COSO: risco inerente e residual

0
1256

RISCO INERENTE E RESIDUAL

A administração leva em conta tanto o risco inerente quanto o residual.

Risco inerente é o risco que uma organização terá de enfrentar na falta de medidas que a administração possa adotar para alterar a probabilidade ou o impacto dos eventos.

Risco residual é aquele que ainda permanece após a resposta da administração.

A avaliação de riscos é aplicada primeiramente aos riscos inerentes. Após o desenvolvimento das respostas aos riscos, a administração passará a considerar os riscos residuais.

QUESTÃO ERRADA: Risco inerente é aquele que perdura mesmo depois da resposta dos dirigentes da organização.

O conceito apresentado é o de Risco Residual e não Risco Inerente como afirmado no item.

QUESTÃO CERTA: De ac ordo com a norma NBR ISO/IEC 27005, considera-se risco residual aquele remanescente após o tratamento do risco, podendo o risco residual conter riscos não identificados.

Advertisement

QUESTÃO CERTA: O tratamento de riscos, parte integrante da segurança da informação, envolve algumas opções, sendo correto que, na opção: de modificação de um risco, são incluídos, excluídos ou alterados controles, tal que o risco residual possa ser considerado aceitável.

QUESTÃO CERTA: No processo de tratamento do risco de segurança da informação, segundo a norma ABNT NBR ISO/IEC 27005:2011: o nível de risco pode ser gerenciado através da inclusão, exclusão ou alteração de controles, para que o risco residual possa ser reavaliado e então considerado aceitável.