Questão nº 66
Questão de Tecnologia da Informação · FGV CVM 2024 (nº 66)
A gestão de riscos relacionados à TI deve ser realizada de forma integrada à gestão corporativa de riscos, com uma abordagem de balanceamento de custos e benefícios.
Diante do contexto apresentado, é correto afirmar que:
- Ao investimento necessário para a mitigação do risco deverá ser balizado pelo desejo do gerente de TI. É importante comunicar a tolerância e as probabilidades de ocorrência do risco correspondente;
- Bem organizações com qualquer nível de governança corporativa, é estabelecido um sistema de gestão de riscos operacionais já com metodologias estabelecidas e com mapas de risco por processo de negócio ou por serviços;
- Ca avaliação de riscos implica coletar dados e identificar eventos (importantes ameaças reais que exploram significativas vulnerabilidades) com potenciais impactos negativos nos objetivos ou nas operações da organização;
- Da manutenção e monitoramento do plano de ação de risco envolvem também a obtenção de aprovações para ações recomendadas, a aceitação de quaisquer riscos residuais e a garantia de que as ações aprovadas sejam assumidas pelos donos dos processos afetados; (alternativa correta)
- Equalquer impacto em potencial, independente de afetar ou não os objetivos da empresa, causado por um evento não planejado deve ser identificado, analisado e avaliado. Estratégias de mitigação de risco devem ser adotadas para minimizar o risco residual a níveis aceitáveis.
Resposta comentada
Gabarito Alternativa D
A gestão de riscos de TI é o processo de identificar, avaliar e tratar os riscos que podem afetar os sistemas e dados de uma empresa, sempre alinhada aos objetivos gerais do negócio e considerando se o custo de mitigar um risco vale a pena em relação ao benefício.
(A) Incorreta: O investimento para mitigação de risco deve ser balizado pela tolerância a risco da organização e pela análise de custo-benefício, não pelo desejo pessoal de um gerente de TI. A comunicação da tolerância e probabilidades é importante, mas a premissa inicial é falha.
(B) Incorreta: Afirmar que "qualquer nível de governança corporativa" estabelece um sistema de gestão de riscos operacionais com metodologias e mapas de risco é uma generalização incorreta. Muitas organizações, especialmente com governança incipiente, podem não ter essa estrutura consolidada.
(C) Incorreta: Embora a descrição da avaliação de riscos esteja correta em si, ela é uma etapa do processo. A alternativa não abrange a totalidade da gestão de riscos de TI integrada à gestão corporativa, nem o balanceamento de custos e benefícios de forma tão completa quanto a alternativa D.
(D) Correta: A manutenção e monitoramento do plano de ação de risco são fases críticas da gestão de riscos. A obtenção de aprovações garante a governança corporativa e o alinhamento com a estratégia. A aceitação de riscos residuais demonstra o balanceamento de custos e benefícios (até onde vale a pena investir para reduzir o risco). A garantia de que as ações sejam assumidas pelos donos dos processos assegura a integração e a responsabilidade em toda a organização.
(E) Incorreta: A gestão de riscos foca em eventos que afetam os objetivos da empresa. Se um evento não tem potencial de impacto nos objetivos, ele não é considerado um risco relevante para ser gerenciado, contrariando a premissa de que "qualquer impacto em potencial, independente de afetar ou não os objetivos da empresa", deve ser identificado.
Fonte: FGV CVM 2024 Analista CVM - TI Infraestrutura e Segurança (Perfil 9) (Caderno Tipo 1). Reproduzida para fins de estudo.