Quiz-summary
0 of 29 questions completed
Questions:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
Information
Premium Practice Questions
You have already completed the quiz before. Hence you can not start it again.
Quiz is loading...
You must sign in or sign up to start the quiz.
You have to finish following quiz, to start this quiz:
Results
0 of 29 questions answered correctly
Your time:
Time has elapsed
Categories
- Not categorized 0%
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- Answered
- Review
-
Question 1 of 29
1. Question
Uma instituição financeira de médio porte está expandindo suas operações para incluir uma nova plataforma de crédito digital instantâneo, com lançamento previsto para o próximo trimestre. Durante a fase de planejamento, o Gerente de Produto prioriza a experiência do usuário e a velocidade de processamento, enquanto o Comitê de Risco expressa preocupações sobre o aumento potencial de fraudes de identidade sintética. Para garantir que o programa de gestão de risco de fraude seja eficaz e sustentável nesta nova linha de negócio, qual deve ser a abordagem principal em relação à propriedade e governança das políticas antifraude?
Correct
Correto: A atribuição da responsabilidade aos proprietários das linhas de negócio (primeira linha de defesa) é uma prática fundamental de governança. Eles possuem o conhecimento operacional necessário para identificar vulnerabilidades específicas em seus produtos. Integrar controles desde a fase de design e alinhar as estratégias ao apetite de risco organizacional garante que a mitigação de fraudes não seja um obstáculo, mas parte integrante do ciclo de vida do produto.
Incorreto: Centralizar a execução no Compliance remove a responsabilidade de quem gera o risco e pode criar gargalos operacionais. O uso de padrões legados é ineficaz contra novas tipologias de fraude digital, como a identidade sintética mencionada. Delegar a governança e a criação de políticas a terceiros compromete a supervisão regulatória e a capacidade da organização de adaptar seu programa de fraude às suas necessidades específicas e cultura de risco.
Conclusão: A governança eficaz de fraude exige que as linhas de negócio assumam a propriedade dos riscos, integrando controles preventivos e detectivos diretamente no desenvolvimento e gestão dos produtos financeiros.
Incorrect
Correto: A atribuição da responsabilidade aos proprietários das linhas de negócio (primeira linha de defesa) é uma prática fundamental de governança. Eles possuem o conhecimento operacional necessário para identificar vulnerabilidades específicas em seus produtos. Integrar controles desde a fase de design e alinhar as estratégias ao apetite de risco organizacional garante que a mitigação de fraudes não seja um obstáculo, mas parte integrante do ciclo de vida do produto.
Incorreto: Centralizar a execução no Compliance remove a responsabilidade de quem gera o risco e pode criar gargalos operacionais. O uso de padrões legados é ineficaz contra novas tipologias de fraude digital, como a identidade sintética mencionada. Delegar a governança e a criação de políticas a terceiros compromete a supervisão regulatória e a capacidade da organização de adaptar seu programa de fraude às suas necessidades específicas e cultura de risco.
Conclusão: A governança eficaz de fraude exige que as linhas de negócio assumam a propriedade dos riscos, integrando controles preventivos e detectivos diretamente no desenvolvimento e gestão dos produtos financeiros.
-
Question 2 of 29
2. Question
Uma instituição financeira de médio porte está prestes a lançar um novo aplicativo de pagamento instantâneo voltado para o varejo. Durante a fase final de desenvolvimento, o Gerente de Risco de Fraude identifica que os limites transacionais propostos pela equipe de produtos são significativamente superiores aos padrões do setor para novos usuários, o que aumenta consideravelmente o risco de ataques de sequestro de conta (Account Takeover). A equipe de negócios argumenta que limites altos são essenciais para a competitividade e aquisição de clientes. Qual é o próximo passo mais adequado para o Gerente de Risco de Fraude, seguindo as melhores práticas de governança e gestão de risco?
Correct
Correto: De acordo com as melhores práticas de governança (item 1.7 e 1.8), a gestão de risco de fraude deve ser um processo transparente e colaborativo. O Gerente de Risco de Fraude deve fornecer dados quantitativos, como a análise de custo-benefício e o impacto operacional, para que os proprietários do produto (que detêm a responsabilidade pelo risco) e a alta gestão possam tomar uma decisão informada sobre aceitar, mitigar ou transferir o risco residual, garantindo que o apetite ao risco da organização seja respeitado.
Incorreto: Suspender o lançamento sem uma análise técnica ignora a necessidade de equilíbrio entre segurança e viabilidade comercial. Delegar a responsabilidade apenas à TI falha em reconhecer que a propriedade do risco de fraude pertence às linhas de negócio. Ajustar parâmetros secretamente viola os princípios de transparência, pode causar impactos operacionais negativos não planejados na experiência do cliente e não resolve a questão da governança sobre o apetite ao risco.
Incorrect
Correto: De acordo com as melhores práticas de governança (item 1.7 e 1.8), a gestão de risco de fraude deve ser um processo transparente e colaborativo. O Gerente de Risco de Fraude deve fornecer dados quantitativos, como a análise de custo-benefício e o impacto operacional, para que os proprietários do produto (que detêm a responsabilidade pelo risco) e a alta gestão possam tomar uma decisão informada sobre aceitar, mitigar ou transferir o risco residual, garantindo que o apetite ao risco da organização seja respeitado.
Incorreto: Suspender o lançamento sem uma análise técnica ignora a necessidade de equilíbrio entre segurança e viabilidade comercial. Delegar a responsabilidade apenas à TI falha em reconhecer que a propriedade do risco de fraude pertence às linhas de negócio. Ajustar parâmetros secretamente viola os princípios de transparência, pode causar impactos operacionais negativos não planejados na experiência do cliente e não resolve a questão da governança sobre o apetite ao risco.
-
Question 3 of 29
3. Question
Um banco digital de médio porte lançou recentemente uma linha de crédito instantâneo via aplicativo móvel. Durante o primeiro mês de operação, o sistema de monitoramento gerou alertas sobre um padrão de solicitações originadas de uma região geográfica específica, utilizando dispositivos com características técnicas idênticas, embora com identidades diferentes. A equipe de produtos, pressionada por metas de expansão, sugere a flexibilização temporária dos parâmetros de detecção para reduzir os falsos positivos e melhorar a experiência do usuário. Diante desse cenário, qual deve ser a prioridade do gestor de risco de fraude para garantir a integridade do programa de gestão de riscos?
Correct
Correto: De acordo com as melhores práticas de governança e gestão de risco de fraude, qualquer alteração significativa nos controles de detecção deve ser precedida por uma análise técnica detalhada (causa raiz) e submetida ao fórum de governança adequado. Isso garante que a decisão seja baseada em dados e que o apetite ao risco da organização não seja violado por pressões comerciais momentâneas.
Incorreto: Ajustar os parâmetros sem análise técnica ignora sinais claros de fraude (red flags) e expõe a instituição a perdas financeiras severas. Delegar a decisão apenas ao proprietário do produto compromete a segregação de funções e a independência da segunda linha de defesa. Suspender uma região inteira sem investigação prévia é uma medida operacionalmente drástica que pode causar danos reputacionais e excluir clientes legítimos sem resolver a vulnerabilidade técnica subjacente.
Conclusão: A governança de fraude exige que mudanças em controles críticos sejam baseadas em análises de causa raiz e validadas por instâncias de decisão independentes das metas comerciais.
Incorrect
Correto: De acordo com as melhores práticas de governança e gestão de risco de fraude, qualquer alteração significativa nos controles de detecção deve ser precedida por uma análise técnica detalhada (causa raiz) e submetida ao fórum de governança adequado. Isso garante que a decisão seja baseada em dados e que o apetite ao risco da organização não seja violado por pressões comerciais momentâneas.
Incorreto: Ajustar os parâmetros sem análise técnica ignora sinais claros de fraude (red flags) e expõe a instituição a perdas financeiras severas. Delegar a decisão apenas ao proprietário do produto compromete a segregação de funções e a independência da segunda linha de defesa. Suspender uma região inteira sem investigação prévia é uma medida operacionalmente drástica que pode causar danos reputacionais e excluir clientes legítimos sem resolver a vulnerabilidade técnica subjacente.
Conclusão: A governança de fraude exige que mudanças em controles críticos sejam baseadas em análises de causa raiz e validadas por instâncias de decisão independentes das metas comerciais.
-
Question 4 of 29
4. Question
Prezada equipe de Gestão de Risco, estamos finalizando os preparativos para o lançamento do nosso novo serviço de pagamentos instantâneos via aplicativo móvel, previsto para o próximo mês. Como proprietário do produto, recebi o rascunho da política antifraude e notei que há uma discussão sobre quem deve deter a palavra final sobre os limites de transação e os gatilhos de alerta. Considerando as melhores práticas para a construção de um programa de gestão de risco de fraude e a necessidade de equilibrar a experiência do cliente com a segurança operacional, qual deve ser a abordagem adotada pela organização?
Correct
Correto: De acordo com as melhores práticas de governança (como os princípios do COSO e frameworks de gestão de fraude), a primeira linha de defesa — as linhas de negócios e proprietários de produtos — deve ser a proprietária do risco. Eles são responsáveis por identificar riscos inerentes aos seus produtos e garantir que os controles de mitigação sejam eficazes e integrados ao ciclo de vida do produto, utilizando ciclos de feedback para melhoria contínua.
Incorreto: Delegar a responsabilidade apenas à TI ignora a visão de negócio e o apetite de risco da instituição. Centralizar tudo no Compliance remove a responsabilidade de quem gera o risco e pode criar gargalos operacionais. Adotar um monitoramento passivo inicial é extremamente arriscado e viola o princípio de prevenção e detecção precoce, expondo a organização a perdas financeiras e danos reputacionais imediatos.
Conclusão: A gestão eficaz do risco de fraude exige que as linhas de negócios assumam a propriedade do risco, integrando controles desde a concepção do produto e mantendo um ciclo de feedback constante com as áreas de controle e detecção.
Incorrect
Correto: De acordo com as melhores práticas de governança (como os princípios do COSO e frameworks de gestão de fraude), a primeira linha de defesa — as linhas de negócios e proprietários de produtos — deve ser a proprietária do risco. Eles são responsáveis por identificar riscos inerentes aos seus produtos e garantir que os controles de mitigação sejam eficazes e integrados ao ciclo de vida do produto, utilizando ciclos de feedback para melhoria contínua.
Incorreto: Delegar a responsabilidade apenas à TI ignora a visão de negócio e o apetite de risco da instituição. Centralizar tudo no Compliance remove a responsabilidade de quem gera o risco e pode criar gargalos operacionais. Adotar um monitoramento passivo inicial é extremamente arriscado e viola o princípio de prevenção e detecção precoce, expondo a organização a perdas financeiras e danos reputacionais imediatos.
Conclusão: A gestão eficaz do risco de fraude exige que as linhas de negócios assumam a propriedade do risco, integrando controles desde a concepção do produto e mantendo um ciclo de feedback constante com as áreas de controle e detecção.
-
Question 5 of 29
5. Question
Uma instituição financeira de médio porte está expandindo suas operações de carteira digital para um novo mercado internacional conhecido por altos índices de fraude de invasão de conta (Account Takeover – ATO). Durante a fase de planejamento, surge um debate sobre a governança do programa de gestão de risco de fraude para este novo produto. O Diretor de Riscos (CRO) precisa estabelecer quem detém a responsabilidade primária pela eficácia dos controles de fraude e como o ciclo de feedback deve ser estruturado para mitigar perdas operacionais sem prejudicar a experiência do cliente.
Correct
Correto: De acordo com as melhores práticas de governança e o modelo de três linhas de defesa, os proprietários das linhas de negócio (primeira linha) são os responsáveis finais pelos riscos que assumem e pela eficácia dos controles em seus produtos. Eles devem trabalhar em parceria com a gestão de risco de fraude (segunda linha) para garantir que os controles sejam adequados ao perfil de risco e que o ciclo de feedback melhore continuamente os processos de prevenção e detecção.
Incorreto: A Auditoria Interna não deve desenhar controles, pois isso comprometeria sua independência para avaliar esses mesmos controles posteriormente. Focar apenas na Segurança de TI ignora os riscos operacionais e de negócio associados à fraude. A terceirização total para um fornecedor externo sem supervisão interna é uma falha de governança, pois a organização não pode delegar sua responsabilidade final sobre o risco e a conformidade.
Conclusão: A propriedade do risco de fraude deve residir nas linhas de negócio, integrando especialistas em fraude para garantir que os controles sejam eficazes e alinhados ao apetite de risco.
Incorrect
Correto: De acordo com as melhores práticas de governança e o modelo de três linhas de defesa, os proprietários das linhas de negócio (primeira linha) são os responsáveis finais pelos riscos que assumem e pela eficácia dos controles em seus produtos. Eles devem trabalhar em parceria com a gestão de risco de fraude (segunda linha) para garantir que os controles sejam adequados ao perfil de risco e que o ciclo de feedback melhore continuamente os processos de prevenção e detecção.
Incorreto: A Auditoria Interna não deve desenhar controles, pois isso comprometeria sua independência para avaliar esses mesmos controles posteriormente. Focar apenas na Segurança de TI ignora os riscos operacionais e de negócio associados à fraude. A terceirização total para um fornecedor externo sem supervisão interna é uma falha de governança, pois a organização não pode delegar sua responsabilidade final sobre o risco e a conformidade.
Conclusão: A propriedade do risco de fraude deve residir nas linhas de negócio, integrando especialistas em fraude para garantir que os controles sejam eficazes e alinhados ao apetite de risco.
-
Question 6 of 29
6. Question
Durante uma auditoria interna em um banco digital de médio porte, observou-se que o lançamento de uma nova linha de crédito instantâneo via aplicativo móvel resultou em um aumento de 15% nas perdas por fraude de identidade no primeiro trimestre de operação. O relatório de auditoria destaca que, embora a equipe de tecnologia tenha implementado as ferramentas de detecção automatizadas, não houve uma definição clara sobre quem deve monitorar a eficácia contínua dessas regras e ajustar o apetite ao risco conforme novas tipologias de fraude surgem. De acordo com as melhores práticas de governança e os componentes de um programa de gestão de risco de fraude, qual deve ser a atribuição correta de responsabilidade para garantir a eficácia do programa?
Correct
Correto: De acordo com os princípios de governança de risco, os proprietários das linhas de negócios (LOB) são os donos do risco, pois são eles que geram a receita e tomam as decisões sobre o design do produto. Eles devem ser responsáveis por equilibrar a experiência do cliente com os controles de fraude, trabalhando em conjunto com a segunda linha de defesa (Gestão de Riscos/Compliance) para garantir que o produto opere dentro dos limites de perda aceitáveis pela instituição.
Incorreto: Atribuir a responsabilidade apenas à TI ignora que a fraude é um risco de negócio e não apenas um problema técnico. A Auditoria Interna, como terceira linha de defesa, deve avaliar a eficácia dos controles, mas nunca deve gerenciar ou operar as regras de detecção, pois isso comprometeria sua independência. Transferir a responsabilidade total para terceiros é uma falha grave de governança, pois a instituição financeira é a responsável final perante os reguladores e detém o risco residual das operações.
Conclusão: A propriedade do risco de fraude deve residir na linha de negócios, que deve equilibrar a viabilidade comercial do produto com a implementação de controles de mitigação eficazes e contínuos.
Incorrect
Correto: De acordo com os princípios de governança de risco, os proprietários das linhas de negócios (LOB) são os donos do risco, pois são eles que geram a receita e tomam as decisões sobre o design do produto. Eles devem ser responsáveis por equilibrar a experiência do cliente com os controles de fraude, trabalhando em conjunto com a segunda linha de defesa (Gestão de Riscos/Compliance) para garantir que o produto opere dentro dos limites de perda aceitáveis pela instituição.
Incorreto: Atribuir a responsabilidade apenas à TI ignora que a fraude é um risco de negócio e não apenas um problema técnico. A Auditoria Interna, como terceira linha de defesa, deve avaliar a eficácia dos controles, mas nunca deve gerenciar ou operar as regras de detecção, pois isso comprometeria sua independência. Transferir a responsabilidade total para terceiros é uma falha grave de governança, pois a instituição financeira é a responsável final perante os reguladores e detém o risco residual das operações.
Conclusão: A propriedade do risco de fraude deve residir na linha de negócios, que deve equilibrar a viabilidade comercial do produto com a implementação de controles de mitigação eficazes e contínuos.
-
Question 7 of 29
7. Question
Uma instituição financeira de médio porte está planejando lançar uma nova carteira digital voltada para pagamentos instantâneos e transferências entre usuários. Durante a fase de desenvolvimento do produto, surge um debate sobre a governança e a responsabilidade pela gestão do risco de fraude. De acordo com as melhores práticas de gestão de risco de fraude e os princípios de governança corporativa, qual deve ser a atribuição de responsabilidade para garantir a eficácia do programa de mitigação?
Correct
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de gestão de risco de fraude, os proprietários das linhas de negócios (LOB) e de produtos são os donos do risco. Eles possuem o conhecimento mais profundo sobre como o produto funciona e como os clientes interagem com ele, sendo, portanto, os responsáveis por integrar controles de mitigação no design e na operação diária, com o suporte e supervisão da segunda linha de defesa (Gestão de Riscos/Compliance).
Incorreto: A auditoria interna atua como a terceira linha de defesa e deve permanecer independente para avaliar a eficácia dos controles, não devendo desenhá-los. Atribuir a responsabilidade apenas à TI ignora os riscos operacionais, comportamentais e de engenharia social que não são puramente técnicos. O Comitê de Riscos define a estratégia e o apetite ao risco em nível macro, mas não deve se envolver na gestão operacional de regras individuais, o que prejudicaria a agilidade e a eficácia do programa.
Conclusão: A responsabilidade primária pela gestão do risco de fraude reside nos proprietários das linhas de negócios, que devem integrar controles de mitigação no design e na operação de seus produtos.
Incorrect
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de gestão de risco de fraude, os proprietários das linhas de negócios (LOB) e de produtos são os donos do risco. Eles possuem o conhecimento mais profundo sobre como o produto funciona e como os clientes interagem com ele, sendo, portanto, os responsáveis por integrar controles de mitigação no design e na operação diária, com o suporte e supervisão da segunda linha de defesa (Gestão de Riscos/Compliance).
Incorreto: A auditoria interna atua como a terceira linha de defesa e deve permanecer independente para avaliar a eficácia dos controles, não devendo desenhá-los. Atribuir a responsabilidade apenas à TI ignora os riscos operacionais, comportamentais e de engenharia social que não são puramente técnicos. O Comitê de Riscos define a estratégia e o apetite ao risco em nível macro, mas não deve se envolver na gestão operacional de regras individuais, o que prejudicaria a agilidade e a eficácia do programa.
Conclusão: A responsabilidade primária pela gestão do risco de fraude reside nos proprietários das linhas de negócios, que devem integrar controles de mitigação no design e na operação de seus produtos.
-
Question 8 of 29
8. Question
Uma instituição financeira de médio porte está expandindo suas operações para incluir uma nova plataforma de pagamentos instantâneos voltada para pequenas empresas. Durante a fase de estruturação do programa de gestão de risco de fraude, surge uma divergência entre os gestores sobre quem deve deter a propriedade das políticas e a responsabilidade direta pelos riscos associados ao novo produto. De acordo com as melhores práticas de governança e os princípios de gestão de risco de fraude, qual configuração de responsabilidade é a mais adequada?
Correct
Correto: As melhores práticas de gestão de risco de fraude estipulam que a primeira linha de defesa, composta pelos proprietários das linhas de negócios, deve ser a proprietária do risco, pois eles gerenciam o produto e o relacionamento com o cliente. A função de gestão de risco de fraude atua como segunda linha, fornecendo o framework, metodologias e supervisão necessária para garantir que o apetite ao risco da organização seja respeitado.
Incorreto: A opção que sugere a centralização no compliance falha ao remover a responsabilidade de quem gera o risco, o que pode levar a uma desconexão operacional. A opção focada em TI ignora que a fraude possui componentes comportamentais e operacionais que vão além da infraestrutura técnica. A opção que envolve a auditoria interna viola o princípio de independência, pois a auditoria não deve gerenciar controles operacionais que ela mesma terá que avaliar posteriormente.
Conclusão: A propriedade do risco de fraude deve residir nas linhas de negócios, com suporte e supervisão independente de uma função de gestão de risco dedicada.
Incorrect
Correto: As melhores práticas de gestão de risco de fraude estipulam que a primeira linha de defesa, composta pelos proprietários das linhas de negócios, deve ser a proprietária do risco, pois eles gerenciam o produto e o relacionamento com o cliente. A função de gestão de risco de fraude atua como segunda linha, fornecendo o framework, metodologias e supervisão necessária para garantir que o apetite ao risco da organização seja respeitado.
Incorreto: A opção que sugere a centralização no compliance falha ao remover a responsabilidade de quem gera o risco, o que pode levar a uma desconexão operacional. A opção focada em TI ignora que a fraude possui componentes comportamentais e operacionais que vão além da infraestrutura técnica. A opção que envolve a auditoria interna viola o princípio de independência, pois a auditoria não deve gerenciar controles operacionais que ela mesma terá que avaliar posteriormente.
Conclusão: A propriedade do risco de fraude deve residir nas linhas de negócios, com suporte e supervisão independente de uma função de gestão de risco dedicada.
-
Question 9 of 29
9. Question
Um Gerente de Risco de Fraude em uma instituição financeira de médio porte está supervisionando a expansão de uma nova carteira digital para um mercado internacional emergente. Relatórios de inteligência indicam que essa região apresenta uma alta incidência de ataques de invasão de conta (Account Takeover – ATO) e fraude de identidade sintética. A diretoria executiva expressou preocupação com o equilíbrio entre a implementação de controles rigorosos e a manutenção de uma experiência de usuário fluida para atrair novos clientes. Considerando as melhores práticas para o desenvolvimento de uma estrutura de gerenciamento de risco de fraude, qual deve ser a ação prioritária do gerente antes do lançamento oficial do produto?
Correct
Correto: A realização de uma avaliação de risco de fraude específica para o produto e a região, em conjunto com os proprietários da linha de negócios, é fundamental para alinhar os controles ao apetite de risco da organização. Isso permite que a instituição identifique vulnerabilidades específicas (como ATO e identidade sintética) e implemente uma estratégia de mitigação baseada em risco que equilibre a segurança com os objetivos operacionais e a experiência do cliente.
Incorreto: Replicar modelos domésticos é ineficaz, pois ignora as tipologias de fraude e o comportamento do cliente específicos da nova região. A implementação de autenticação rígida para todas as transações pode causar fricção excessiva, prejudicando a adoção do produto e ignorando a análise de custo-benefício. Delegar a responsabilidade apenas à segurança cibernética falha em reconhecer que a gestão de fraude exige uma abordagem multidisciplinar e a propriedade da linha de negócios sobre os riscos operacionais.
Conclusão: Uma gestão de risco de fraude eficaz exige uma avaliação proativa e específica para cada produto e mercado, integrando a visão de negócios com os controles de mitigação para respeitar o apetite ao risco da organização.
Incorrect
Correto: A realização de uma avaliação de risco de fraude específica para o produto e a região, em conjunto com os proprietários da linha de negócios, é fundamental para alinhar os controles ao apetite de risco da organização. Isso permite que a instituição identifique vulnerabilidades específicas (como ATO e identidade sintética) e implemente uma estratégia de mitigação baseada em risco que equilibre a segurança com os objetivos operacionais e a experiência do cliente.
Incorreto: Replicar modelos domésticos é ineficaz, pois ignora as tipologias de fraude e o comportamento do cliente específicos da nova região. A implementação de autenticação rígida para todas as transações pode causar fricção excessiva, prejudicando a adoção do produto e ignorando a análise de custo-benefício. Delegar a responsabilidade apenas à segurança cibernética falha em reconhecer que a gestão de fraude exige uma abordagem multidisciplinar e a propriedade da linha de negócios sobre os riscos operacionais.
Conclusão: Uma gestão de risco de fraude eficaz exige uma avaliação proativa e específica para cada produto e mercado, integrando a visão de negócios com os controles de mitigação para respeitar o apetite ao risco da organização.
-
Question 10 of 29
10. Question
Prezada Equipe de Risco, estamos finalizando o desenvolvimento de uma nova funcionalidade de pagamento instantâneo que será lançada no próximo trimestre. Como proprietário do produto, minha prioridade é garantir uma jornada do cliente sem atritos. No entanto, reconheço a necessidade de alinhar nosso programa de gestão de risco de fraude às melhores práticas do setor. Diante da implementação de novos controles de detecção e prevenção, qual é a abordagem correta em relação à propriedade do risco de fraude e à responsabilidade pelas decisões de aceitação de risco residual?
Correct
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de governança de risco de fraude, a primeira linha de defesa (unidades de negócio e proprietários de produtos) é a proprietária do risco. Eles são responsáveis por identificar, avaliar e gerenciar os riscos associados aos seus produtos, o que inclui a decisão fundamentada de aceitar o risco residual, desde que este esteja alinhado com o apetite de risco estabelecido pela alta administração.
Incorreto: A sugestão de que o departamento de fraude deve ser o proprietário do risco está incorreta, pois esta área atua como segunda linha de defesa, fornecendo supervisão, diretrizes e suporte técnico, mas não deve gerenciar o risco operacional do produto. A auditoria externa é uma função de asseguração e não possui autoridade executiva para aceitar riscos em nome da gestão. Por fim, a responsabilidade regulatória e o risco de reputação não podem ser totalmente transferidos para fornecedores terceirizados, permanecendo sempre com a instituição financeira.
Conclusão: A propriedade do risco de fraude reside na linha de negócios, que deve equilibrar a inovação de produtos com a responsabilidade pela aceitação do risco residual.
Incorrect
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de governança de risco de fraude, a primeira linha de defesa (unidades de negócio e proprietários de produtos) é a proprietária do risco. Eles são responsáveis por identificar, avaliar e gerenciar os riscos associados aos seus produtos, o que inclui a decisão fundamentada de aceitar o risco residual, desde que este esteja alinhado com o apetite de risco estabelecido pela alta administração.
Incorreto: A sugestão de que o departamento de fraude deve ser o proprietário do risco está incorreta, pois esta área atua como segunda linha de defesa, fornecendo supervisão, diretrizes e suporte técnico, mas não deve gerenciar o risco operacional do produto. A auditoria externa é uma função de asseguração e não possui autoridade executiva para aceitar riscos em nome da gestão. Por fim, a responsabilidade regulatória e o risco de reputação não podem ser totalmente transferidos para fornecedores terceirizados, permanecendo sempre com a instituição financeira.
Conclusão: A propriedade do risco de fraude reside na linha de negócios, que deve equilibrar a inovação de produtos com a responsabilidade pela aceitação do risco residual.
-
Question 11 of 29
11. Question
Uma instituição financeira de médio porte está prestes a lançar uma nova carteira digital que permite transferências instantâneas entre usuários e pagamentos via QR Code. Durante a fase de planejamento, surge uma discussão sobre a responsabilidade pela identificação de riscos de fraude e a implementação de controles preventivos. De acordo com as melhores práticas de governança de risco de fraude e o modelo de três linhas de defesa, qual deve ser a abordagem adotada pela organização para garantir a eficácia do programa?
Correct
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de gestão de risco de fraude, a primeira linha de defesa (proprietários de produtos e linhas de negócios) é a proprietária do risco. Eles são responsáveis por identificar, avaliar e mitigar os riscos de fraude inerentes aos seus produtos e processos operacionais. A equipe de gestão de risco de fraude atua como segunda linha, fornecendo diretrizes, ferramentas e supervisão, mas a execução e a responsabilidade direta residem na unidade de negócios que gera o risco.
Incorreto: A auditoria interna, como terceira linha de defesa, deve manter sua independência para avaliar a eficácia dos controles e não deve participar do desenho ou implementação dos mesmos para evitar conflitos de interesse. Delegar a responsabilidade apenas à TI ignora fraudes que exploram processos operacionais e engenharia social. Isolar a responsabilidade no compliance remove a prestação de contas da linha de frente, onde o risco é gerado, enfraquecendo a cultura de risco da organização.
Conclusão: A primeira linha de defesa, composta pelos proprietários de produtos e unidades de negócios, detém a responsabilidade primária pela gestão e mitigação dos riscos de fraude em seus respectivos processos e produtos.
Incorrect
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de gestão de risco de fraude, a primeira linha de defesa (proprietários de produtos e linhas de negócios) é a proprietária do risco. Eles são responsáveis por identificar, avaliar e mitigar os riscos de fraude inerentes aos seus produtos e processos operacionais. A equipe de gestão de risco de fraude atua como segunda linha, fornecendo diretrizes, ferramentas e supervisão, mas a execução e a responsabilidade direta residem na unidade de negócios que gera o risco.
Incorreto: A auditoria interna, como terceira linha de defesa, deve manter sua independência para avaliar a eficácia dos controles e não deve participar do desenho ou implementação dos mesmos para evitar conflitos de interesse. Delegar a responsabilidade apenas à TI ignora fraudes que exploram processos operacionais e engenharia social. Isolar a responsabilidade no compliance remove a prestação de contas da linha de frente, onde o risco é gerado, enfraquecendo a cultura de risco da organização.
Conclusão: A primeira linha de defesa, composta pelos proprietários de produtos e unidades de negócios, detém a responsabilidade primária pela gestão e mitigação dos riscos de fraude em seus respectivos processos e produtos.
-
Question 12 of 29
12. Question
Uma instituição financeira de médio porte está planejando lançar uma nova plataforma de pagamentos instantâneos para clientes de varejo em um prazo de 60 dias. Durante a fase de desenvolvimento, surge uma discussão sobre a governança e a estrutura do programa de gestão de risco de fraude para este novo canal. O Diretor de Riscos (CRO) busca estabelecer uma estrutura que garanta a conformidade regulatória e a eficácia operacional antes do lançamento oficial. Qual abordagem melhor reflete as melhores práticas de governança e propriedade de políticas em um programa robusto de gestão de risco de fraude?
Correct
Correto: De acordo com o modelo de três linhas de defesa, a primeira linha (proprietários de negócios e produtos) é responsável por identificar e gerenciar os riscos inerentes às suas atividades. Eles devem colaborar com a segunda linha (gestão de riscos e fraude) para garantir que os controles sejam adequados ao apetite de risco, garantindo que a responsabilidade operacional permaneça onde o risco é gerado.
Incorreto: A Auditoria Interna atua como a terceira linha de defesa e deve permanecer independente; se ela desenhasse as políticas, haveria um conflito de interesses ao auditá-las. O departamento de TI fornece suporte tecnológico, mas não possui a autoridade de negócio para definir o apetite de risco. Centralizar tudo no Compliance isola a gestão de riscos da realidade operacional, o que frequentemente resulta em controles que não acompanham as tendências de fraude específicas do produto.
Conclusão: A propriedade do risco de fraude deve residir na linha de negócios, com suporte técnico e supervisão das funções de risco e compliance para garantir uma defesa eficaz.
Incorrect
Correto: De acordo com o modelo de três linhas de defesa, a primeira linha (proprietários de negócios e produtos) é responsável por identificar e gerenciar os riscos inerentes às suas atividades. Eles devem colaborar com a segunda linha (gestão de riscos e fraude) para garantir que os controles sejam adequados ao apetite de risco, garantindo que a responsabilidade operacional permaneça onde o risco é gerado.
Incorreto: A Auditoria Interna atua como a terceira linha de defesa e deve permanecer independente; se ela desenhasse as políticas, haveria um conflito de interesses ao auditá-las. O departamento de TI fornece suporte tecnológico, mas não possui a autoridade de negócio para definir o apetite de risco. Centralizar tudo no Compliance isola a gestão de riscos da realidade operacional, o que frequentemente resulta em controles que não acompanham as tendências de fraude específicas do produto.
Conclusão: A propriedade do risco de fraude deve residir na linha de negócios, com suporte técnico e supervisão das funções de risco e compliance para garantir uma defesa eficaz.
-
Question 13 of 29
13. Question
Uma instituição financeira de médio porte está planejando lançar uma nova funcionalidade de pagamento instantâneo em seu aplicativo móvel para expandir sua base de clientes jovens. Durante a fase de design, a equipe de produtos argumenta que a implementação de verificações de segurança rigorosas e autenticação multifatorial em todas as transações pode prejudicar a experiência do usuário e levar ao abandono do serviço. De acordo com as melhores práticas de governança e gestão de risco de fraude, qual deve ser a abordagem da organização em relação à propriedade do risco e ao desenvolvimento de controles para este novo produto?
Correct
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de gestão de fraude, a primeira linha (linhas de negócios e proprietários de produtos) possui o risco e é responsável por gerenciá-lo. Eles devem trabalhar em conjunto com a segunda linha (gestão de risco/conformidade) para garantir que os controles sejam proporcionais ao apetite de risco da organização, permitindo o crescimento do negócio de forma segura e sustentável.
Incorreto: Atribuir a propriedade total apenas à equipe de risco cria um silo organizacional onde a linha de negócios não se sente responsável pelas perdas por fraude. A transferência de responsabilidade para terceiros é ineficaz, pois a instituição financeira permanece legalmente responsável perante os reguladores. A auditoria interna deve permanecer independente para avaliar a eficácia dos controles, não devendo participar da definição inicial ou execução dos mesmos para evitar conflitos de interesse.
Conclusão: A propriedade do risco de fraude pertence às linhas de negócios, que devem equilibrar a experiência do cliente com controles preventivos robustos em colaboração com as áreas de risco.
Incorrect
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de gestão de fraude, a primeira linha (linhas de negócios e proprietários de produtos) possui o risco e é responsável por gerenciá-lo. Eles devem trabalhar em conjunto com a segunda linha (gestão de risco/conformidade) para garantir que os controles sejam proporcionais ao apetite de risco da organização, permitindo o crescimento do negócio de forma segura e sustentável.
Incorreto: Atribuir a propriedade total apenas à equipe de risco cria um silo organizacional onde a linha de negócios não se sente responsável pelas perdas por fraude. A transferência de responsabilidade para terceiros é ineficaz, pois a instituição financeira permanece legalmente responsável perante os reguladores. A auditoria interna deve permanecer independente para avaliar a eficácia dos controles, não devendo participar da definição inicial ou execução dos mesmos para evitar conflitos de interesse.
Conclusão: A propriedade do risco de fraude pertence às linhas de negócios, que devem equilibrar a experiência do cliente com controles preventivos robustos em colaboração com as áreas de risco.
-
Question 14 of 29
14. Question
De: Diretor de Produtos Digitais
Para: Gerente de Risco de Fraude
Assunto: Lançamento do Novo Aplicativo de Pagamentos InstantâneosEstamos a 30 dias do lançamento do nosso novo aplicativo de pagamentos instantâneos, o ‘QuickCash’. Para garantir uma experiência de usuário sem atritos, a equipe de produto sugere que as regras de detecção de fraude sejam implementadas apenas após os primeiros três meses de operação, permitindo-nos coletar dados reais sobre o comportamento dos clientes antes de restringir transações. Como devemos proceder para garantir que a governança de risco de fraude seja respeitada sem comprometer a agilidade do negócio?
Correct
Correto: De acordo com as melhores práticas de gestão de risco de fraude, as linhas de negócios e os proprietários de produtos são a primeira linha de defesa. Eles possuem a responsabilidade de identificar riscos e implementar controles adequados antes do lançamento de novos produtos ou expansões. Realizar uma avaliação de risco prévia permite que a organização estabeleça um apetite ao risco claro e implemente mitigações proporcionais, garantindo que o risco não seja negligenciado em prol da conveniência operacional.
Incorreto: Transferir a responsabilidade financeira para a equipe de monitoramento centralizada falha em estabelecer a propriedade do risco na unidade de negócio. Delegar a responsabilidade apenas à TI ignora o contexto de negócio necessário para definir regras eficazes. Suspender o lançamento por 12 meses para obter dados de concorrentes é uma medida desproporcional que ignora a necessidade de uma abordagem baseada em risco que permita o funcionamento do negócio com controles adequados.
Conclusão: Os proprietários de produtos são responsáveis por integrar a gestão de risco de fraude no ciclo de vida de desenvolvimento de novos produtos e serviços.
Incorrect
Correto: De acordo com as melhores práticas de gestão de risco de fraude, as linhas de negócios e os proprietários de produtos são a primeira linha de defesa. Eles possuem a responsabilidade de identificar riscos e implementar controles adequados antes do lançamento de novos produtos ou expansões. Realizar uma avaliação de risco prévia permite que a organização estabeleça um apetite ao risco claro e implemente mitigações proporcionais, garantindo que o risco não seja negligenciado em prol da conveniência operacional.
Incorreto: Transferir a responsabilidade financeira para a equipe de monitoramento centralizada falha em estabelecer a propriedade do risco na unidade de negócio. Delegar a responsabilidade apenas à TI ignora o contexto de negócio necessário para definir regras eficazes. Suspender o lançamento por 12 meses para obter dados de concorrentes é uma medida desproporcional que ignora a necessidade de uma abordagem baseada em risco que permita o funcionamento do negócio com controles adequados.
Conclusão: Os proprietários de produtos são responsáveis por integrar a gestão de risco de fraude no ciclo de vida de desenvolvimento de novos produtos e serviços.
-
Question 15 of 29
15. Question
Como Gerente de Risco de Fraude de um banco digital que está expandindo suas operações para uma nova região geográfica nos próximos seis meses, você recebeu um relatório de inteligência indicando um aumento projetado de 20% em tentativas de ‘account takeover’ (ATO) em mercados similares. O Diretor de Produtos expressou preocupação de que a implementação de novos controles de autenticação rigorosos possa prejudicar a experiência do usuário e aumentar o abandono de transações. Diante desse cenário e considerando os componentes de uma estrutura robusta de gestão de risco de fraude, qual deve ser a sua abordagem principal para garantir a eficácia do programa durante esta expansão?
Correct
Correto: De acordo com as melhores práticas de gestão de risco de fraude (item 1.6), é essencial realizar uma análise de custo-benefício. Esta análise deve considerar não apenas as perdas financeiras diretas, mas também o custo de implementação, a exposição ao risco e o impacto operacional. Isso permite que a organização tome decisões informadas que alinhem a proteção contra fraudes com os objetivos de negócio e o apetite de risco definido pela governança.
Incorreto: Delegar a responsabilidade total aos proprietários de produtos ignora a necessidade de uma governança centralizada e a supervisão da segunda linha de defesa. Adiar a implementação de controles até que as perdas ocorram viola o princípio do ciclo de vida de mitigação de fraude, que enfatiza a prevenção e a detecção precoce. Aplicar regras domésticas sem adaptação geográfica ignora os sinais de alerta específicos e as tendências locais, o que pode resultar em alta taxa de falsos positivos ou falhas na detecção.
Conclusão: Uma gestão de risco de fraude eficaz exige o equilíbrio entre a proteção e a viabilidade operacional por meio de análises de custo-benefício e alinhamento com o apetite de risco organizacional.
Incorrect
Correto: De acordo com as melhores práticas de gestão de risco de fraude (item 1.6), é essencial realizar uma análise de custo-benefício. Esta análise deve considerar não apenas as perdas financeiras diretas, mas também o custo de implementação, a exposição ao risco e o impacto operacional. Isso permite que a organização tome decisões informadas que alinhem a proteção contra fraudes com os objetivos de negócio e o apetite de risco definido pela governança.
Incorreto: Delegar a responsabilidade total aos proprietários de produtos ignora a necessidade de uma governança centralizada e a supervisão da segunda linha de defesa. Adiar a implementação de controles até que as perdas ocorram viola o princípio do ciclo de vida de mitigação de fraude, que enfatiza a prevenção e a detecção precoce. Aplicar regras domésticas sem adaptação geográfica ignora os sinais de alerta específicos e as tendências locais, o que pode resultar em alta taxa de falsos positivos ou falhas na detecção.
Conclusão: Uma gestão de risco de fraude eficaz exige o equilíbrio entre a proteção e a viabilidade operacional por meio de análises de custo-benefício e alinhamento com o apetite de risco organizacional.
-
Question 16 of 29
16. Question
Uma instituição financeira de médio porte está planejando expandir sua atuação para o mercado de microcrédito digital, permitindo a aprovação instantânea de empréstimos por meio de um aplicativo móvel. Durante a fase de desenvolvimento, surge um debate sobre a responsabilidade pela definição dos controles de fraude para este novo produto. De acordo com as melhores práticas de governança e gestão de risco de fraude, qual deve ser a abordagem adotada pela organização para garantir a eficácia do programa?
Correct
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de gestão de fraude, as linhas de negócio (primeira linha) são as proprietárias dos riscos que geram. Elas possuem o conhecimento operacional mais profundo sobre o produto e devem integrar controles de fraude no fluxo de trabalho desde a concepção, enquanto a equipe de gestão de risco de fraude (segunda linha) fornece o framework, as ferramentas e o desafio necessário para garantir a conformidade.
Incorreto: Centralizar a execução na equipe de risco remove a responsabilidade de quem toma as decisões comerciais e pode criar gargalos operacionais. Delegar apenas à TI ignora que a fraude muitas vezes envolve manipulação de processos de negócio e engenharia social, não apenas falhas técnicas. Adiar a implementação de controles até após o lançamento expõe a organização a perdas financeiras e danos reputacionais severos, violando o princípio da prevenção no ciclo de vida da fraude.
Conclusão: A responsabilidade primária pela gestão de riscos de fraude reside nas linhas de negócio, que devem atuar em colaboração com a equipe de risco para integrar controles preventivos no design de novos produtos.
Incorrect
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de gestão de fraude, as linhas de negócio (primeira linha) são as proprietárias dos riscos que geram. Elas possuem o conhecimento operacional mais profundo sobre o produto e devem integrar controles de fraude no fluxo de trabalho desde a concepção, enquanto a equipe de gestão de risco de fraude (segunda linha) fornece o framework, as ferramentas e o desafio necessário para garantir a conformidade.
Incorreto: Centralizar a execução na equipe de risco remove a responsabilidade de quem toma as decisões comerciais e pode criar gargalos operacionais. Delegar apenas à TI ignora que a fraude muitas vezes envolve manipulação de processos de negócio e engenharia social, não apenas falhas técnicas. Adiar a implementação de controles até após o lançamento expõe a organização a perdas financeiras e danos reputacionais severos, violando o princípio da prevenção no ciclo de vida da fraude.
Conclusão: A responsabilidade primária pela gestão de riscos de fraude reside nas linhas de negócio, que devem atuar em colaboração com a equipe de risco para integrar controles preventivos no design de novos produtos.
-
Question 17 of 29
17. Question
Uma instituição financeira de médio porte está expandindo suas operações de carteira digital para um novo mercado regional que apresenta um histórico elevado de fraudes de invasão de conta (Account Takeover – ATO). Durante a fase de planejamento estratégico, a diretoria solicita a definição clara das responsabilidades para o desenvolvimento e a manutenção dos controles de mitigação de fraude para este novo produto. Considerando as melhores práticas de governança e os requisitos para a construção de um programa de gestão de risco de fraude, qual deve ser a abordagem adotada pela instituição em relação à propriedade das políticas e procedimentos?
Correct
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de gestão de risco de fraude, as linhas de negócio (primeira linha) são as proprietárias dos riscos que geram e, portanto, devem ser responsáveis por implementar e manter controles eficazes integrados aos seus processos. A função de gestão de risco de fraude (segunda linha) atua como um parceiro estratégico, definindo políticas, fornecendo metodologias e exercendo a supervisão necessária para garantir que o apetite ao risco da organização seja respeitado.
Incorreto: Atribuir a responsabilidade total à segurança da informação ignora que a fraude tem impactos operacionais e financeiros que vão além da infraestrutura técnica. A auditoria interna (terceira linha) deve permanecer independente para avaliar a eficácia dos controles posteriormente e não deve participar do seu desenho inicial para evitar conflitos de interesse. A terceirização de tecnologia pode auxiliar na detecção, mas a propriedade do risco e a responsabilidade final pela conformidade e proteção do cliente permanecem com a instituição financeira.
Conclusão: A propriedade do risco de fraude e a responsabilidade primária pelos controles devem residir nas linhas de negócio, apoiadas por uma função de gestão de risco independente e centralizada.
Incorrect
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de gestão de risco de fraude, as linhas de negócio (primeira linha) são as proprietárias dos riscos que geram e, portanto, devem ser responsáveis por implementar e manter controles eficazes integrados aos seus processos. A função de gestão de risco de fraude (segunda linha) atua como um parceiro estratégico, definindo políticas, fornecendo metodologias e exercendo a supervisão necessária para garantir que o apetite ao risco da organização seja respeitado.
Incorreto: Atribuir a responsabilidade total à segurança da informação ignora que a fraude tem impactos operacionais e financeiros que vão além da infraestrutura técnica. A auditoria interna (terceira linha) deve permanecer independente para avaliar a eficácia dos controles posteriormente e não deve participar do seu desenho inicial para evitar conflitos de interesse. A terceirização de tecnologia pode auxiliar na detecção, mas a propriedade do risco e a responsabilidade final pela conformidade e proteção do cliente permanecem com a instituição financeira.
Conclusão: A propriedade do risco de fraude e a responsabilidade primária pelos controles devem residir nas linhas de negócio, apoiadas por uma função de gestão de risco independente e centralizada.
-
Question 18 of 29
18. Question
Uma instituição financeira de médio porte está em processo de expansão de sua plataforma de serviços digitais, planejando o lançamento de uma funcionalidade de crédito instantâneo via aplicativo móvel. Durante as reuniões de planejamento, a equipe de desenvolvimento de produtos sugere a simplificação dos processos de verificação de identidade para reduzir o atrito na jornada do cliente e aumentar a taxa de conversão. O Gerente de Risco de Fraude deve intervir para garantir que o programa de gestão de risco de fraude seja mantido de forma robusta. De acordo com as melhores práticas de governança e os componentes de uma estrutura de gestão de risco de fraude, qual deve ser a ação prioritária?
Correct
Correto: De acordo com os princípios de governança de risco de fraude, a propriedade das políticas e a responsabilidade pelo risco devem residir nas linhas de negócio e nos proprietários dos produtos. Eles devem equilibrar os objetivos comerciais com a implementação de controles eficazes de prevenção e detecção, garantindo que o risco de fraude seja mitigado desde a fase de design (fraud by design).
Incorreto: Delegar a autoridade final apenas à TI ignora a natureza multidisciplinar do risco de fraude e a responsabilidade estratégica do negócio. Suspender o lançamento para uma auditoria externa completa antes mesmo da implementação pode ser desproporcional e não substitui a governança interna contínua. Focar exclusivamente na redução de custos e aceitar riscos sem controles adequados viola os princípios fundamentais de segurança e exposição ao risco da organização.
Conclusão: A gestão eficaz do risco de fraude exige que as linhas de negócio assumam a responsabilidade primária pelos riscos que geram, integrando controles robustos ao ciclo de vida do produto.
Incorrect
Correto: De acordo com os princípios de governança de risco de fraude, a propriedade das políticas e a responsabilidade pelo risco devem residir nas linhas de negócio e nos proprietários dos produtos. Eles devem equilibrar os objetivos comerciais com a implementação de controles eficazes de prevenção e detecção, garantindo que o risco de fraude seja mitigado desde a fase de design (fraud by design).
Incorreto: Delegar a autoridade final apenas à TI ignora a natureza multidisciplinar do risco de fraude e a responsabilidade estratégica do negócio. Suspender o lançamento para uma auditoria externa completa antes mesmo da implementação pode ser desproporcional e não substitui a governança interna contínua. Focar exclusivamente na redução de custos e aceitar riscos sem controles adequados viola os princípios fundamentais de segurança e exposição ao risco da organização.
Conclusão: A gestão eficaz do risco de fraude exige que as linhas de negócio assumam a responsabilidade primária pelos riscos que geram, integrando controles robustos ao ciclo de vida do produto.
-
Question 19 of 29
19. Question
O Banco Delta está expandindo sua oferta de serviços financeiros digitais com o lançamento de uma nova carteira eletrônica voltada para o público jovem. Durante o desenvolvimento da estrutura de gerenciamento de risco de fraude para este novo produto, a diretoria questiona sobre a atribuição de responsabilidades e a governança do programa. De acordo com as melhores práticas do setor e os requisitos regulatórios para a construção de um programa robusto, qual deve ser a abordagem correta em relação à propriedade do risco e ao desenvolvimento de controles?
Correct
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de gestão de risco de fraude, as unidades de negócio (primeira linha) são as proprietárias dos riscos que geram. Elas devem ser responsáveis por identificar, avaliar e mitigar esses riscos, trabalhando em conjunto com a segunda linha (gestão de fraude/compliance) para garantir que os controles de prevenção e detecção sejam incorporados ao ciclo de vida do produto desde o início (fraud by design).
Incorreto: A centralização exclusiva no Compliance ou na TI remove a responsabilidade de quem melhor conhece o produto e o comportamento do cliente, criando lacunas na identificação de riscos específicos. Delegar a propriedade a consultores externos é inadequado, pois a responsabilidade final pela gestão de riscos e pela conformidade regulatória deve permanecer dentro da governança interna da instituição.
Conclusão: A gestão eficaz de fraudes exige que as linhas de negócios assumam a propriedade primária do risco, integrando controles preventivos e de detecção em colaboração com as áreas especialistas.
Incorrect
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de gestão de risco de fraude, as unidades de negócio (primeira linha) são as proprietárias dos riscos que geram. Elas devem ser responsáveis por identificar, avaliar e mitigar esses riscos, trabalhando em conjunto com a segunda linha (gestão de fraude/compliance) para garantir que os controles de prevenção e detecção sejam incorporados ao ciclo de vida do produto desde o início (fraud by design).
Incorreto: A centralização exclusiva no Compliance ou na TI remove a responsabilidade de quem melhor conhece o produto e o comportamento do cliente, criando lacunas na identificação de riscos específicos. Delegar a propriedade a consultores externos é inadequado, pois a responsabilidade final pela gestão de riscos e pela conformidade regulatória deve permanecer dentro da governança interna da instituição.
Conclusão: A gestão eficaz de fraudes exige que as linhas de negócios assumam a propriedade primária do risco, integrando controles preventivos e de detecção em colaboração com as áreas especialistas.
-
Question 20 of 29
20. Question
Uma instituição financeira de médio porte está expandindo suas operações para incluir uma nova plataforma de pagamentos instantâneos voltada a pequenos empreendedores. Durante a fase de desenho do programa de gestão de risco de fraude, a equipe de conformidade observa que, embora existam ferramentas de detecção, os proprietários do produto estão priorizando a agilidade das transações em detrimento de alguns controles preventivos. De acordo com as melhores práticas de governança e o ciclo de vida de mitigação de fraude, qual deve ser a ação imediata do Gerente de Risco de Fraude para garantir a eficácia do programa?
Correct
Correto: A colaboração entre a gestão de risco e os proprietários do produto é fundamental para alinhar os controles ao apetite de risco da organização. O estabelecimento de um ciclo de feedback é uma prática essencial do ciclo de vida de mitigação de fraude, permitindo que o sistema de detecção evolua e se adapte aos padrões reais de comportamento dos usuários e às novas tipologias de fraude que surgirem após o lançamento.
Incorreto: A implementação unilateral de controles rigorosos pode inviabilizar o produto comercialmente devido ao alto índice de falsos positivos e impacto negativo na experiência do cliente. Delegar a responsabilidade apenas ao TI ignora que a propriedade das políticas de fraude deve residir nas linhas de negócio e na gestão de risco. Suspender o lançamento para coletar dados de concorrentes por um longo período é uma medida desproporcional que não substitui a necessidade de monitoramento em tempo real e ajustes dinâmicos.
Conclusão: A gestão eficaz de fraudes requer o alinhamento entre o apetite ao risco do negócio e a implementação de ciclos de feedback contínuos para o aprimoramento dos controles.
Incorrect
Correto: A colaboração entre a gestão de risco e os proprietários do produto é fundamental para alinhar os controles ao apetite de risco da organização. O estabelecimento de um ciclo de feedback é uma prática essencial do ciclo de vida de mitigação de fraude, permitindo que o sistema de detecção evolua e se adapte aos padrões reais de comportamento dos usuários e às novas tipologias de fraude que surgirem após o lançamento.
Incorreto: A implementação unilateral de controles rigorosos pode inviabilizar o produto comercialmente devido ao alto índice de falsos positivos e impacto negativo na experiência do cliente. Delegar a responsabilidade apenas ao TI ignora que a propriedade das políticas de fraude deve residir nas linhas de negócio e na gestão de risco. Suspender o lançamento para coletar dados de concorrentes por um longo período é uma medida desproporcional que não substitui a necessidade de monitoramento em tempo real e ajustes dinâmicos.
Conclusão: A gestão eficaz de fraudes requer o alinhamento entre o apetite ao risco do negócio e a implementação de ciclos de feedback contínuos para o aprimoramento dos controles.
-
Question 21 of 29
21. Question
Uma instituição financeira de médio porte está expandindo sua oferta de serviços digitais com o lançamento de uma nova plataforma de pagamentos instantâneos. Durante a fase de desenvolvimento do programa de gestão de risco de fraude para este novo produto, surge um debate sobre a atribuição de responsabilidades. De acordo com as melhores práticas de governança e os princípios de gestão de risco de fraude, a quem deve ser atribuída a propriedade primária dos riscos de fraude e a implementação dos controles operacionais específicos para este novo produto?
Correct
Correto: De acordo com o modelo de três linhas de defesa, a primeira linha (unidades de negócios e proprietários de produtos) detém a propriedade dos riscos. Eles são responsáveis por identificar, avaliar e mitigar os riscos associados aos produtos que gerenciam, garantindo que os controles de fraude sejam incorporados diretamente no fluxo de trabalho operacional e no design do produto.
Incorreto: A auditoria interna atua como a terceira linha de defesa e deve manter a independência, avaliando a eficácia dos controles em vez de desenhá-los ou operá-los. A equipe de gestão de risco de fraude corporativa atua na segunda linha, fornecendo supervisão, metodologias e suporte, mas não deve assumir a responsabilidade operacional direta que pertence ao negócio. Consultores externos podem fornecer assistência técnica, mas a responsabilidade e a propriedade do risco não podem ser terceirizadas.
Conclusão: A responsabilidade primária pela gestão e mitigação de riscos de fraude pertence às linhas de negócios e proprietários de produtos, atuando como a primeira linha de defesa da organização.
Incorrect
Correto: De acordo com o modelo de três linhas de defesa, a primeira linha (unidades de negócios e proprietários de produtos) detém a propriedade dos riscos. Eles são responsáveis por identificar, avaliar e mitigar os riscos associados aos produtos que gerenciam, garantindo que os controles de fraude sejam incorporados diretamente no fluxo de trabalho operacional e no design do produto.
Incorreto: A auditoria interna atua como a terceira linha de defesa e deve manter a independência, avaliando a eficácia dos controles em vez de desenhá-los ou operá-los. A equipe de gestão de risco de fraude corporativa atua na segunda linha, fornecendo supervisão, metodologias e suporte, mas não deve assumir a responsabilidade operacional direta que pertence ao negócio. Consultores externos podem fornecer assistência técnica, mas a responsabilidade e a propriedade do risco não podem ser terceirizadas.
Conclusão: A responsabilidade primária pela gestão e mitigação de riscos de fraude pertence às linhas de negócios e proprietários de produtos, atuando como a primeira linha de defesa da organização.
-
Question 22 of 29
22. Question
Durante uma auditoria interna em um banco comercial de médio porte que está expandindo suas operações para pagamentos instantâneos, os auditores observaram que o programa de gestão de risco de fraude não define claramente as responsabilidades após o lançamento de novos produtos. O relatório de auditoria destaca que, embora a equipe de Prevenção à Fraude monitore os alertas, as decisões sobre o apetite ao risco e os ajustes nos controles para o novo canal de pagamento permanecem ambíguas entre os departamentos. De acordo com as melhores práticas de governança e os componentes de um quadro de gestão de risco de fraude, qual deve ser a atribuição de responsabilidade para garantir a eficácia contínua do programa?
Correct
Correto: De acordo com as melhores práticas de gestão de risco (modelo de três linhas de defesa), a propriedade do risco deve residir na primeira linha, ou seja, nas linhas de negócios e proprietários de produtos. Eles são os responsáveis por identificar os riscos inerentes às suas atividades e garantir que os controles sejam adequados ao apetite de risco definido pela organização, contando com o suporte técnico e o desafio da segunda linha (gestão de riscos/fraude).
Incorreto: Centralizar a responsabilidade apenas no Compliance isola a gestão de riscos da realidade operacional do negócio. Transferir a responsabilidade para fornecedores externos é um erro grave de governança, pois a instituição financeira retém a responsabilidade regulatória final. O Comitê de Auditoria atua na terceira linha de defesa, focando na supervisão e avaliação independente, e não deve se envolver na gestão operacional diária para não comprometer sua objetividade.
Conclusão: A propriedade do risco de fraude pertence às linhas de negócios, que devem colaborar com as funções de risco para equilibrar a viabilidade do produto com controles antifraude eficazes.
Incorrect
Correto: De acordo com as melhores práticas de gestão de risco (modelo de três linhas de defesa), a propriedade do risco deve residir na primeira linha, ou seja, nas linhas de negócios e proprietários de produtos. Eles são os responsáveis por identificar os riscos inerentes às suas atividades e garantir que os controles sejam adequados ao apetite de risco definido pela organização, contando com o suporte técnico e o desafio da segunda linha (gestão de riscos/fraude).
Incorreto: Centralizar a responsabilidade apenas no Compliance isola a gestão de riscos da realidade operacional do negócio. Transferir a responsabilidade para fornecedores externos é um erro grave de governança, pois a instituição financeira retém a responsabilidade regulatória final. O Comitê de Auditoria atua na terceira linha de defesa, focando na supervisão e avaliação independente, e não deve se envolver na gestão operacional diária para não comprometer sua objetividade.
Conclusão: A propriedade do risco de fraude pertence às linhas de negócios, que devem colaborar com as funções de risco para equilibrar a viabilidade do produto com controles antifraude eficazes.
-
Question 23 of 29
23. Question
Durante uma auditoria interna em um banco digital de médio porte, os auditores revisaram o lançamento de uma nova linha de crédito pessoal instantâneo via aplicativo móvel. O relatório de auditoria observou que, embora o departamento de Prevenção à Fraude tenha fornecido as ferramentas de monitoramento transacional, não houve uma definição clara sobre quem deve garantir que os controles de fraude específicos sejam integrados ao design do produto e ajustados conforme o apetite de risco da instituição. Considerando as melhores práticas de governança e gestão de risco de fraude, quem deve deter a propriedade e a responsabilidade primária pela eficácia desses controles?
Correct
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de gestão de risco de fraude, a primeira linha de defesa (unidades de negócios e proprietários de produtos) é a proprietária dos riscos. Eles são responsáveis por identificar, avaliar e mitigar os riscos associados aos seus produtos, garantindo que os controles de fraude sejam eficazes e estejam alinhados aos objetivos de negócio e ao apetite de risco da organização.
Incorreto: A Auditoria Interna atua como terceira linha de defesa, avaliando a eficácia dos controles, mas não deve projetá-los para não comprometer sua independência. A TI e a Segurança Cibernética fornecem suporte tecnológico essencial, mas a responsabilidade pelo risco do negócio e pela jornada do cliente é da linha de frente. O Conselho de Administração define a estratégia e o apetite de risco global, mas não possui a responsabilidade operacional de gerir regras individuais de detecção de fraude.
Conclusão: A responsabilidade primária pela gestão do risco de fraude e pela implementação de controles eficazes reside nos proprietários dos produtos e nas linhas de negócios.
Incorrect
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de gestão de risco de fraude, a primeira linha de defesa (unidades de negócios e proprietários de produtos) é a proprietária dos riscos. Eles são responsáveis por identificar, avaliar e mitigar os riscos associados aos seus produtos, garantindo que os controles de fraude sejam eficazes e estejam alinhados aos objetivos de negócio e ao apetite de risco da organização.
Incorreto: A Auditoria Interna atua como terceira linha de defesa, avaliando a eficácia dos controles, mas não deve projetá-los para não comprometer sua independência. A TI e a Segurança Cibernética fornecem suporte tecnológico essencial, mas a responsabilidade pelo risco do negócio e pela jornada do cliente é da linha de frente. O Conselho de Administração define a estratégia e o apetite de risco global, mas não possui a responsabilidade operacional de gerir regras individuais de detecção de fraude.
Conclusão: A responsabilidade primária pela gestão do risco de fraude e pela implementação de controles eficazes reside nos proprietários dos produtos e nas linhas de negócios.
-
Question 24 of 29
24. Question
Você recebeu um e-mail do Diretor de Produtos Digitais informando que a nova funcionalidade de transferências instantâneas P2P será lançada em duas semanas. O Diretor afirma que, como a equipe de Prevenção à Fraude já possui sistemas de monitoramento transacional de última geração, não há necessidade de revisões adicionais nos fluxos operacionais ou treinamentos específicos para a linha de frente. Considerando as melhores práticas de governança de risco de fraude e a responsabilidade das linhas de negócio (1ª linha de defesa), qual deve ser a ação prioritária para garantir a integridade do novo produto?
Correct
Correto: De acordo com os princípios de governança de risco, a linha de negócios e os proprietários de produtos são os ‘donos’ do risco. Eles têm a responsabilidade primordial de identificar vulnerabilidades em seus próprios processos e produtos. Uma avaliação de risco de fraude (Fraud Risk Assessment) antes do lançamento permite que controles preventivos sejam incorporados ao fluxo operacional, mitigando riscos antes que o produto esteja exposto ao mercado.
Incorreto: Transferir a responsabilidade integral para a equipe de Prevenção à Fraude ou TI ignora o papel fundamental da 1ª linha de defesa na gestão proativa de riscos. Aguardar 90 dias para coletar dados de perdas reais é uma abordagem reativa perigosa que pode resultar em perdas financeiras e reputacionais significativas, violando o ciclo de vida de mitigação de fraude que prioriza a prevenção.
Conclusão: A linha de negócios é a proprietária do risco de fraude e deve integrar a avaliação de riscos e o desenho de controles preventivos em todo o ciclo de desenvolvimento de novos produtos.
Incorrect
Correto: De acordo com os princípios de governança de risco, a linha de negócios e os proprietários de produtos são os ‘donos’ do risco. Eles têm a responsabilidade primordial de identificar vulnerabilidades em seus próprios processos e produtos. Uma avaliação de risco de fraude (Fraud Risk Assessment) antes do lançamento permite que controles preventivos sejam incorporados ao fluxo operacional, mitigando riscos antes que o produto esteja exposto ao mercado.
Incorreto: Transferir a responsabilidade integral para a equipe de Prevenção à Fraude ou TI ignora o papel fundamental da 1ª linha de defesa na gestão proativa de riscos. Aguardar 90 dias para coletar dados de perdas reais é uma abordagem reativa perigosa que pode resultar em perdas financeiras e reputacionais significativas, violando o ciclo de vida de mitigação de fraude que prioriza a prevenção.
Conclusão: A linha de negócios é a proprietária do risco de fraude e deve integrar a avaliação de riscos e o desenho de controles preventivos em todo o ciclo de desenvolvimento de novos produtos.
-
Question 25 of 29
25. Question
Durante uma auditoria regulatória em uma instituição financeira de grande porte, os examinadores questionam a estrutura de governança aplicada ao lançamento de uma nova plataforma de pagamentos instantâneos. O Gerente de Produto afirma que, para manter a agilidade no desenvolvimento, a identificação de riscos de fraude foi delegada inteiramente à equipe de Prevenção à Fraude como uma função de suporte. Considerando as melhores práticas de gestão de risco de fraude e a estrutura de linhas de defesa, qual deve ser a postura correta em relação à propriedade do risco?
Correct
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de governança, a primeira linha (linhas de negócios e proprietários de produtos) detém a propriedade e a responsabilidade primária pelo gerenciamento dos riscos associados aos seus produtos. Eles estão na melhor posição para entender as funcionalidades e como elas podem ser exploradas por fraudadores, devendo incorporar a mitigação de riscos desde a concepção (fraud prevention by design).
Incorreto: A auditoria interna atua como a terceira linha de defesa, fornecendo avaliação independente, e não deve ser proprietária do risco ou projetar controles. O Diretor de Conformidade atua na segunda linha, fornecendo supervisão e suporte, mas não substitui a responsabilidade operacional da linha de negócios. Delegar a propriedade total a fornecedores externos é uma falha de governança, pois a instituição permanece legalmente responsável pelos riscos e deve manter o controle interno sobre suas operações.
Conclusão: A propriedade do risco de fraude reside na primeira linha de defesa, garantindo que a mitigação seja uma parte integrante do desenvolvimento do produto e não uma função externa isolada.
Incorrect
Correto: De acordo com o modelo de três linhas de defesa e as melhores práticas de governança, a primeira linha (linhas de negócios e proprietários de produtos) detém a propriedade e a responsabilidade primária pelo gerenciamento dos riscos associados aos seus produtos. Eles estão na melhor posição para entender as funcionalidades e como elas podem ser exploradas por fraudadores, devendo incorporar a mitigação de riscos desde a concepção (fraud prevention by design).
Incorreto: A auditoria interna atua como a terceira linha de defesa, fornecendo avaliação independente, e não deve ser proprietária do risco ou projetar controles. O Diretor de Conformidade atua na segunda linha, fornecendo supervisão e suporte, mas não substitui a responsabilidade operacional da linha de negócios. Delegar a propriedade total a fornecedores externos é uma falha de governança, pois a instituição permanece legalmente responsável pelos riscos e deve manter o controle interno sobre suas operações.
Conclusão: A propriedade do risco de fraude reside na primeira linha de defesa, garantindo que a mitigação seja uma parte integrante do desenvolvimento do produto e não uma função externa isolada.
-
Question 26 of 29
26. Question
O Banco Horizonte está desenvolvendo um novo aplicativo de microcrédito digital com foco em expansão rápida de mercado. Durante a estruturação do programa de gestão de risco de fraude para este novo produto, surge um debate sobre a atribuição de responsabilidades e a integração do ciclo de vida de mitigação. Considerando as melhores práticas de governança e os requisitos para um programa robusto, qual abordagem a instituição deve adotar para garantir a eficácia dos controles?
Correct
Correto: De acordo com as melhores práticas de governança (modelo de três linhas), as linhas de negócios são as proprietárias dos riscos (primeira linha) e devem ser responsáveis por implementar e operar controles integrados ao ciclo de vida do produto. A função de gestão de riscos ou compliance (segunda linha) deve fornecer a estrutura, supervisão e o desafio independente para garantir que o apetite ao risco da organização seja respeitado.
Incorreto: A auditoria interna (terceira linha) deve manter sua independência e não pode ser responsável por definir regras ou operar controles, pois isso criaria um conflito de interesses ao auditar seu próprio trabalho. Centralizar o risco apenas na TI ignora que a fraude é um risco de negócio que exige compreensão do comportamento do cliente e do produto. O apetite ao risco deve ser estabelecido pela alta administração e pelo conselho, e não individualmente por funcionários, para garantir a consistência institucional.
Conclusão: A propriedade do risco de fraude pertence à linha de negócios, que deve integrar controles preventivos e detectivos desde a fase de design do produto, sob supervisão independente.
Incorrect
Correto: De acordo com as melhores práticas de governança (modelo de três linhas), as linhas de negócios são as proprietárias dos riscos (primeira linha) e devem ser responsáveis por implementar e operar controles integrados ao ciclo de vida do produto. A função de gestão de riscos ou compliance (segunda linha) deve fornecer a estrutura, supervisão e o desafio independente para garantir que o apetite ao risco da organização seja respeitado.
Incorreto: A auditoria interna (terceira linha) deve manter sua independência e não pode ser responsável por definir regras ou operar controles, pois isso criaria um conflito de interesses ao auditar seu próprio trabalho. Centralizar o risco apenas na TI ignora que a fraude é um risco de negócio que exige compreensão do comportamento do cliente e do produto. O apetite ao risco deve ser estabelecido pela alta administração e pelo conselho, e não individualmente por funcionários, para garantir a consistência institucional.
Conclusão: A propriedade do risco de fraude pertence à linha de negócios, que deve integrar controles preventivos e detectivos desde a fase de design do produto, sob supervisão independente.
-
Question 27 of 29
27. Question
Uma instituição financeira de médio porte está expandindo suas operações para incluir uma nova carteira digital voltada para remessas internacionais de alto volume. Durante a fase de estruturação do programa de gestão de risco de fraude, surge um debate entre o Diretor de Produtos e o Chief Risk Officer (CRO) sobre a governança dos controles. O Diretor de Produtos afirma que a responsabilidade final pela eficácia dos controles deve ser da equipe de TI, enquanto o CRO defende uma abordagem baseada em linhas de defesa. Considerando as melhores práticas para o desenvolvimento de uma estrutura de gerenciamento de risco de fraude, qual ação é fundamental para garantir a integridade do programa antes do lançamento do produto?
Correct
Correto: De acordo com os princípios de governança de risco de fraude, a propriedade das políticas e procedimentos deve residir nas linhas de negócios (Primeira Linha de Defesa). Os proprietários de produtos e unidades de negócios estão na melhor posição para identificar riscos específicos e devem ser responsáveis pela eficácia dos controles, utilizando ciclos de feedback para ajustar as estratégias de prevenção e detecção conforme o comportamento dos fraudadores evolui.
Incorreto: Delegar a responsabilidade apenas à TI ou segurança cibernética é um erro comum, pois a fraude é um risco de negócio que vai além da infraestrutura técnica. A auditoria externa atua como terceira linha e não deve participar da operação em tempo real. Isolar a gestão de riscos das unidades de negócios impede a identificação proativa de vulnerabilidades nos processos operacionais e produtos, enfraquecendo a cultura de conformidade da organização.
Conclusão: A responsabilidade primária pela gestão do risco de fraude deve pertencer às linhas de negócios, apoiada por ciclos de feedback contínuos para o refinamento dos controles.
Incorrect
Correto: De acordo com os princípios de governança de risco de fraude, a propriedade das políticas e procedimentos deve residir nas linhas de negócios (Primeira Linha de Defesa). Os proprietários de produtos e unidades de negócios estão na melhor posição para identificar riscos específicos e devem ser responsáveis pela eficácia dos controles, utilizando ciclos de feedback para ajustar as estratégias de prevenção e detecção conforme o comportamento dos fraudadores evolui.
Incorreto: Delegar a responsabilidade apenas à TI ou segurança cibernética é um erro comum, pois a fraude é um risco de negócio que vai além da infraestrutura técnica. A auditoria externa atua como terceira linha e não deve participar da operação em tempo real. Isolar a gestão de riscos das unidades de negócios impede a identificação proativa de vulnerabilidades nos processos operacionais e produtos, enfraquecendo a cultura de conformidade da organização.
Conclusão: A responsabilidade primária pela gestão do risco de fraude deve pertencer às linhas de negócios, apoiada por ciclos de feedback contínuos para o refinamento dos controles.
-
Question 28 of 29
28. Question
Uma instituição financeira de médio porte está expandindo suas operações para incluir uma nova carteira digital voltada para transferências instantâneas P2P (pessoa para pessoa). Durante a fase de design do programa de gestão de risco de fraude, o Gerente de Risco observa que a equipe de desenvolvimento de produtos está focada exclusivamente na redução do atrito para o cliente, o que pode aumentar a vulnerabilidade a ataques de engenharia social. Para alinhar o novo produto às melhores práticas de governança e aos requisitos de um programa robusto de mitigação de fraude, qual deve ser a ação prioritária do Gerente de Risco?
Correct
Correto: De acordo com as melhores práticas de gestão de risco de fraude (como as delineadas nos itens 1.4 e 1.8 do currículo), a propriedade do risco deve residir na primeira linha de defesa, ou seja, nas linhas de negócios e nos proprietários de produtos. Eles são os responsáveis por gerenciar o risco que criam ao lançar novos produtos. A função de gestão de risco de fraude atua como uma segunda linha, fornecendo diretrizes, supervisão e testes, mas a responsabilidade operacional e a prestação de contas devem estar na unidade de negócios para garantir que os controles sejam eficazes e sustentáveis.
Incorreto: A opção que sugere transferir a responsabilidade para o TI falha ao ignorar que a fraude é um risco de negócio, não apenas técnico. A opção de implementar controles rigorosos sem considerar o impacto comercial ignora a necessidade de uma análise de custo-benefício e do apetite ao risco da organização. A delegação exclusiva a consultores externos é incorreta porque a governança e a propriedade das políticas devem ser internas para garantir a continuidade, o conhecimento institucional e a responsabilidade regulatória direta.
Conclusão: A gestão eficaz do risco de fraude exige que a propriedade e a responsabilidade pelo risco sejam integradas diretamente às linhas de negócios que gerenciam os produtos e serviços.
Incorrect
Correto: De acordo com as melhores práticas de gestão de risco de fraude (como as delineadas nos itens 1.4 e 1.8 do currículo), a propriedade do risco deve residir na primeira linha de defesa, ou seja, nas linhas de negócios e nos proprietários de produtos. Eles são os responsáveis por gerenciar o risco que criam ao lançar novos produtos. A função de gestão de risco de fraude atua como uma segunda linha, fornecendo diretrizes, supervisão e testes, mas a responsabilidade operacional e a prestação de contas devem estar na unidade de negócios para garantir que os controles sejam eficazes e sustentáveis.
Incorreto: A opção que sugere transferir a responsabilidade para o TI falha ao ignorar que a fraude é um risco de negócio, não apenas técnico. A opção de implementar controles rigorosos sem considerar o impacto comercial ignora a necessidade de uma análise de custo-benefício e do apetite ao risco da organização. A delegação exclusiva a consultores externos é incorreta porque a governança e a propriedade das políticas devem ser internas para garantir a continuidade, o conhecimento institucional e a responsabilidade regulatória direta.
Conclusão: A gestão eficaz do risco de fraude exige que a propriedade e a responsabilidade pelo risco sejam integradas diretamente às linhas de negócios que gerenciam os produtos e serviços.
-
Question 29 of 29
29. Question
Uma instituição financeira de grande porte está expandindo suas operações para um novo mercado geográfico e lançando uma plataforma de pagamentos instantâneos. Durante a fase de estruturação do programa de gestão de risco de fraude, surge um debate sobre a governança e a propriedade das políticas antifraude. Para garantir a eficácia do programa e o alinhamento com as melhores práticas do setor, como deve ser definida a responsabilidade pelas políticas e procedimentos?
Correct
Correto: De acordo com as melhores práticas de governança (modelo de três linhas), as linhas de negócios e os proprietários de produtos atuam como a primeira linha de defesa. Eles possuem o conhecimento mais profundo sobre os processos operacionais e o comportamento do cliente, sendo fundamental que assumam a propriedade do risco e garantam que os controles de fraude sejam integrados de forma eficaz e proporcional ao produto.
Incorreto: Centralizar a responsabilidade apenas no TI ignora que a fraude é um risco de negócio e operacional, não apenas técnico. A Auditoria Interna deve permanecer como a terceira linha de defesa, avaliando a eficácia dos controles, mas não desenhando ou operando as políticas. Padronizar globalmente sem considerar as nuances locais e os sinais de alerta específicos de uma nova região geográfica pode deixar a instituição vulnerável a tipologias de fraude regionais não previstas.
Conclusão: A gestão eficaz do risco de fraude exige que as linhas de negócios assumam a propriedade primária dos riscos e colaborem no design dos controles específicos para seus produtos e mercados.
Incorrect
Correto: De acordo com as melhores práticas de governança (modelo de três linhas), as linhas de negócios e os proprietários de produtos atuam como a primeira linha de defesa. Eles possuem o conhecimento mais profundo sobre os processos operacionais e o comportamento do cliente, sendo fundamental que assumam a propriedade do risco e garantam que os controles de fraude sejam integrados de forma eficaz e proporcional ao produto.
Incorreto: Centralizar a responsabilidade apenas no TI ignora que a fraude é um risco de negócio e operacional, não apenas técnico. A Auditoria Interna deve permanecer como a terceira linha de defesa, avaliando a eficácia dos controles, mas não desenhando ou operando as políticas. Padronizar globalmente sem considerar as nuances locais e os sinais de alerta específicos de uma nova região geográfica pode deixar a instituição vulnerável a tipologias de fraude regionais não previstas.
Conclusão: A gestão eficaz do risco de fraude exige que as linhas de negócios assumam a propriedade primária dos riscos e colaborem no design dos controles específicos para seus produtos e mercados.