Em 29 de junho do ano passado o Banco Central Brasileiro torna público a Resolução 3380 que dispõe sobre a implementação de estrutura de gerenciamento do risco operacional nas instituições financeiras e demais instituições autorizadas sob sua supervisão.

Segundo a resolução, Risco Operacional é a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos.

Ok! Não temos como escopo discutir nesse artigo o planejamento, construção e implementação dessa estrutura, mas sim, o que isso teria a ver diretamente com a TI? Que riscos são esses em TI, que possam resultar em impacto e perdas para a organização? Como conhecê-los e tratá-los?

Não é uma tarefa muito simples que possamos finalizar em um rápido artigo, mas vamos dar uma boa pincelada que pode ajudar. Vejamos o que a 3380 destaca entre os vários eventos do risco operacional e que interessariam diretamente a TI:

Fraudes internas
Fraudes externas
Falhas em sistemas de TI

Vamos começar por mostrar qual seria o contexto desse risco de TI. Olhemos a figura relacionada abaixo.
 
Por ela podemos definir como Risco, a probabilidade de uma ameaça explorar uma vulnerabilidade de um determinado ativo, provocando impactos nos negócios da organização. Esses riscos indicam requisitos de segurança que procuram por controles para mitigar o risco, protegendo, prevenindo das ameaças. A fraude, utilizando-se como meio elementos computacionais, pode ser categorizada como ma das centenas de ameaças existentes. As fraudes podem ter como agentes:
 
o interno (dentro da organização, um funcionário insatisfeito, por exemplo) e; o externo (de fora da organização, um hacker, por exemplo).

Pois bem, se eu consigo analisar e avaliar o meu risco através de uma abordagem qualitativa ou quantitativa, entre tantas disponíveis no mercado, eu devo decidir o que fazer. Posso aceitá-lo, posso eliminá-lo, posso transferi-lo a uma seguradora ou posso procurar reduzi-lo, utilizando um processo de mitigação do risco.

O processo de mitigação do risco, utilizado na maioria dos casos, procura através da avaliação do risco fazer uma análise de custo/benefício e selecionar os melhores controles dentro dessa análise. A criteriosa escolha desses controles auxilia na prevenção de incidentes que possam vir a causar impactos indesejáveis à organização, como por exemplo, as fraudes, vazamento de informação, sabotagens, etc., tão comum nas organizações hoje em dia, e ao mesmo tempo, tão escondido das pesquisas.

Mas ao mesmo tempo sabemos que não há dinheiro suficiente para implementarmos todos os controles que desejamos. Dessa forma, o que sobra, é o que chamamos de Risco Residual. Como conhecemos os controles que implementamos, também devemos conhecer o Risco Residual. Isso é importante para a Gestão do Risco.

As melhores práticas salientam e a própria 3380 também, que deva ser realizada uma reavaliação com periodicidade mínima de um ano que permitam a identificação e correção das deficiências de controle e de gerenciamento do risco. É isso: realizar o processo pelo menos uma vez por ano!

A prática da Análise, Avaliação e Tratamento dos Riscos em TI deve estar presente nas organizações, pelo menos, de médio e grande porte. Não só para obedecer aos regulamentos nacionais e internacionais, mas, e principalmente, para proteger os negócios da organização. A decisão de se ter um processo sistemático de Gestão de Riscos em TI, não é um processo de TI, é um processo crucial para os negócios da empresa.

* Mário Sérgio Ribeiro é gestor em projetos de segurança e governança de TI para o principal banco privado do país. Foi CSO do Grupo Pão de Açúcar e também obteve passagem de sucesso na São Paulo Alpargatas e Grupo Itaú.