Questão nº 66

Questão de Tecnologia da Informação · FGV CVM 2024 (nº 66)

FGV2024Analista CVM - TI Infraestrutura e Segurança (Perfil 9)Tecnologia da Informação
Gabarito: Dver comentário ↓

A gestão de riscos relacionados à TI deve ser realizada de forma integrada à gestão corporativa de riscos, com uma abordagem de balanceamento de custos e benefícios.
Diante do contexto apresentado, é correto afirmar que:

Resposta comentada

Gabarito Alternativa D

A gestão de riscos de TI é o processo de identificar, avaliar e tratar os riscos que podem afetar os sistemas e dados de uma empresa, sempre alinhada aos objetivos gerais do negócio e considerando se o custo de mitigar um risco vale a pena em relação ao benefício.

(A) Incorreta: O investimento para mitigação de risco deve ser balizado pela tolerância a risco da organização e pela análise de custo-benefício, não pelo desejo pessoal de um gerente de TI. A comunicação da tolerância e probabilidades é importante, mas a premissa inicial é falha.
(B) Incorreta: Afirmar que "qualquer nível de governança corporativa" estabelece um sistema de gestão de riscos operacionais com metodologias e mapas de risco é uma generalização incorreta. Muitas organizações, especialmente com governança incipiente, podem não ter essa estrutura consolidada.
(C) Incorreta: Embora a descrição da avaliação de riscos esteja correta em si, ela é uma etapa do processo. A alternativa não abrange a totalidade da gestão de riscos de TI integrada à gestão corporativa, nem o balanceamento de custos e benefícios de forma tão completa quanto a alternativa D.
(D) Correta: A manutenção e monitoramento do plano de ação de risco são fases críticas da gestão de riscos. A obtenção de aprovações garante a governança corporativa e o alinhamento com a estratégia. A aceitação de riscos residuais demonstra o balanceamento de custos e benefícios (até onde vale a pena investir para reduzir o risco). A garantia de que as ações sejam assumidas pelos donos dos processos assegura a integração e a responsabilidade em toda a organização.
(E) Incorreta: A gestão de riscos foca em eventos que afetam os objetivos da empresa. Se um evento não tem potencial de impacto nos objetivos, ele não é considerado um risco relevante para ser gerenciado, contrariando a premissa de que "qualquer impacto em potencial, independente de afetar ou não os objetivos da empresa", deve ser identificado.

Fonte: FGV CVM 2024 Analista CVM - TI Infraestrutura e Segurança (Perfil 9) (Caderno Tipo 1). Reproduzida para fins de estudo.

Continue estudando

Estudar é izi

Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.

Estudar de graça no Quizinho