no número de incidentes por mês, ou por ano. Se não houver meta para isso, como saberemos se estamos melhorando em nível de gestão de incidentes?
Existe hoje software que faz esta gestão para o usuário, com gráficos e relatórios de gestão de objetivos para controles de tratamento de risco.
Não existe fórmula mágica nem atalho para a criação de um Plano de Continuidade de Negócios. Nem existe tal coisa para a Gestão de Incidentes ou de Mudanças. O primeiro passo é: O que queremos proteger? Quanto vale? Como pretendemos proteger? Qual a metodologia? Qual o custo? Tendo estas perguntas sido respondidas, deveríamos então passar a gerir este processo para medir se o que nos propusemos a fazer é de fato o que está acontecendo – e ter assim visibilidade sobre os controles, podendo mudá-los rapidamente, sempre que o retorno demonstrar que o risco residual está sendo excedido, ou mesmo que o custo está muito alto para o risco residual efetivo.
Toda longa jornada começa com um primeiro passo. Gestão de Segurança da Informação começa com a Análise de Riscos, bem feita, e sua Gestão constante em direção à melhoria contínua.
RESOLUÇÃO 3.380
Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional.
O BANCO CENTRAL DO BRASIL, na forma do art. 9º da Lei 4.595, de 31 de dezembro de 1964, torna público que o CONSELHO MONETÁRIO NACIONAL, em sessão realizada em 29 de junho de 2006, com base nos arts. 4º, inciso VIII, da referida lei, 2º, inciso VI, 8º e 9º da Lei 4.728, de 14 de julho de 1965, e 20 da Lei 4.864, de 29 de novembro de 1965, na Lei 6.099, de 12 de setembro de 1974, com as alterações introduzidas pela Lei 7.132, de 26 de outubro de 1983, na Lei 10.194, de 14 de fevereiro de 2001, com as alterações introduzidas pela Lei 11.110, de 25 de abril de 2005, e no art. 6o do Decreto-lei 759, de 12 de agosto de 1969,
RESOLVEU:
Art. 1º Determinar às instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil a implementação de estrutura de gerenciamento do risco operacional.
Parágrafo único. A estrutura de que trata o caput deve ser compatível com a natureza e a complexidade dos produtos, serviços, atividades, processos e sistemas da instituição.
Art. 2º Para os efeitos desta resolução, define-se como risco operacional a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos.
§ 1º A definição de que trata o caput inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.
§ 2º Entre os eventos de risco operacional, incluem-se:
I - fraudes internas;
II - fraudes externas;
III - demandas trabalhistas e segurança deficiente do local de trabalho;
IV - práticas inadequadas relativas a clientes, produtos e serviços;
V - danos a ativos físicos próprios ou em uso pela instituição;
VI - aqueles que acarretem a interrupção das atividades da instituição;
VII - falhas em sistemas de tecnologia da informação;
VIII - falhas na execução, cumprimento de prazos e gerenciamento das atividades na instituição.
Art. 3º A estrutura de gerenciamento do risco operacional deve prever: I - identificação, avaliação, monitoramento, controle e mitigação do risco operacional; II - documentação e armazenamento de informações referentes às perdas associadas ao risco operacional; III - elaboração, com periodicidade mínima anual, de relatórios que permitam a identificação e correção tempestiva das deficiências de controle e de gerenciamento do risco operacional; IV - realização, com periodicidade mínima anual, de testes de avaliação dos sistemas de controle de riscos operacionais implementados; V - elaboração e disseminação da política de gerenciamento de risco operacional ao pessoal da instituição, em seus diversos níveis, estabelecendo papéis e responsabilidades, bem como as dos prestadores de serviços terceirizados; VI - existência de plano de contingência contendo as estratégias a serem adotadas para assegurar condições de continuidade das atividades e para limitar graves perdas decorrentes de risco operacional; VII - implementação, manutenção e divulgação de processo estruturado de comunicação e informação. § 1º A política de gerenciamento do risco operacional deve ser aprovada e revisada, no mínimo anualmente, pela diretoria das instituições de que trata o art. 1º e pelo conselho de administração, se houver. § 2º Os relatórios mencionados no inciso III devem ser submetidos à diretoria das instituições de que trata o art. 1º e ao conselho de administração, se houver, que devem manifestar-se expressamente acerca das ações a serem implementadas para correção tempestiva das deficiências apontadas. § 3º Eventuais deficiências devem compor os relatórios de avaliação da qualidade e adequação do sistema de controles internos, inclusive sistemas de processamento eletrônico de dados e de gerenciamento de riscos e de descumprimento de dispositivos legais e regulamentares, que tenham, ou possam vir a ter impactos relevantes nas demonstrações contábeis ou nas operações da entidade auditada, elaborados pela auditoria independente, conforme disposto na regulamentação vigente. Art. 4o A descrição da estrutura de gerenciamento do risco operacional deve ser evidenciada em relatório de acesso público, com periodicidade mínima anual. § 1º O conselho de administração ou, na sua inexistência, a diretoria da instituição deve fazer constar do relatório descrito no caput sua responsabilidade pelas informações divulgadas. § 2º As instituições mencionadas no art. 1º devem publicar, em conjunto com as demonstrações contábeis semestrais, resumo da descrição de sua estrutura de gerenciamento do risco operacional, indicando a localização do relatório citado no caput. Art. 5º A estrutura de gerenciamento do risco operacional deve estar capacitada a identificar, avaliar, monitorar, controlar e mitigar os riscos associados a cada instituição individualmente, ao conglomerado financeiro, conforme o Plano Contábil das Instituições do Sistema Financeiro Nacional - Cosif, bem como a identificar e acompanhar os riscos associados às demais empresas integrantes do consolidado econômico-financeiro, definido na Resolução 2.723, de 31 de maio de 2000. Parágrafo único. A estrutura, prevista no caput, deve tam- bém estar capacitada a identificar e monitorar o risco operacional decorrente de serviços terceirizados relevantes para o funcionamento regular da instituição, prevendo os respectivos planos de contingên- cias, conforme art. 3º, inciso VI. Art. 6º A atividade de gerenciamento do risco operacional deve ser executada por unidade específica nas instituições mencionadas no art. 1º. Parágrafo único. A unidade a que se refere o caput deve ser segregada da unidade executora da atividade de auditoria interna, de que trata o art. 2º da Resolução 2.554, de 24 de setembro de 1998, com a redação dada pela Resolução 3.056, de 19 de dezembro de 2002. Art. 7º Com relação à estrutura de gerenciamento de risco, admite-se a constituição de uma única unidade responsável: I - pelo gerenciamento de risco operacional do conglomerado financeiro e das respectivas instituições integrantes; II - pela atividade de identificação e acompanhamento do risco operacional das empresas não financeiras integrantes do consolidado econômico-financeiro. Art. 8º As instituições mencionadas no art. 1º devem indicar diretor responsável pelo gerenciamento do risco operacional. Parágrafo único. Para fins da responsabilidade de que trata o caput, admite-se que o diretor indicado desempenhe outras funções na instituição, exceto a relativa à administração de recursos de terceiros. Art. 9º A estrutura de gerenciamento do risco operacional deverá ser implementada até 31 de dezembro de 2007, com a observância do seguinte cronograma: I - até 31 de dezembro de 2006: indicação do diretor responsável e definição da estrutura organizacional que tornará efetiva sua implementação; II - até 30 de junho de 2007: definição da política institucional, dos processos, dos procedimentos e dos sistemas necessários à sua efetiva implementação; III - até 31 de dezembro de 2007: efetiva implementação da estrutura de gerenciamento de risco operacional, incluindo os itens previstos no art. 3º, incisos III a VII. Parágrafo único. As definições mencionadas nos incisos I e II deverão ser aprovadas pela diretoria das instituições de que trata o art. 1º e pelo conselho de administração, se houver, dentro dos prazos estipulados. Art. 10. O Banco Central do Brasil poderá: I - determinar a adoção de controles adicionais, nos casos de inadequação ou insuficiência dos controles do risco operacional implementados pelas instituições mencionadas no art. 1º; II - imputar limites operacionais mais restritivos à instituição que deixar de observar, no prazo estabelecido, a determinação de que trata o inciso I. Art. 11.
Esta resolu~ção está em vigor desde 2006.
CASO CLINICO 2 - REABILITAÇÃO ESTÉTICA 2
Há 12 anos
Nenhum comentário:
Não é permitido fazer novos comentários.