Questão nº 11
Questão de Tecnologia da Informação · FGV CVM 2024 (nº 11)
Um plano de gerenciamento de riscos deve identificar os riscos dos ativos, determinando o seu nível, a probabilidade de sua ocorrência e seu impacto para a organização. Após a avaliação dos riscos, deve-se escolher a opção mais adequada para seu tratamento, considerando o custo para sua implementação e os benefícios esperados.
A opção de tratamento de risco que permite gerenciar o seu nível por meio da inclusão, exclusão ou alteração de controles, a fim de que o risco residual seja aceitável, é o(a):
- Amodificação do risco; (alternativa correta)
- Bretenção do risco;
- Cação de evitar o risco;
- Dcompartilhamento do risco;
- Eaceitação do risco.
Resposta comentada
Gabarito Alternativa A
Gerenciamento de riscos é o processo de identificar, avaliar e decidir como lidar com as incertezas que podem afetar os objetivos de uma organização. O tratamento de risco é a etapa onde se escolhe e implementa ações para modificar os riscos.
- (A) Correta: A modificação do risco (também conhecida como mitigação) envolve a implementação de controles para reduzir a probabilidade de ocorrência ou o impacto de um risco, alterando seu nível para um patamar aceitável.
- (B) Incorreta: A retenção do risco ocorre quando a organização decide aceitar o risco sem tomar medidas adicionais para reduzi-lo, geralmente porque o custo do tratamento é maior que o benefício ou o risco é considerado baixo.
- (C) Incorreta: A ação de evitar o risco significa eliminar a atividade ou a causa que gera o risco, impedindo que ele sequer ocorra, e não gerenciar seu nível através de controles.
- (D) Incorreta: O compartilhamento do risco (ou transferência) envolve passar parte ou todo o risco para terceiros, como seguradoras ou parceiros, sem necessariamente alterar o nível do risco internamente.
- (E) Incorreta: A aceitação do risco é uma decisão formal de tolerar o risco em seu nível atual, sem implementar novos controles para reduzi-lo. É o distrator mais tentador, pois o objetivo final da modificação é que o risco residual seja aceitável, mas a aceitação em si não envolve a ação de gerenciar o nível por meio de controles, apenas a decisão de conviver com ele.
Fonte: FGV CVM 2024 Analista CVM - TI Infraestrutura e Segurança (Perfil 9) (Caderno Tipo 1). Reproduzida para fins de estudo.