RESOLUÇÃO Nº 388, DE 5 DE OUTUBRO DE 2016.

O TRIBUNAL REGIONAL ELEITORAL DE SÃO PAULO, no âmbito de suas atribuições legais e regimentais,

CONSIDERANDO a Norma ABNT NBR ISO 31000:2009 que estabelece princípios e diretrizes para a gestão de riscos de Tecnologia da Informação e Comunicação (TIC) e

CONSIDERANDO a Resolução TRE-SP nº 387/2016, que institui a Política de Governança Corporativa de Tecnologia da Informação e Comunicação no âmbito do Tribunal Regional Eleitoral de São Paulo,

RESOLVE:

DA POLÍTICA DE GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO

Art. 1º  Instituir a Política de Gestão de Riscos de Tecnologia da Informação e Comunicação deste Tribunal que será disciplinada por esta Resolução.

Art. 2º  Para fins desta Resolução, considera-se:

I - Análise crítica: atividade realizada para determinar a adequação, suficiência e eficácia do assunto em questão para atingir os objetivos estabelecidos;

II - Análise de riscos: processo de compreender a natureza do risco e determinar o nível de risco (fornece a base para a avaliação de riscos e para as decisões sobre o tratamento de riscos);

III - Apetite a riscos: está associado ao nível de risco que se está disposto a aceitar na busca e realização da estratégia;

IV - Avaliação de riscos: processo de comparar os resultados da análise de riscos com os critérios de risco para determinar se o risco e/ou sua magnitude é aceitável ou tolerável (auxilia na decisão sobre o tratamento de riscos);

V - Causas ou fatores do risco: condições que viabilizam a concretização de um evento que afeta os objetivos, sendo resultantes da junção das fontes de risco com as vulnerabilidades;

VI - Comitê Diretivo de Tecnologia da Informação e Comunicação (CDTIC): equipe multidisciplinar integrada por participantes da alta administração, oficialmente designada para deliberar sobre políticas, diretrizes e investimentos em tecnologia da informação e comunicação;

VII - Comitê Executivo de Tecnologia da Informação e Comunicação (CETIC): equipe técnica integrada pelos titulares da Secretaria e das Coordenadorias da Secretaria de Tecnologia da Informação;

VIII - Comunicação e consulta: processos contínuos e iterativos que uma organização conduz para fornecer, compartilhar ou obter informações e se envolver no diálogo com as partes interessadas e outros, com relação a gerenciar riscos;

IX - Consequência: resultado de um evento que afeta os objetivos;

X - Contexto externo: ambiente externo no qual a organização busca atingir seus objetivos;

XI - Contexto interno: ambiente interno no qual a organização busca atingir seus objetivos;

XII - Critérios de risco: termos de referência contra os quais a significância de um risco é avaliada;

XIII - Estabelecimento do contexto: definição dos parâmetros externos e internos a serem levados em consideração ao gerenciar riscos, e estabelecimento do escopo e dos critérios de risco para o processo de gestão de riscos de Tecnologia da Informação e Comunicação;

XIV - Evento: ocorrência ou mudança em um conjunto específico de circunstâncias;

XV - Fonte de risco: elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco;

XVI - Gestão de riscos de Tecnologia da Informação e Comunicação: atividades coordenadas para dirigir e controlar uma

organização no que se refere a riscos de Tecnologia da Informação e Comunicação;

XVII - Identificação de riscos: processo de busca, reconhecimento e descrição de riscos;

XVIII - Impacto: uma das consequências da ocorrência de um evento;

XIX - Incerteza: estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua compreensão, seu conhecimento, sua consequência ou sua probabilidade;

XX - Monitoramento: verificação, supervisão, observação crítica ou identificação da situação, executadas de forma contínua, a fim de identificar mudanças no nível de desempenho requerido ou esperado;

XXI - Nível de risco: magnitude de um risco ou combinação de riscos, expressa em termos da combinação das consequências e de suas probabilidades;

XXII - Parte interessada: pessoa ou organização que pode afetar, ser afetada ou perceber–se afetada por uma decisão ou atividade;

XXIII - Perfil de risco: descrição de um conjunto qualquer de riscos;

XXIV - Plano Diretor de Tecnologia da Informação e Comunicação (PDTIC): Instrumento de diagnóstico, planejamento e gestão que visa a atender às necessidades de tecnologia de informação e de comunicação do Tribunal Regional Eleitoral de São Paulo, em um período determinado;

XXV - Planejamento Estratégico de Tecnologia da Informação e Comunicação (PETIC): Instrumento que declara as iniciativas estratégicas da Secretaria de Tecnologia da Informação, que deverão ser executadas em um período determinado, em harmonia com os objetivos estratégicos do Tribunal Regional Eleitoral de São Paulo;

XXVI - Plano de Gestão de Riscos de Tecnologia da Informação e Comunicação: esquema dentro da estrutura do processo de gestão de riscos de Tecnologia da Informação e Comunicação, que especifica a abordagem, os componentes de gestão (incluem procedimentos, práticas, atribuição de responsabilidades, sequência e cronologia das atividades) e os recursos a serem aplicados para gerenciar riscos de Tecnologia da Informação e Comunicação (a um determinado produto, processo e projeto, em parte ou em toda a secretaria);

XXVII - Probabilidade: chance de algo acontecer;

XXVIII - Processo de gestão de riscos de Tecnologia da Informação e Comunicação: aplicação sistemática de políticas, procedimentos e práticas de gestão para as atividades de comunicação, consulta, estabelecimento do contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise crítica dos riscos de Tecnologia da Informação e Comunicação;

XXIX - Processos de trabalho: no contexto do processo de gestão de risco, são projetos e ações relacionadas às competências e atribuições das unidades do Tribunal;

XXX - Proprietário do risco: pessoa ou entidade com a responsabilidade e a autoridade para gerenciar um risco;

XXXI - Risco: efeito da incerteza nos objetivos, expresso em termos de uma combinação de consequências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade de ocorrência associada;

XXXII - Riscos de comunicação: estão associados a eventos que podem impedir ou dificultar a disponibilidade de informações para a tomada de decisões e para cumprimento das obrigações de accountability (prestação de contas às instâncias controladoras e à sociedade);

XXXIII - Riscos estratégicos: estão associados à tomada de decisão que pode afetar negativamente o alcance dos objetivos da organização;

XXXIV - Riscos de imagem: danos à reputação;

XXXV - Riscos operacionais: possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos;

XXXVI - Riscos residuais: risco remanescente após o tratamento do risco;

XXXVII - Riscos socioambientais: risco de perdas em consequência de efeitos negativos no meio-ambiente e na sociedade decorrentes de impacto ambiental e proteção da saúde humana, de propriedades culturais e da biodiversidade;

XXXVIII - Riscos tecnológicos: possibilidade de ocorrência de falhas em sistemas de tecnologia da informação e comunicação com impactos nos negócios ou na execução de processos relacionados à tecnologia da informação e comunicação;

XXXIX - Tratamento de riscos: o processo para modificar o risco, pode envolver:

a) A ação de evitar o risco pela decisão de não iniciar ou descontinuar a atividade que dá origem ao risco;

b) A alteração da probabilidade;

c) A alteração das consequências;

d) A remoção da fonte de risco;

e) A retenção do risco por uma escolha consciente;

f) Assumir ou aumentar o risco, a fim de buscar uma oportunidade;

g) O compartilhamento do risco com outra parte ou partes (incluindo contratos e financiamento do risco).

XL - Vulnerabilidade: ausência, inadequação ou deficiência em uma fonte de risco, a qual pode vir a contribuir com a concretização de um evento indesejado.

Art. 3º  A Política de Gestão de Riscos de Tecnologia da Informação e Comunicação estabelece princípios, abrangência e responsabilidades a serem observadas no processo de gestão de riscos de Tecnologia da Informação e Comunicação, de forma a possibilitar o estabelecimento do contexto, a identificação, a análise, a avaliação, o tratamento, o monitoramento, a análise crítica e a comunicação e consulta de riscos estratégicos, operacionais, tecnológicos, de comunicação, imagem e socioambientais.

§ 1º  O processo de gestão de riscos de Tecnologia da Informação e Comunicação será implementado por meio do Plano de Gestão de Riscos de Tecnologia da Informação e Comunicação.

§ 2º  O Plano de Gestão de Riscos de Tecnologia da Informação e Comunicação será submetido pelo Comitê Executivo de Tecnologia da Informação e Comunicação (CETIC) em até 24 meses contados da data de publicação desta Resolução e contemplará:

I - Contexto geral do processo de gestão de riscos de Tecnologia da Informação e Comunicação - que definirá, nessa ordem:

a) Contextos internos e externos;

b) Critérios de riscos;

c) Escala de probabilidades;

d) Escala de impacto;

e) Matriz de nível de riscos - impacto x probabilidade;

f)  Matriz de apetite a riscos;

g) Matriz de classificação de riscos;

h) Diretrizes para priorização do tratamento de riscos;

i) Definição da eficácia dos controles.

II - Fluxograma do processo de gestão de riscos de Tecnologia da Informação e Comunicação.

III - Formulários que tratem de:

a) Avaliação de riscos;

b) Comunicação de riscos;

c) Identificação de riscos;

d) Monitoramento e análise crítica;

e) Tratamento de riscos.

IV - Manual de Gestão de Riscos de Tecnologia da Informação e Comunicação - cujo objetivo é auxiliar a aplicação das recomendações elencadas no Plano de Gestão de Riscos de Tecnologia da Informação e Comunicação;

V - Matriz para Atividade do Processo de Gestão de Riscos de Tecnologia da Informação e Comunicação;

VI - Modelo de Plano de Tratamento de Riscos de Tecnologia da Informação e Comunicação.

§ 3º  O Plano de Gestão de Riscos de Tecnologia da Informação e Comunicação será submetido à aprovação do Comitê Diretivo de Tecnologia da Informação e Comunicação (CDTIC).

DOS PRINCÍPIOS DO PROCESSO DE GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO

Art. 4º  O processo de gestão de riscos de Tecnologia da Informação e Comunicação observará os seguintes princípios:

I - Abordar explicitamente a incerteza;

II - Considerar fatores humanos e culturais;

III - Contribuir para a criação e proteção dos valores institucionais;

IV - Estar alinhado ao contexto e ao perfil de risco da instituição;

V - Estar alinhado ao Plano Diretor de Tecnologia da Informação e Comunicação (PDTIC);

VI - Estar alinhado ao Planejamento Estratégico de Tecnologia da Informação e Comunicação (PETIC);

VII - Facilitar a melhoria contínua dos processos de trabalho da Secretaria;

VIII - Ser baseado nas melhores informações disponíveis;

IX - Ser dinâmico, interativo e capaz de reagir às mudanças;

X - Ser parte da tomada de decisões;

XI - Ser parte integrante dos processos organizacionais;

XII - Ser sistemático, estruturado e oportuno;

XIII - Ser transparente e inclusivo.

§ 1º  O processo de gestão de riscos de Tecnologia da Informação e Comunicação deve possibilitar, dentre outros aspectos:

I - Alocação e utilização eficaz de recursos para o tratamento de riscos;

II - Aprimoramento do processo de identificação de oportunidades e ameaças;

III - Aumento da probabilidade de se alcançar os objetivos e metas;

IV - Encorajamento para uma gestão proativa;

V - Estabelecimento de uma base confiável para a tomada de decisão e o planejamento;

VI - Identificação do responsável pela gestão dos riscos;

VII - Identificação e tratamento dos riscos por todas as áreas e níveis de atuação;

VIII - Melhoria da conformidade com os requisitos legais e normativos;

IX - Melhoria da eficácia e da eficiência operacional;

X - Melhoria da governança e aprimoramento do controle;

XI - Melhoria da prevenção de perdas e a gestão de incidentes;

XII - Melhoria do desempenho em segurança, bem como a proteção do meio ambiente;

XIII - Minimização de perdas.

DA ABRANGÊNCIA DO PROCESSO DE GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO

Art. 5º  O processo de gestão de riscos de Tecnologia da Informação e Comunicação abrange as seguintes categorias:

I - Riscos de Comunicação;

II - Riscos de Imagem;

III - Riscos Estratégicos;

IV - Riscos Operacionais;

V - Riscos Socioambientais;

VI - Riscos Tecnológicos.

DAS RESPONSABILIDADES PELO PROCESSO DE GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO

Art. 6º  Compõem a Estrutura do processo de gestão de riscos de Tecnologia da Informação e Comunicação:

I - O Comitê Diretivo de Tecnologia da Informação e Comunicação – CDTIC;

II - Comitê Executivo de Tecnologia da Informação e Comunicação – CETIC;

III - Os Proprietários dos Riscos.

Art. 7º  Compete ao Comitê Diretivo de Tecnologia da Informação e Comunicação – CDTIC:

I - Aprovar o Plano de Gestão de Riscos de Tecnologia da Informação e Comunicação;

II - Acompanhar de forma sistemática o processo de gestão de riscos de TIC com o objetivo de garantir sua eficácia e o cumprimento de seus objetivos;

III - Definir o nível de risco aceitável na condução dos negócios de Tecnologia da Informação e Comunicação;

IV - Definir o tratamento dos riscos que lhe forem submetidos;

V - Reavaliar periodicamente a adequação da estratégia de administração de risco da área de Tecnologia da Informação e Comunicação;

VI - Validar os relatórios de riscos de Tecnologia da Informação e Comunicação.

Art. 8º  Compete ao Comitê Executivo de Tecnologia da Informação e Comunicação – CETIC:

I - Elaborar o Plano de Gestão de Riscos de Tecnologia da Informação e Comunicação;

II - Analisar e propor o nível de risco a ser monitorado em cada projeto;

III - Analisar e propor sugestões para o aperfeiçoamento do processo de gestão de riscos;

IV - Efetuar outras análises que entender necessárias no tocante ao processo de gestão de riscos de Tecnologia da Informação e Comunicação;

V - Conscientizar os gestores sobre a importância da gestão de riscos de Tecnologia da Informação e Comunicação e a responsabilidade inerente a cada proprietário dos riscos;

VI - Coordenar e definir os padrões a serem seguidos no que tange aos processos de controles de risco, sistemas de suporte e às formas e a periodicidade dos seus reportes;

VII – Promover e acompanhar a implantação do processo de gestão de riscos de Tecnologia da Informação e Comunicação.

Art. 9º  Compete aos proprietários dos riscos, relativamente aos processos de trabalho e iniciativas sob sua responsabilidade, sem prejuízo de outras atribuições:

I - Analisar o nível de vulnerabilidades a que estão sujeitos os processos de trabalho estratégicos para o Tribunal;

II - Elaborar o Plano de Tratamento de Riscos em seus respectivos âmbitos e escopos de atuação, contemplando prazo de implantação e avaliação dos resultados obtidos;

III - Assegurar que os riscos priorizados pelo processo de gestão de riscos de Tecnologia da Informação e Comunicação serão tratados por meio de ações de caráter imediato, a curto, médio ou longo prazos ou de aperfeiçoamento contínuo, observado o ciclo máximo de dois anos;

IV - Consultar e comunicar as partes interessadas no processo de gestão de riscos de Tecnologia da Informação e Comunicação;

V - Elaborar relatório de riscos dos processos de trabalho sob sua gestão;

VI - Identificar riscos preventivamente e fazer sua necessária gestão, avaliando a probabilidade de ocorrência e adotando medidas para sua prevenção e minimização;

VII - Submeter ao Comitê Executivo de Tecnologia da Informação e Comunicação, com a tempestividade adequada, os riscos cujos impactos possam afetar outros projetos ou aqueles cujo tratamento não esteja em sua esfera de competência ou aqueles cujos tratamentos aplicados não tenham surtido o efeito esperado.

DO FLUXO DO PROCESSO DE GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO

Art. 10.  O fluxo do processo de gestão de riscos de Tecnologia da Informação e Comunicação será composto pelas seguintes etapas:

I - Comunicação e consulta em todos os estágios do processo de gestão, sendo essencial para a identificação dos riscos, considerado o contexto, a probabilidade de ocorrência e o impacto potencial;

II - Estabelecimento do contexto, presentes os objetivos e metas da Secretaria de Tecnologia da Informação. Nesta etapa devem ser definidos parâmetros externos e internos a serem considerados ao gerenciar riscos, em especial a fixação do escopo e dos critérios de risco para o restante do processo;

III - Identificação de riscos que tem como objetivo:

a) O reconhecimento e descrição de riscos, mediante a identificação das fontes de risco, eventos, suas causas e suas consequências potenciais;

b) Gerar uma lista abrangente de riscos, baseada em eventos que possam evitar, reduzir, acelerar ou atrasar a realização dos objetivos.

IV - Análise de riscos que deve:

a) Fornecer subsídios para a avaliação de riscos, bem como para as estratégias, métodos e decisões de tratamento dos riscos;

b) Envolver a apreciação das causas e das fontes de riscos, suas consequências negativas, e a probabilidade de que essas consequências venham a ocorrer;

c) Identificar os fatores que afetam as consequências e a probabilidade de ocorrência dos riscos, ou a combinação de ambos, confrontados com os controles existentes, a fim de testar a eficácia e a eficiência desses controles.

V - Avaliação de riscos que utiliza os resultados da análise de riscos como subsídio para a tomada de decisões sobre quais riscos necessitam ser tratados e quais terão prioridade no tratamento;

VI - Tratamento dos riscos: indicação das ações para tratamento dos riscos relevantes, podendo ser adotadas para redução das possibilidades de ocorrências dos eventos relacionados a cada risco, bem como ações de contingência no caso de os eventos de riscos se concretizarem;

VII - Monitoramento e análise crítica, etapa na qual ocorre a verificação, supervisão, observação crítica ou identificação da situação de risco, realizadas de forma contínua, a fim de determinar a adequação, suficiência e eficácia dos controles internos para atingir os objetivos estabelecidos.

DAS CONDIÇÕES GERAIS DO PLANO DE GESTÃO DE RISCOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO

Art. 11.  O Plano de Gestão de Riscos de Tecnologia da Informação e Comunicação visa o aumento da probabilidade de alcance dos objetivos e metas traçados para a Secretaria em cada um dos processos de trabalho em execução.

Parágrafo único.  Os objetivos e metas da Secretaria devem ser mensuráveis para se ter a dimensão dos possíveis prejuízos em custo, prazo de execução, qualidade e escopo.

Art. 12.  Os critérios de riscos utilizados para o estabelecimento do contexto serão baseados em:

I - Apetite a riscos;

II - Definição da eficácia dos controles na qual se estabelece critérios objetivos para análise dos controles implantados e para cálculo do risco residual;

III - Diretrizes para priorização e tratamento que determinam como os riscos serão priorizados;

IV - Escala de impacto que define natureza e tipos de consequências, e como elas serão medidas nas diversas áreas;

V - Escala de probabilidade que define como a probabilidade será medida;

VI - Matriz de nível de riscos 'Impacto x Probabilidade' que define como o nível de risco deve ser determinado;

VII - Matriz de classificação de riscos que define como os riscos serão classificados quanto à significância.

Art. 13.  A identificação geral dos riscos deverá ser realizada nas fases iniciais do processo de trabalho, visto que sua identificação em fases posteriores implicaria retrabalho e assunção de maiores custos.

Art. 14.  A identificação incluirá todos os riscos, bem como os efeitos cumulativos, as causas, as consequências e as reações em cadeia.

Art. 15.  A combinação das consequências, as quais podem ser expressas em termos de impactos tangíveis e intangíveis, com a probabilidade, serve para determinar o nível e tipo do risco.

Art. 16.  Em decorrência da interdependência dos diversos riscos e das suas fontes, a análise de riscos poderá ser realizada em diferentes níveis de detalhe, dependendo do risco, da finalidade da análise, das informações, dos dados e dos recursos disponíveis.

Art. 17.  Serão utilizadas escalas quantitativas para estimar a probabilidade e o impacto dos riscos.

Art. 18.  A finalidade da avaliação de riscos é comparar o nível de risco encontrado durante o processo de análise com os critérios de riscos definidos no Estabelecimento do Contexto.

Art. 19.  A avaliação de risco deve considerar a probabilidade de ocorrência, bem como o impacto sobre os objetivos.

Art. 20.  Dentre os objetivos do tratamento de riscos existem ações que buscarão:

I - Evitar o risco totalmente;

II - Transferir o risco compartilhando ou transferindo uma parte do risco a terceiros;

III - Mitigar o risco, reduzindo o impacto ou a probabilidade de ocorrência do risco;

IV - Aceitar ou tolerar o risco sem que nenhuma ação específica seja tomada, pois, ou o nível do risco é considerado baixo, ou a capacidade da organização para tratar o risco é limitada, ou o custo é desproporcional ao benefício.

Art. 21.  O tratamento de riscos envolve a seleção de uma ou mais opções para modificar os riscos.

Art. 22.  A implementação do tratamento de riscos pode gerar novos controles ou modificar os controles existentes.

Art. 23.  A fase inicial do tratamento de riscos é a elaboração do Procedimento de Tratamento de Riscos que deve levar em consideração:

I - A eficácia das ações já existentes;

II - As restrições organizacionais, técnicas e estruturais;

III - Os requisitos legais;

IV - A análise custo/benefício;

V - As ações a serem realizadas;

VI - Os Responsáveis;

VII - As Prioridades;

VIII - Os Prazos de execução.

Art. 24.  A fase final do tratamento de riscos é o estabelecimento do Procedimento de Tratamento de Riscos aprovado pela autoridade competente.

Parágrafo único.  Após o tratamento de determinado risco, pode subsistir risco residual, que para ser aceito, depende de ponderação em relação ao nível de risco aceitável conforme definição do Comitê Diretivo de Tecnologia da Informação e Comunicação, segundo o inciso III do art. 7º.

Art. 25.  O monitoramento e análise de riscos crítica poderão ser periódicos ou acontecer em resposta a um fato específico.

Art. 26.  As finalidades do monitoramento e análise crítica de riscos são:

I - Garantir que os controles sejam eficazes e eficientes no projeto e na operação;

II - Obter informações adicionais para melhorar a avaliação dos riscos;

III - Analisar os eventos, as mudanças, e aprender com o sucesso ou fracasso do tratamento do risco;

IV - Detectar mudanças no contexto externo e interno, incluindo alterações nos critérios de risco e no próprio risco, as quais podem exigir a revisão da forma de tratar os riscos e das prioridades;

V - Identificar os riscos emergentes, que poderão surgir após o processo de análise crítica, reiniciando o ciclo do processo de gestão de riscos de Tecnologia da Informação e Comunicação.

Art. 27.  Os casos omissos serão submetidos à Diretoria-Geral deste Tribunal.

Art. 28.  Esta Resolução entra em vigor na data de sua publicação.

Sala de Sessões do Tribunal Regional Eleitoral de São Paulo, em 05 de outubro de 2016.

DESEMBARGADOR MÁRIO DEVIENNE FERRAZ

PRESIDENTE

DESEMBARGADOR CARLOS EDUARDO CAUDURO PADIN

VICE-PRESIDENTE E CORREGEDOR REGIONAL ELEITORAL

DESEMBARGADORA FEDERAL MARLI MARQUES FERREIRA

JUIZ SILMAR FERNANDES

JUIZ ANDRÉ GUILHERME LEMOS JORGE

JUÍZA CLAUDIA LÚCIA FONSECA FANUCCHI

JUIZ LUIZ GUILHERME DA COSTA WAGNER JUNIOR