Certificação de Programas

de Integridade
Aula 2 - Introdução a Análise de Risco
Parte I - Recap
 Selos de Compliance
• Selos emitidos por empresas privadas

• AACI, DSC 10.000; CertiGov

• Selos emitidos for organizações não governamentais

• Ethical Trade Iniciative, FSC, Certificação B

* Os organismos são
• Selos emitidos pelo Governo acreditados por uma instituição
de estado (Inmetro) e auditados
anualmente por ela.
A Instituição, por sua vez,
• Selo Infra Integridade, Selo Empresa Pro-ética, Selo Agro Mais Integridade também sofre auditorias. O
sistema está constantemente
monitorado por terceiras partes.

• Selos emitidos pelo Estado através de organismos acreditados*

Normalmente são certificados
internacionais de organizações
das quais o país faz parte, como
a ISO e a IMO.
• Certificação Conteúdo Local (ANP), Embarcações (Marinha do Brasil), ISO (Inmetro)
 Etapas para implementação de um
Programa de Integridade Certificável

• Etapa 1: Implementando o programa

• Etapa 2: Certificando o programa
• Etapa 3: Manutenção do certificado
Etapa 1: Implementando o Programa
1.Definir o escopo e os líderes do processo
2.Montar um time de implementação -pode ter consultaria externa-
3.Familiarizar-se com a norma – cursos
4.Realizar análise de risco e em seguida o Gap Analysis
5.Adaptar/gerar processos, procedimentos, manuais, checklists
6.Treinar as equipes
7.Realizar auditorias internas
8.Conduzir reuniões de análise crítica
9.Implementar ações corretivas (ajuste dos procedimentos)
10.Volte para a etapa 5 (ou para 4 se for uma mudança de muito impacto)
Etapa 2: Certificando o Programa

• Fase 1: Análise Documental* * Selos costumam ir até a

Fase 1 enquanto
certificados ISO englobam

• Fase 2: Auditoria
as 3 fases.

• Comitê de Certificação
Etapa 3: Manutenção do Certificado
Parte II – Análise de Risco
Parte II – Análise de Risco
 Parte II – Análise de Risco

1. Introdução a Análise de Risco

2. Ferramentas de Análise de Risco

3. Estudo de Caso
 Introdução a Análise de Risco

• ISO 31000 (Norma Internacional da Gestão de Risco)

• Risco é o efeito da incerteza nos objetivos.
• NOTA 4 - O risco é muitas vezes expresso em termos de uma
combinação de consequências de um evento (incluindo mudanças nas
circunstâncias) e a probabilidade de ocorrência associada.
Fórmula pela nota 4 da ISO 31000
• R=PxI
• Risco = Probabilidade x Impacto
• “A combinação que determinado
evento ocorra e os impactos por ele
gerado, caso venha a ocorrer” – Alan
Murça

• “Risco – possibilidade de que um

evento afete negativamente o alcance
dos objetivos” – TCU
 Percepção do Risco
• Influenciada por fatores econômicos e culturais.

• Exemplo: Atravessar fora da faixa tem risco?

• A probabilidade na Avenida Rio Branco é a

mesma que na Travessa do Ouvidor?

• O impacto de um choque leve em uma pessoa

jovem é o mesmo que em uma pessoa idosa?

• Por que pedestres atravessam mais fora da faixa

em regiões com alto índice de assalto?

• Discussão: Por que países como Estados Unidos,

Inglaterra e Noruega tem índices distintos de
atropelamentos (proporcionalmente)?
 Gestão do Risco
Entender e agir de forma
mitigatória no Risco, atuando
na diminuição do impacto ou
na diminuição da
probabilidade, ou nos dois.
• Definir a pergunta
• Quantificar P e D
• Definir onde atuar
• Definir qual mecanismo
mitigatório
• Comunicar
• Ciclo PDCA
A organização está
permanentemente exposta
ao risco.
As duas etapas da Gestão do Risco
Identificar o Risco
• Identificar Processos Primários
• Identificar Processos Secundários
• Analisar e Avaliar
Mitigar o Risco
• Decidir
• Planejar
• Executar
• Monitorar
 Mitigando o Risco
Risco de eventual Facilitation Payment
(FCPA)
R=PxI
• Diminuindo a probabilidade (menos
trechos por terra)
• Diminuindo o impacto (terceirizando
para empresa local) com cláusulas
anticorrupção (incluindo multa)
 Premissas

• Alinhar a apetite ao risco da organização com a cultura corporativa

através do Código de Ética e Conduta

• Grau de apetite é dinâmico e muda com o tempo ou cenário econômico

e social. Importante aplicar PDCA dentro da própria análise de risco.

• Precificar: reduzir prejuízos e proteger capital

 Ferramentas para Análise de Risco
•R=PxI
• ISO 31010 Técnicas de análise de risco
• Ferramentas para identificação qualitativa dos riscos (R)
• Ferramentas para determinação de frequência (P)
• Ferramentas para determinação de Impacto (I)
 FTA
• FTA metodologia dedutiva do topo para baixo
• Top Event é o evento indesejável
• Define as condições mitigatórias
• P (A e B) = P (A ∩ B) = P(A) P(B)
• P (A ou B) = P (A ∪ B) = P(A) + P(B) - P (A ∩ B)

Metodologia
• Definir o Top Event
• Define as condições de contorno
• Constrói a FTA
• Analisa a FTA
 FMEA
• FMEA metodologia indutiva de baixo para o topo
• Failure Mode and Effect Analysis
• “Análise de Modos de Falha e seus Efeitos”
• aplicado sobre as falhas de processo
identificadas por não conformidades em
auditorias
• Usada de forma preventiva na melhoria continua

Metodologia
• Identifica e gradua a falha.
• Gravidade do problema (G): no qual 1 é “nunca” e 10 é “sempre”
• Probabilidade de ocorrência (O): no qual 1 é “nunca” e 10 é “sempre”
• Probabilidade de detecção da falha (D): começa no qual 10 é “nunca” e 1 é “sempre”
• Os três números são multiplicados para gerar um número de prioridade de risco
(RPN –Risk Priority Number)
• O maior númerdo dita a prioridade
 FMEA
Recomendação de leitura
 ETA
• Event Tree Analysis
• Usado para análise de falha e de sucesso
• Começa pelo evento gatilho
• Ao atingir a etapa final para todos os caminhos,
chega-se à equação de probabilidade de resultado

Metodologia
• Defina o sistema
• Identifique os cenários de acidentes
• Identifique os eventos iniciais
• Identificar eventos intermediários
• Construir o diagrama de árvore de eventos
• Obter probabilidades de falha de evento
• Identifique o risco de resultado
• Avalie o risco de resultado
• Recomendar ação corretiva
• Documente o ETA
 Diagrama Ishikawa
• “Espinha de Peixe”
• Ferramenta de brainstorming altamente visual
• Identifica facilmente se a causa raiz é encontrada
várias vezes na mesma espinha ou em outras
espinhas
• Permite ver todas as causas simultaneamente

Metodologia
Cada causa potencial é rastreada para encontrar a
causa raiz, geralmente usando a técnica dos 5 Whys, no
nosso caso:
• Ambiente
• Fornecedores
• Sistemas
• Qualificação https://www.agacgfm.org/Tools-Resources/intergov/Fraud-Prevention/Fraud-Awareness-Mitigation/Fraud-Categories.aspx

• Segurança
 Diagrama Ishikawa
Recomendação de leitura
 HazOp
• Hazard and Operability Study
• Estudo de Perigos e Operabilidade
• Ideal para identificar desvios na operação

https://www.logiquesistemas.com.br/blog/hazop/
 Matriz de Risco
Uma matriz de risco (também chamada
de diagrama de risco) visualiza os
riscos em um diagrama. No diagrama,
os riscos são divididos de acordo com
sua probabilidade e seus efeitos ou a
extensão do dano, para que o pior
cenário possa ser determinado
rapidamente.

Nesse sentido, a matriz de riscos deve

ser vista como resultado da análise e
avaliação de riscos e, portanto, é um
componente importante do seu projeto
e gestão de riscos..
 Estudo de Caso
• Definir o escopo

• Definir a pergunta

• Fazer o brainstorm

• Listar os eventos

• Entender as probabilidades (baixa, média, alta)

• Entender os impactos (baixo, médio, alto)

• Montar a Matriz