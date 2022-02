Compartilhe Facebook

2 de fevereiro de 2022.

O processo de gestão de riscos e compliance deve contemplar a companhia como um todo abrangendo todos os colaboradores e processos. Atualmente, cada vez mais terceiros estão envolvidos com a cadeia de valor e isso implica em maiores desafios na gestão de riscos.

Algumas entidades regulamentadoras como BACEN (Banco Central do Brasil) solicitam que as companhias contratantes avaliem os riscos referentes aos terceiros que oferecem serviços considerados críticos para a companhia. Os resultados de tais análises devem ser reportados ao BACEN.

Outro aspecto que preocupa bastante a alta direção é o risco de vazamento de dados sensíveis. Por mais que a companhia tenha implementado uma série de controles, se o terceiro fizer uso de dados sensíveis coletados pela companhia, na prestação de serviços, e tais dados vazarem, a companhia responderá solidariamente perante a LGPD (Lei Geral de Proteção de Dados).

O processo de avaliação de riscos ou auditoria de terceiros pode utilizar como base uma série de frameworks internacionalmente aceitos, como ISO 27001, COBIT (Control Objectives for Information and related Technology), CIS (Center for Internet Security) ou outros mais específicos, como o Manual de Segurança do Pix, emitido pelo BACEN.

Não existe um framework único a ser utilizado para o processo de gestão de riscos de uma companhia. Em geral, cada empresa possui a sua metodologia de Análise de Riscos, adequada a sua realidade e contemplando diversos fatores como nicho de mercado a que pertence, leis e regulamentações específicas, sazonalidades entre outros. Funciona da mesma forma para a gestão de riscos de terceiros.

A execução do trabalho em si pode ser realizada de diversas formas. Uma alternativa é a realização da autoavaliação, onde a área de gestão de riscos elabora um questionário e envia para que o terceiro responda e ofereça evidências referentes aos controles implementados. Outra forma é realizar uma visita in loco, sendo possível entrevistar os gestores envolvidos com os controles e verificar a execução deles pessoalmente. Outro aspecto que se pode calibrar é o nível de escrutínio, ou seja, se apenas uma evidência por controle executado já é considerada suficiente ou se a avaliação buscará a análise da eficácia do controle em si, avaliando uma amostragem de evidências.

Os resultados desse trabalho são um índice de risco, que a depender da metodologia de gestão de riscos da companhia, pode ser aceitável ou não, podendo até mesmo ocorrer o rompimento do contrato com o terceiro avaliado, e o plano de ação acordado com o terceiro, a fim de aumentar a maturidade do ambiente de segurança da informação.

É importante ter em mente que a gestão não se esgota nesse ponto, é necessário manter contato constante com o terceiro a fim de saber a evolução da implantação do plano de ação. Nesse ponto pode também ser oferecido apoio na definição de controles e estabelecimento de melhores práticas de segurança da informação.

Por fim, é importante criar e manter um plano de auditoria, para revisitar os controles dos terceiros periodicamente, de acordo com a criticidade dos serviços prestados e o risco aferido.

