Controlo Interno e risco tecnológico: recomendações da EBA sobre cloud computing

diogo.duarte@big.pt // 06-02-2018 10:04
0 Comentários | Escreva um comentário
Picture - Controlo Interno e risco tecnológico: recomendações da EBA sobre cloud computing

As tecnologias de informação desempenham um papel com importância crescente no funcionamento das instituições bancárias, por serem um recurso indispensável e sistematicamente utilizado em múltiplos processo e atividades que ocorrem na organização. São indispensáveis na armazenagem de grande parte dos dados bancários; nos canais de comunicação com clientes; e na distribuição de produtos e serviços bancários e financeiros. Mesmo as operações de controlo, seja quanto à verificação do cumprimento de requisitos prudenciais ou em matéria de branqueamento de capitais e prevenção do terrorismo, não podem passar sem elas. Praticamente todos os postos de trabalho estão hoje dependentes da disponibilidade do sistema de tecnologias de informação.

Por este motivo, os riscos associados às tecnologias de informação podem ter um impacto material relevante para as instituições, podendo mesmo pôr em causa a continuidade do negócio e, em última análise, sua viabilidade. Nas guidelines da EBA sobre o processo de análise e avaliação pelo supervisor (SREP - supervisory review and evaluation process) instituído pelo artigo 97º, da Diretiva 2013/36/UE (CRD IV), o risco das tecnologias de informação aparece identificado como uma subcategoria do risco operacional, devendo ser enquadrado na perspetiva mais ampla de risco operacional que respeita a toda a organização, e deve ser objeto de acompanhamento próximo por parte do sistema de governação e controlo interno das instituições.

Resulta também do parágrafo 18 das Recomendações da EBA sobre a governação interna das instituições bancárias, cuja revisão entrará em vigor em 30 de junho (EBA/GL/2017/11), que o sistema de governo e controlo interno das instituições bancárias deve lidar com os sistemas de tecnologias de informação e riscos envolvidos, incluindo os contratos de outsourcing que sejam celebrados.

A subcontratação relativa a tecnologias de informação que é hoje mais frequente e apetecível é o que se designa usualmente por cloud computing.

Cloud computing, ou computação em nuvem, é uma solução tecnológica pela qual um prestador de serviços possibilita o acesso das instituições, por dispositivos eletrónicos e através da internet, independentemente da sua localização física, por conveniência, e mediante solicitação, a um conjunto partilhado de recursos computacionais configuráveis (por exemplo, redes, servidores, armazenamento, aplicações e serviços) que podem ser rapidamente disponibilizados e cancelados com um mínimo de esforço de gestão e um mínimo e interação com o prestador de serviço. A computação em nuvem assume maioritariamente os modelos de infraestructure as a service (IaaS); platform as a service (PaaS) e software as a service (SaaS).

Apresentado para as instituições inúmeras vantagens, do ponto de vista da redução de custos e flexibilidade, apresenta também riscos específicos: cyber-risk; ineficácia da auditoria interna; limitações para a supervisão, proteção de dados; lock-in tecnológico, entre outros.

 

Em 20 de dezembro de 2017, a EBA publicou as Recommendations on outsourcing to cloud service providers (EBA/REC/2017/03), aplicáveis a partir 1 de julho de 2018, e complementares às orientações sobre outsourcing, do Committee of European Banking, de 2006, que impõem novas exigências às funções de controlo interno das instituições para avaliar, identificar e mitigar os riscos implicados na computação em nuvem e de reportar às autoridades de supervisão os aspetos materialmente significativos dos contratos que sejam celebrados. O contro interno deve ter acesso, por outro lado, às instalações e sistemas do prestador de serviço ao abrigo de direitos de auditoria contratualmente assegurados.

Comentários

Não existem comentários

Novo comentário

Por favor inicie sessão ou registe-se para poder comentar.