O processo de gest\u00e3o de riscos e compliance deve contemplar a companhia como um todo, contemplando todos os colaboradores e processos, inclusive terceiros. Atualmente, cada vez mais terceiros est\u00e3o envolvidos com a cadeia de valor e isso implica em maiores desafios na gest\u00e3o de riscos.<\/p>\n\n\n\n
Algumas entidades regulamentadoras como Bacen (Banco Central do Brasil) solicitam que as companhias contratantes avaliem os riscos referentes aos terceiros que oferecem servi\u00e7os considerados cr\u00edticos para a companhia. Os resultados de tais an\u00e1lises devem ser reportados ao Bacen.<\/p>\n\n\n\n
Outro aspecto que preocupa bastante a alta dire\u00e7\u00e3o \u00e9 o risco de vazamento de dados sens\u00edveis. Por mais que a companhia tenha implementado uma s\u00e9rie de controles, se o terceiro fizer uso de dados sens\u00edveis coletados pela companhia, na presta\u00e7\u00e3o de servi\u00e7os, e tais dados vazarem, a companhia responder\u00e1 solidariamente perante a LGPD (Lei Geral de Prote\u00e7\u00e3o de Dados).<\/p>\n\n\n\n
O processo de avalia\u00e7\u00e3o de riscos ou auditoria de terceiros pode utilizar como base uma s\u00e9rie de frameworks internacionalmente aceitos, como ISO 27001, COBIT (Control Objectives for Information and related Technology), CIS (Center for Internet Security) ou outros mais espec\u00edficos, como o Manual de Seguran\u00e7a do Pix, emitido pelo BACEN.<\/p>\n\n\n\n
N\u00e3o existe um framework \u00fanico a ser utilizado para o processo de gest\u00e3o de riscos de uma companhia. Em geral, cada empresa possui a sua metodologia de An\u00e1lise de Riscos, adequada a sua realidade e contemplando diversos fatores como nicho de mercado a que pertence, leis e regulamenta\u00e7\u00f5es espec\u00edficas, sazonalidades entre outros. Funciona da mesma forma para a gest\u00e3o de riscos de terceiros.<\/p>\n\n\n\n
A execu\u00e7\u00e3o do trabalho em si pode ser realizada de diversas formas. Uma alternativa \u00e9 a realiza\u00e7\u00e3o da autoavalia\u00e7\u00e3o, onde a \u00e1rea de gest\u00e3o de riscos elabora um question\u00e1rio e envia para que o terceiro responda e ofere\u00e7a evid\u00eancias referentes aos controles implementados. Outra forma \u00e9 realizar uma visita in loco, sendo poss\u00edvel entrevistar os gestores envolvidos com os controles e verificar a execu\u00e7\u00e3o deles pessoalmente. Outro aspecto que se pode calibrar \u00e9 o n\u00edvel de escrut\u00ednio, ou seja, se apenas uma evid\u00eancia por controle executado j\u00e1 \u00e9 considerada suficiente ou se a avalia\u00e7\u00e3o buscar\u00e1 a an\u00e1lise da efic\u00e1cia do controle em si, avaliando uma amostragem de evid\u00eancias.<\/p>\n\n\n\n
Os resultados desse trabalho s\u00e3o um \u00edndice de risco, que a depender da metodologia de gest\u00e3o de riscos da companhia, pode ser aceit\u00e1vel ou n\u00e3o, podendo at\u00e9 mesmo ocorrer o rompimento do contrato com o terceiro avaliado, e o plano de a\u00e7\u00e3o acordado com o terceiro, a fim de aumentar a maturidade do ambiente de seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n\n\n\n
\u00c9 importante ter em mente que a gest\u00e3o n\u00e3o se esgota nesse ponto, \u00e9 necess\u00e1rio manter contato constante com o terceiro a fim de saber a evolu\u00e7\u00e3o da implanta\u00e7\u00e3o do plano de a\u00e7\u00e3o. Nesse ponto pode tamb\u00e9m ser oferecido apoio na defini\u00e7\u00e3o de controles e estabelecimento de melhores pr\u00e1ticas de seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n\n\n\n
Por fim, \u00e9 importante criar e manter um plano de auditoria, para revisitar os controles dos terceiros periodicamente, de acordo com a criticidade dos servi\u00e7os prestados e o risco aferido.<\/p>\n\n\n\n
Fonte: Jornal Tribuna<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" O processo de gest\u00e3o de riscos e compliance deve contemplar a companhia como um todo, contemplando todos os colaboradores e processos, inclusive terceiros.<\/p>\n","protected":false},"author":7,"featured_media":14868,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1836],"tags":[3383,1969,3384,2237,3385,1424],"class_list":["post-14866","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-marketing-e-vendas","tag-analise-de-riscos","tag-bacen","tag-cobit","tag-compliance","tag-gestao-de-riscos","tag-lgpd"],"_links":{"self":[{"href":"https:\/\/cndl.org.br\/varejosa\/wp-json\/wp\/v2\/posts\/14866","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cndl.org.br\/varejosa\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cndl.org.br\/varejosa\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cndl.org.br\/varejosa\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/cndl.org.br\/varejosa\/wp-json\/wp\/v2\/comments?post=14866"}],"version-history":[{"count":0,"href":"https:\/\/cndl.org.br\/varejosa\/wp-json\/wp\/v2\/posts\/14866\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cndl.org.br\/varejosa\/wp-json\/wp\/v2\/media\/14868"}],"wp:attachment":[{"href":"https:\/\/cndl.org.br\/varejosa\/wp-json\/wp\/v2\/media?parent=14866"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cndl.org.br\/varejosa\/wp-json\/wp\/v2\/categories?post=14866"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cndl.org.br\/varejosa\/wp-json\/wp\/v2\/tags?post=14866"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}