Governança de TI

Bradesco


Clique na foto e veja a legenda

Bradesco centraliza controle e garante visão 360º dos riscos em TI

O banco trabalha com 16 indicadores de riscos e 84 de desempenho para atuar de forma pró-ativa quanto às ameaças

Edilma Rodrigues

A área de governança de TI do Bradesco instituiu a frente “Riscos da TI – Visão 360º e Controle” para aumentar a maturidade dos processos e disciplinas da gestão de ameaças tecnológicas, criar sinergia entre as áreas de tecnologia e controle e melhorar o atendimento ao Bacen. Com elaboração de metodologias e indicadores – Indicadores de Riscos de TI e Indicadores-chave de Desempenho –, o banco passou a monitorar e controlar a exposição a riscos com potencial para afetar seu negócio.

Com visão estratégica adquirida, desde o início do projeto, em setembro de 2014, houve redução significativa das não conformidades, detecção de desvios em processos críticos e inserção de melhorias a partir do acompanhamento dos resultados dos indicadores. A iniciativa foi premiada na categoria Governança em TI pelo efinance.

Antes do projeto, esse controle era descentralizado, cada departamento de tecnologia possuía o seu e não havia padronização de informações, o que impedia a análise de riscos com a visão de toda a cadeia de valor. O superintendente executivo do Bradesco, Frank Hamilton Moraes, explica que, em razão da complexidade e relevância dessa frente, era necessário estabelecer uma estrutura que visse o risco da TI como uma entidade única, não departamentalizada e os tratasse de forma integrada, tanto em ações para evitar que se materializassem, quanto para que fossem mitigados prontamente no caso de aparecerem.

“Na constante avaliação dos níveis de tolerância dos riscos monitorados pelos indicadores, e conforme a evolução da maturidade dos processos, efetuamos a calibragem dos mesmos, reduzindo ainda mais nossa tolerância em relação a possíveis falhas. Passamos a atuar de forma predominantemente pró-ativa, com eficiência e eficácia naqueles que se materializaram”, esclarece Moraes.

Além disso, por ser um setor altamente regulado, o projeto precisava atender aos órgãos reguladores, com maior rigor em seus controles, estruturas formais para o tratamento de riscos, auditorias independentes e reportes sistemáticos. Nesse sentido, em 2015, o Bradesco propôs estabelecer um canal de discussão de riscos de TI com o Banco Central do Brasil, por meio de reuniões trimestrais de alinhamento de ações e troca de experiências. “E foi bem recebido pelo regulador, fortalecendo ainda mais o relacionamento entre as entidades”, salienta o superintendente.

Hoje, o banco trabalha com 16 Indicadores de Riscos de TI e 84 Indicadores-Chave de Desempenho, que propiciam visão das ameaças que precisam ser monitoradas. Esses indicadores podem ser ampliados conforme surjam novas necessidades, o que permite ao Bradesco constante evolução e acompanhamento de tendências tecnológicas/de negócio e das crescentes ameaças de segurança.

Frentes de monitoração

A frente foi constituída por três fases: monitoração dos indicadores-chave de riscos de TI (de setembro/2014 a agosto/2015); monitoração dos pontos de auditorias e não conformidades das áreas de TI (de janeiro/2016 a março/2017) e mapeamento e monitoração da capacidade de processos da TI com base no Cobit 5 – a versão mais recente do framework de boas práticas de governança e gestão de TI. Esta fase teve início em abril/2017 e seu término está previsto para 2018.

Moraes explica que a cadeia produtiva (prospecção de sistemas, desenvolvimento de soluções, manutenção das operações com alta disponibilidade) possui diversos processos e tecnologias envolvidas com seus respectivos riscos inerentes e controles estabelecidos para sua mitigação. “A TI vem se tornando o próprio negócio e fator imprescindível para o atingimento dos objetivos estratégicos da organização”, enfatiza.

O projeto envolveu ainda consultoria para criar as bases metodológicas para a construção do framework de riscos baseado em indicadores e apoiar a implementação da primeira fase, que incluiu a definição dos indicadores e de seus níveis de tolerância. A metodologia da consultoria está alinhada às principais referências e às boas práticas de mercado, com destaque para: PMI, Cobit 5, Val-IT, Risk-IT, ISO/IEC 27000, ISO/IEC 38500, COSO, ISO/IEC 13335 e NIST 800-30, dentre outras. O Bradesco também adquiriu solução de software especialista (categoria GRC) para integrar os pontos de auditoria e das não conformidades.

A visão 360º é assenta-se em pilares como monitoração centralizada dos riscos da TI; visão completa dos eventos e controles de riscos, lastreados e correlacionados com práticas e referências do mercado, como ISOs/IEC; Cobit; ITIL, SOX; circulares do Bacen; entre outros. E, para dar visibilidade e transparência, foram criados reportes no nível executivo.