2024 01 18 15 15 22 93714795 Gestao de Riscos E1705601722

ÉTICA E INTEGRIDADE
Gestão de Riscos
Livro Eletrônico
Presidente: Gabriel Granjeiro
Vice-Presidente: Rodrigo Calado
Diretor Pedagógico: Erico Teixeira
Diretora de Produção Educacional: Vivian Higashi
Gerência de Produção de Conteúdo: Magno Coimbra
Coordenadora Pedagógica: Élica Lopes
Todo o material desta apostila (incluídos textos e imagens) está protegido por direitos autorais
do Gran. Será proibida toda forma de plágio, cópia, reprodução ou qualquer outra forma de
uso, não autorizada expressamente, seja ela onerosa ou não, sujeitando-se o transgressor às
penalidades previstas civil e criminalmente.
CÓDIGO:
240111121119
ADRIEL SÁ
Professor de Direito Administrativo, Administração Geral e Administração Pública

em diversos cursos presenciais e telepresenciais. Servidor público federal da área
administrativa desde 1999 e, atualmente, atuando no Ministério Público Federal.
Formado em Administração de Empresas pela Universidade Federal de Santa Catarina,
com especialização em Gestão Pública. Foi militar das Forças Armadas por 11 anos,
sempre atuando nas áreas administrativas. É coautor da obra “Direito Administrativo
Facilitado” e autor da obra “Administração Geral e Pública - Teoria Contextualizada
em Questões”, ambas publicadas pela Editora Juspodivm.
nteúdo deste livro eletrônico é licenciado para VICTORIA BEATRIZ VASCONCELOS DE LIMA SOUZA - 02545656208, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
Ética e Integridade
Gestão de Riscos
Adriel Sá
SUMÁRIO
Apresentação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Gestão de Riscos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1. Conceitos Iniciais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2. Modelos Nacionais e Internacionais. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.1. Evolução Histórica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.2. Modelos de Gestão de Riscos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3. Técnicas de Gestão de Riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4. Boas Práticas de Gestão de Riscos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.1. Grupo de Trabalho . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.2. Estudos Preliminares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.3. Estratégia de Implantação e Definição de Arquitetura. . . . . . . . . . . . . . . . . . 28
4.4. Política de Gestão de Riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.5. Delegação e Comprometimento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.6. Processo de Gestão de Riscos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.7. Implementação da Gestão de Riscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.8. Monitoramento e Revisão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Resumo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Mapa Mental . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Questões de Concurso. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Gabarito. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Gabarito Comentado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
gran.com.br 3 de 85
Gestão de Riscos
Adriel Sá
APRESENTAÇÃO
Olá, tudo bem com você? Espero que sim! Receba as minhas boas-vindas à nossa aula
sobre o tema “Gestão de riscos”.
Essa aula cobre os seguintes conteúdos dos seguintes editais:
CONHECIMENTOS GERAIS PARA TODOS OS BLOCOS
3.2 Gestão de riscos e medidas mitigatórias na Administração Pública.
BLOCO 1: INFRAESTRUTURA, EXATAS E ENGENHARIA
EIXO TEMÁTICO 1 – GESTÃO GOVERNAMENTAL E GOVERNANÇA PÚBLICA
5 Gestão de riscos: princípios, objetos, técnicas, modelos nacionais e internacionais, integração
ao planejamento. 5.1 Processo de Gestão de Riscos: comunicação, consulta, contextualização,
identificação, analise, tratamento, monitoramento e retroalimentação. 5.2 Boas práticas de gestão
de Riscos.
BLOCO 2: TECNOLOGIA, DADOS E INFORMAÇÃO
identificação, análise, tratamento, monitoramento e retroalimentação. 4.2 Boas práticas de gestão
de Riscos.
BLOCO 4: TRABALHO E SAÚDE DO SERVIDOR
5 Gestão de riscos: 5.1 Princípios, objetos, técnicas, modelos nacionais e internacionais, integração
de Riscos.
BLOCO 5: EDUCAÇÃO, SAÚDE, DESENVOLVIMENTO SOCIAL E DIREITOS HUMANOS
EIXO TEMÁTICO 1 – GESTÃO GOVERNAMENTAL, GOVERNANÇA PÚBLICA
de Riscos.
BLOCO 6: SETORES ECONÔMICOS E REGULAÇÃO - SOCIAIS APLICADAS E HUMANAS - ECONOMIA,
RELAÇÕES INTERNACIONAIS, CIÊNCIA POLÍTICA E DIREITO
de Riscos.
BLOCO 7: GESTÃO GOVERNAMENTAL E ADMINISTRAÇÃO PÚBLICA
EIXO TEMÁTICO 2 – GESTÃO GOVERNAMENTAL E GOVERNANÇA PÚBLICA: RISCOS, INOVAÇÃO,
PARTICIPAÇÃO, LOGÍSTICA e PATRIMÔNIO
1 Gestão de riscos: princípios, objetos, técnicas, modelos nacionais e internacionais, integração
ao planejamento. 1.1 Processo de Gestão de Riscos: comunicação, consulta, contextualização,
identificação, análise, tratamento, monitoramento e retroalimentação. 1.2 Boas práticas de gestão
de Riscos.
Vou começar com um recado que sempre coloco no início das minhas aulas. Se você
já leu isso em outras aulas, pode ir direto para o conteúdo. Se não leu, é importante
entender algo...
Vamos começar com a notícia ruim? Mas, calma que também temos notícia boa!
gran.com.br 4 de 85
Gestão de Riscos
Adriel Sá
Os assuntos da disciplina de Administração não possuem uma normatização. Isso quer

dizer que você vai encontrar muitos autores falando diferente entre si.
Imagine a Administração como um ELEFANTE GIGANTE. Se pedirmos a três especialistas
para descrevê-lo, um dirá que se parece com uma enorme orelha, outro dirá que é como
uma imensa tromba, e o terceiro afirmará que é parecido com uma gigantesca pata.
E adivinhem? Todos eles estão certos! Cada autor tem sua própria perspectiva, suas
próprias lentes de aumento e suas próprias histórias para contar sobre o elefante chamado
Administração.
Agora, vamos à notícia boa! Tendo em mente essas divergências doutrinárias, busco
sempre utilizar em minhas aulas o Princípio de Pareto. Se você ainda não conhece esse
princípio, ele é bem simples de entender: o objetivo é auxiliar você a identificar tanto os
assuntos mais importantes quanto os assuntos pouco cobrados.
Isso vai te permitir a organizar seu tempo de estudos de forma desigual para os diferentes
tópicos, podendo focar mais tempo nos temas que mais caem, e reservar menos tempo
e menos empenho nos assuntos pouco cobrados. É por isso que, em alguns casos, uma ou
outra questão da lista de questões de concursos nem aparece na teoria.
Outro detalhe que gosto de explicar é que algumas questões inseridas na teoria são
para reforçar algo já apresentado. Em outros casos, a questão não é de reforço, mas de
aprofundamento, para que você entenda as variações de cobrança da banca.
Em suma, nossa aula sempre vai alcançar todos os tópicos do edital, porém de forma
desigual, considerando as preferências da banca em provas anteriores.
Pois bem!
O assunto “Gestão de riscos” se refere a um processo que envolve identificar, avaliar
e tomar medidas para lidar com os riscos que uma organização pode enfrentar. Não é um
tema muito cobrado em provas da banca FCC e, por isso, temos poucas questões. Ainda
assim, são questões relativamente fáceis, muitas delas resolvidas pela simples intuição
do senso comum. Geralmente, esse assunto é mais explorada em concursos da área de
Tecnologia da Informação.
No nosso caso, fomos atrás de questões de outras bancas sobre o assunto, pra evitarmos
o máximo de surpresas e aumentar suas chances de acertos nas questões, ok?
Vamos juntos dar uma olhada nesse tema? E, se precisar de mim, espero você lá no fórum
de dúvidas, beleza?
Ah! Siga meu perfil do Instagram @profadrielsa, onde compartilho dicas superlegais para
😉📚
transformar seus neurônios em verdadeiros CEO’s! Juntos, vamos fazer da Administração
a matéria mais fácil da sua prova!
https://www.instagram.com/profadrielsa/
gran.com.br 5 de 85
Gestão de Riscos
Adriel Sá
GESTÃO DE RISCOS
1. CONCEITOS INICIAIS
O que são riscos? De forma bem simples e direta, um RISCO é quando algo incerto pode
afetar os objetivos que queremos alcançar. São eventos que podem acontecer e ter um
impacto nos resultados que queremos.
Mas, fique ligado(a): os riscos existem mesmo quando não prestamos atenção neles.
Tanto na nossa vida diária como no mundo dos negócios, estamos rodeados por riscos,
oportunidades e ameaças. Se não gerenciarmos esses riscos, podemos ter dificuldades em
alcançar os objetivos desejados.
Cada vez que tomamos uma decisão ou fazemos algo, estamos mudando a probabilidade
de que coisas aconteçam no futuro. Isso significa que estamos aumentando ou diminuindo
os riscos aos quais estamos expostos.
EXEMPLO
Imagine que você queira abrir um negócio. Existem vários riscos envolvidos, como a possibilidade
de não atrair clientes suficientes ou de ter dificuldades financeiras.
Ao tomar decisões e planejar estratégias, você pode reduzir esses riscos, como fazer um estudo
de mercado para entender a demanda ou buscar investidores para ter recursos financeiros.
Dessa forma, você está gerenciando os riscos e aumentando suas chances de sucesso.
Nesse contexto, surge a GESTÃO DE RISCOS, um processo sistemático que envolve

identificar, analisar, avaliar e responder aos riscos que podem afetar o alcance dos objetivos.
E, claro, o objetivo dessa gestão é minimizar ou mitigar as incertezas e maximizar as
oportunidades!
Portanto, podemos dizer que o objeto de gestão de riscos (objeto de gestão) é qualquer
processo de trabalho, atividade, projeto, iniciativa ou ação de plano institucional, assim
como os recursos que dão suporte à realização dos objetivos da organização.
001. (CESGRANRIO/2012/PROFISSIONAL PETROBRÁS DE NÍVEL TÉCNICO/PETROBRAS/

SEGURANÇA) Diversas literaturas, tais como a OHSAS 18001/2007, a OIT/2001 e a NBR
31000:2009 definem riscos de diferentes formas.
Matematicamente, o risco pode ser expresso de uma forma simplificada, como
a) perigo / salvaguardas
b) confiabilidade x probabilidade
gran.com.br 6 de 85
Gestão de Riscos
Adriel Sá
c) perigo / frequência
d) salvaguardas x probabilidade
e) frequência / confiabilidade
Vamos rever o nosso exemplo pra entender a fórmula?

Imagine que você queira abrir um negócio. Existem vários riscos envolvidos, como a
possibilidade de não atrair clientes suficientes ou de ter dificuldades financeiras (PERIGO).
Ao tomar decisões e planejar estratégias, você pode reduzir esses riscos, como fazer um
estudo de mercado para entender a demanda ou buscar investidores para ter recursos
financeiros (SALVAGUARDAS). Dessa forma, você está gerenciando os riscos e aumentando
suas chances de sucesso.
O perigo é a identificação do potencial para causar danos, enquanto as salvaguardas são as
medidas de proteção implementadas para reduzir ou mitigar os riscos. Logo, o risco pode
ser expresso de uma forma simplificada, como PERIGO / SALVAGUARDAS.
Letra a.
002. (CS UFG/2017/AUDITOR/UFG) A gestão de riscos refere-se ao processo de aplicação

sistemática de políticas, procedimentos e práticas de gestão para as atividades de
comunicação, estabelecimento do contexto, avaliação, tratamento, monitoramento e análise
crítica dos riscos. A gestão de riscos envolve também a contínua avaliação da eficácia dos
controles internos implantados na organização para
a) uniformizar os riscos gerenciais.
b) mitigar os riscos relevantes.
c) eliminar os riscos críticos.
d) corrigir os riscos inerentes.
Como vimos, a gestão de riscos envolve a identificação, avaliação e tratamento dos riscos
que uma organização enfrenta. O objetivo é reduzir a probabilidade de ocorrência dos riscos
e minimizar o impacto caso eles ocorram. Portanto, a mitigação dos riscos relevantes é um
elemento essencial na gestão de riscos.
Nosso gabarito é a letra B.
Sobre as demais alternativas:
a) Uniformizar os riscos gerenciais não faz sentido no contexto da gestão de riscos, uma
vez que os riscos podem variar em sua natureza, probabilidade e impacto.
c) eliminar os riscos críticos é um objetivo difícil de alcançar, pois nem todos os riscos podem
ser completamente eliminados. O foco está em reduzir sua probabilidade e impacto.
gran.com.br 7 de 85
Gestão de Riscos
Adriel Sá
d) corrigir os riscos inerentes também não é adequada, pois alguns riscos são inerentes às
atividades e processos da organização. O objetivo é gerenciá-los de forma eficaz, não os
corrigir completamente.
Letra b.
003. (VUNESP/2012/TÉCNICO DE NÍVEL MÉDIO/PREF CUBATÃO/TÉCNICO SEGURANÇA DO

TRABALHO I) No contexto dos objetivos e metas da organização, o Gerenciamento de Riscos
possibilita
a) a tomada de decisão numa base mais sólida e segura.
b) evitar a propagação de falhas e impedir a ocorrência de novos acidentes.
c) solucionar os problemas detectados por ser um procedimento reativo.
d) a revisão dos fatores que podem contribuir para um acidente.
e) alcançar um nível de segurança de risco zero.
O gerenciamento de riscos permite que a organização tome decisões de forma mais informada
e segura, pois envolve a identificação, avaliação e tratamento dos riscos existentes.
Ao entender e gerenciar os riscos, a organização pode tomar medidas proativas para mitigá-
los, reduzindo assim a probabilidade de ocorrência de eventos indesejados.
Logo, nosso gabarito é a letra A.
b) Embora o gerenciamento de riscos possa contribuir para a prevenção de acidentes, sua
principal finalidade não é evitar a propagação de falhas, mas sim identificar, avaliar e tratar
os riscos de forma geral.
c) O gerenciamento de riscos não é apenas um procedimento reativo para solucionar
problemas já detectados. Ele envolve ações proativas para identificar e lidar com os riscos
antes que eles se tornem problemas reais.
d) O gerenciamento de riscos certamente envolve a revisão dos fatores que podem contribuir
para um acidente, mas vai além disso. Ele abrange a identificação e avaliação de todos os
tipos de riscos que possam afetar a organização, não apenas os relacionados a acidentes.
e) É importante destacar que o gerenciamento de riscos não tem como objetivo alcançar um
nível de segurança de risco zero. Todos os riscos não podem ser eliminados completamente,
mas sim gerenciados de forma a minimizar seus impactos e probabilidades de ocorrência.
Letra a.
gran.com.br 8 de 85
Gestão de Riscos
Adriel Sá
2. MODELOS NACIONAIS E INTERNACIONAIS

Para lidar com riscos e ter mais chance de alcançar objetivos, as organizações utilizam
diferentes abordagens de gestão de riscos. Isso pode variar desde formas mais informais
até métodos mais estruturados e organizados, dependendo do tamanho e da complexidade
da organização.
Uma maneira eficaz de adotar uma abordagem sistemática para a gestão de riscos é
seguir padrões e boas práticas estabelecidos em modelos reconhecidos.
Isso ajuda a estabelecer um processo organizado e oportuno para lidar com os riscos,
tornando a organização mais eficiente e alcançando resultados consistentes.
É importante evitar ter apenas uma coleção de regras e procedimentos burocráticos
descoordenados, que podem criar a ilusão de que existe um sistema efetivo de gestão de
riscos e controle, mas que na prática não trazem os benefícios desejados.
Vamos entender um pouco como aconteceu essa estruturação de modelos ao longo do tempo?
2.1. EVOLUÇÃO HISTÓRICA

O Referencial básico de gestão de riscos do TCU1 faz uma excelente apresentação dessa
evolução histórica. Por isso, vamos nos basear nele, ok?
Em termos históricos, a gestão de riscos pode ser rastreada à época em que os primeiros
chefes de clãs decidiram fortificar muralhas, realizar alianças com outras tribos e estocar
provisões para o futuro.
Segundo Hubbard (2009)2, práticas relacionadas com a mitigação de riscos existiam na
antiga Babilônia, a exemplo de indenizações em caso de perdas por roubos e inundações,
ou a seleção, feita pelos primordiais banqueiros, de devedores com maior capacidade de
honrar seus empréstimos.
No período recente, atribui-se a Frank Knight a publicação, em 1921, de obra (Risk,
Uncertainty and Profit) que se tornou referência por estabelecer conceitos, definir
princípios e introduzir alguma sistematização ao tema (FRASER; SIMKINS, 2010)3.
1
BRASIL. Tribunal de Contas da União. Referencial básico de gestão de riscos. Brasília: TCU, Secretaria Geral de Controle
Externo (Segecex), 2018.
2
HUBBARD, D. W. The Failure of Risk Management: Why It’s Broken and How to Fix It. New Jersey (EUA): John Wiley &
Sons, Inc., 2009. Acesso em: maio, 2016.
3
FRASER, J.; SIMKINS, B. J. Enterprise risk management: today’s leading research and best practices for tomorrow’s
executives. New Jersey (EUA): John Wiley & Sons, Inc., 2010. Acesso em: maio, 2016.
gran.com.br 9 de 85
Gestão de Riscos
Adriel Sá
Assim, já podemos começar a montar a nossa linha do tempo:
Cinquenta anos depois, em 1975, a revista Fortune publicou o artigo The Risk
Management Revolution, um dos primeiros documentos a tratar o tema sob o enfoque
corporativo e a atribuir à alta administração a responsabilidade por instituir políticas,
supervisionar e coordenar as várias funções de riscos existentes em uma organização
(FRASER; SIMKINS, 2010)4.
No início dos anos 90, as bases para o que conhecemos como gestão de risco foram
estabelecidas, mediante a publicação de três documentos que se tornaram referência
mundial no tema: o COSO I, o Cadbury e a AS/NZS 4360:1995.
• O guia Internal Control - Integrated Framework (COSO I), publicado em 1992 pelo
Committee of Sponsoring Organizations of the Treadway Commission – COSO, consolidou
a ideia de gestão de risco corporativo e apresentou um conjunto de princípios e boas
práticas de gestão e controle interno (COSO, 1992)5.
4
FRASER, J.; SIMKINS, B. J. Enterprise risk management: today’s leading research and best practices for tomorrow’s
executives. New Jersey (EUA): John Wiley & Sons, Inc., 2010. Acesso em: maio, 2016.
5
THE COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION - COSO. Controle Interno: Estrutura
Integrada: Sumário Executivo e Estrutura. Tradução: PriceWatherhouseCoopers e Instituto dos Auditores Internos do
Brasil, São Paulo, 2013. Acesso em: março, 2017.
gran.com.br 10 de 85
Gestão de Riscos
Adriel Sá
• No mesmo ano, o relatório do Comitê Cadbury, do Reino Unido, atribui ao corpo

governante superior das entidades a responsabilidade por definir a política de gestão
de riscos, supervisionar o processo de gestão e assegurar que a organização entenda
os riscos aos quais está exposta (CADBURY, 1992)6.
• Em 1995, esforço conjunto das entidades padronizadoras Standards Australia e
Standards New Zealand resulta na publicação do primeiro modelo padrão oficial para
a gestão de riscos, a norma técnica Risk Management Standard, AS/NZS 4360:1995.
Nos anos que se seguiram, normas técnicas semelhantes foram publicadas no Canadá,
no Reino Unido e em outros países.
Atualizando a nossa linha do tempo, temos:
No início do Século XXI, houve a consolidação e disseminação de práticas de gestão de

risco corporativo. Entre as publicações que se tornaram referências internacionais no tema
estão: o The Orange Book, a lei Sarbanes-Oxley, o COSO-ERM (ou COSO II), o Acordo de
Basileia II, a AS/NZS 4360:2004 e a ISO 31000:2009.
6
CADBURY, A. Report of the Committee on the financial aspects of corporate governance. Londres: Gee and Company
Ltd, 1992. Acesso em: maio, 2016.
Gestão de Riscos
Adriel Sá
• O The Orange Book Management of Risk - Principles and Concepts7, produzido e

publicado pelo HM Treasury Britânico, foi a principal referência do programa de
gestão de riscos do governo do Reino Unido, iniciado em 2001. O modelo tem como
vantagens, além de ser compatível com padrões internacionais de gestão de riscos,
introduzir e tratar esse tema complexo de forma simples e abrangente.
• Em 2002, um ano após o colapso da empresa Enron, decorrente de esquema gigantesco
de ocultação e manipulação de dados contábeis e falhas em auditorias, os Estados
Unidos aprovaram a chamada Lei Sarbanes-Oxley. Por meio dela, buscaram mitigar
riscos, evitar a ocorrência de fraudes, proteger investidores e assegurar que as
empresas que participam do mercado acionário norte-americano possuam estruturas
e mecanismos adequados de governança (USA, 2001)8.
• Em 2004, o COSO publicou o Enterprise Risk Management – Integrated Framework
(conhecido como COSO-ERM ou COSO II), modelo de referência que estendeu o COSO
I, tendo como foco a gestão de riscos corporativos.
• No mesmo ano (2004) foi firmado o Acordo de Basileia II, aplicável a instituições
bancárias em nível mundial, contendo requisitos específicos relacionados à gestão
de riscos operacionais (BCBS, 2004). Ainda em 2004 foi lançada versão atualizada e
expandida da norma AS/NZS 4360 (AUSTRÁLIA, 2004)9.
• Em 2009 foi publicada a norma técnica ISO 31000 Risk Management – Principles and
Guidelines, que provê princípios e boas práticas para um processo de gestão de riscos
corporativos, aplicável a organizações de qualquer setor, atividade e tamanho (ABNT,
2009) e é hoje uma das principais referências mundiais no tema. O modelo preconizado
na ISO 31000 aprimorou os conceitos, as diretrizes e as práticas recomendadas em
normas técnicas de aplicação local que a precederam, como a AS/ NZS 4360. A partir
de 2015 iniciou-se o processo de revisão da ISO 31000 pelo Comitê Técnico da ISO
ISO/TC 262/WG2.
7
Com base no Orange Book, o então Ministério do Planejamento, Orçamento e Gestão produziu o Guia de Orientação para
o Gerenciamento de Riscos, para apoiar o Modelo de Excelência do Sistema de Gestão Pública (GESPÚBLICA) e prover
uma introdução ao tema gerenciamento de riscos (BRASIL, 2013).
8
ESTADOS UNIDOS. General Accounting Office (GAO). GAO-01-1008G: Ferramenta de gestão e avaliação de controle
interno. Washington, D.C., 2001.
9
AUSTRÁLIA. AS/NZS 4360:2004 – Risk Management, Australia Standards, 2004. Acesso em: maio, 2016.
Gestão de Riscos
Adriel Sá
Agora, vejamos nossa linha do tempo completa:
2.2. MODELOS DE GESTÃO DE RISCOS
2.2.1. COSO II – GERENCIAMENTO DE RISCOS CORPORATIVOS – ESTRUTURA INTEGRADA

Trata-se de modelo de gestão de riscos predominante no cenário corporativo
internacional, especialmente na América do Norte, desenvolvido pela PricewaterhouseCoopers
LLP, sob encomenda do COSO, com o propósito de fornecer estratégia de fácil utilização
pelas organizações para avaliar e melhorar a gestão de riscos.
O modelo é apresentado na forma de matriz tridimensional (cubo), demonstrando
uma visão integrada dos componentes que os gestores precisam adotar para gerenciar os
riscos de modo eficaz, no contexto dos objetivos e da estrutura de cada organização.
Gestão de Riscos
Adriel Sá
Modelo de Gestão de Riscos previstos no COSO II
A face superior do cubo apresenta as categorias de objetivos que são comuns a todas
as organizações e que a gestão de riscos deve fornecer segurança razoável de seu alcance.
A face lateral esquerda indica os componentes que devem estar presentes e funcionando
de modo integrado à rotina da organização para que a gestão de riscos seja eficaz.
Por fim, a face lateral direita representa a estrutura organizacional, os diversos níveis e/
ou funções da organização, incluindo projetos, processos e demais atividades que concorrem
para a realização dos seus objetivos.
004. (VUNESP/2013/AUDITOR/COREN SP) Segundo a metodologia COSO II (Committee of

Sponsoring Organizations of the Treadway Commission), os objetivos que deverão ser tratados
como objetos de gerenciamento de risco, conforme modelo (framework) apresentado por
aquela entidade são:
a) estratégico, operacional, de comunicação e de conformidade.
b) estratégico, financeiro, patrimonial e de monitoramento.
c) operacional, financeiro, de patrimônio e de monitoramento.
d) estratégico, operacional, financeiro e de observância.
e) operacional, de comunicação, de conformidade e de observância.
Gestão de Riscos
Adriel Sá
Como vimos, a face superior do cubo apresenta as categorias de objetivos que são comuns
a todas as organizações e que a gestão de riscos deve fornecer segurança razoável de seu
alcance: estratégico, operacional, de comunicação e de conformidade.
Letra a.
2.2.2. COSO GRC 2016 – ALINHANDO RISCO COM ESTRATÉGIA E DESEMPENHO

Em junho de 2016, o COSO colocou em consulta pública uma revisão do modelo de
2004, adotando um novo título – “Alinhando Risco com Estratégia e Desempenho” – para
destacar a importância da gestão de riscos na definição e na execução da estratégia e na
gestão do desempenho organizacional.
Com a incorporação dessa perspectiva, o modelo proporciona maior alinhamento às
expectativas em torno das responsabilidades das instâncias de governança e da alta
administração no cumprimento das suas obrigações de accountability.
O COSO GRC revisa e atualiza os componentes do COSO II, adota princípios, simplifica suas
definições, enfatiza o papel da cultura e melhora o foco no valor, isto é, como as organizações
criam, preservam e realizam valor, inserindo a gestão de riscos em três dimensões que
são fundamentais à gestão de uma organização: (1) missão, visão e valores centrais; (2)
objetivos estratégicos e de negócios; e (3) desempenho organizacional.
Modelo de gestão de riscos COSO GRC 2016 em consulta pública
O modelo explora a gestão da estratégia e dos riscos corporativos a partir de três

perspectivas diferentes, tornando mais claras as responsabilidades da governança e da
alta administração no seu papel de supervisionar e no seu dever de se envolver no processo
de gerenciamento do risco corporativo de modo efetivo.
Gestão de Riscos
Adriel Sá
As perspectivas exploradas são: (a) a possibilidade de que os objetivos estratégicos e

de negócios não se alinharem com a missão, a visão e os valores centrais da organização;
(b) as implicações da estratégica escolhida; e (c) os riscos para a execução da estratégia.
O novo modelo melhora o alinhamento da gestão de riscos com a gestão do desempenho,
explorando como as práticas de gestão de riscos apoiam a identificação e avaliação de
riscos que impactam o desempenho, elevando a necessidade de definir variações aceitáveis
no desempenho, também denominadas tolerâncias a risco, em nível de princípio.
O modelo revisado reduz de oito para cinco os componentes da gestão de riscos: (1)
governança e cultura; (2) estratégia e definição de objetivos; (3) desempenho; (4) revisão
e correção; e (5) informação, comunicação e reporte.
Associados aos componentes, foram adotados vinte princípios de gestão de riscos, que
representam as práticas que podem ser aplicáveis de diferentes maneiras por diferentes
organizações, independentemente de tamanho ou setor, cuja implementação permitirá que
a governança e a administração tenham uma expectativa razoável de que a organização
entende e é capaz de gerenciar os riscos associados com a estratégia e os objetivos de
negócio, em um nível aceitável.
2.2.3. ISO 31000 – GESTÃO DE RISCOS – PRINCÍPIOS E DIRETRIZES

A ISO 31000 fornece princípios e diretrizes para gerenciar qualquer tipo de risco
em toda ou em parte de qualquer tipo de organização. Trata-se de uma norma geral,
independentemente de indústria, setor ou área e não concorre com outras normas sobre
gestão de riscos em áreas específicas.
Busca servir como um guia mestre em matéria de gestão de riscos e harmonizar os
processos de gestão de riscos, fornecendo uma abordagem comum, que pode ser aplicada
a uma ampla gama de atividades, incluindo estratégias, decisões, operações, processos,
funções, projetos, produtos, serviços e ativos (ABNT, 2009)10.
10
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS – ABNT. NBR ISO 31000: Gestão de riscos: Princípios e diretrizes. Rio
de Janeiro, 2009.
Gestão de Riscos
Adriel Sá
Relação entre princípios, estrutura e processo de gestão de risco
A norma ISO 31000 está estruturada em três partes fundamentais inter-relacionadas:

os princípios, a estrutura e o processo de gestão de riscos. Uma contribuição fundamental
da ISO 31000 é o processo de gestão de riscos, cujo propósito é fornecer uma abordagem
comum para a aplicação sistemática de políticas, procedimentos e práticas de gestão
de riscos.
Gestão de Riscos
Adriel Sá
Vejamos um esquema que ilustra essas três partes fundamentais:
Princípios, estrutura e processo de gestão de riscos
2.2.3.1. PRINCÍPIOS DA GESTÃO DE RISCOS

Integrada A gestão de riscos é parte integrante de todas as atividades organizacionais.
Estruturada e Uma abordagem estruturada e abrangente para a gestão de riscos contribui
abrangente para resultados consistentes e comparáveis.
A estrutura e o processo de gestão de riscos são personalizados e
Personalizada proporcionais aos contextos externo e interno da organização relacionados
aos seus objetivos.
O envolvimento apropriado e oportuno das partes interessadas possibilita
Inclusiva que seus conhecimentos, pontos de vista e percepções sejam considerados.
Isto resulta em melhor conscientização e gestão de riscos fundamentada.
Riscos podem emergir, mudar ou desaparecer à medida que os contextos
externo e interno de uma organização mudem. A gestão de riscos antecipa,
Dinâmica
detecta, reconhece e responde a estas mudanças e eventos de uma maneira
apropriada e oportuna.
As entradas para a gestão de riscos são baseadas em informações
históricas e atuais, bem como em expectativas futuras. A gestão de riscos
Melhor informação
explicitamente leva em consideração quaisquer limitações e incertezas
disponível
associadas a estas informações e expectativas. Convém que a informação
seja oportuna, clara e disponível para as partes interessadas pertinentes.
Fatores humanos e O comportamento humano e a cultura influenciam significativamente
culturais todos os aspectos da gestão de riscos em cada nível e estágio.
A gestão de riscos é melhorada continuamente por meio do aprendizado
Melhoria contínua
e experiências.
Gestão de Riscos
Adriel Sá
2.2.3.2. ESTRUTURA DA GESTÃO DE RISCOS
Convém que a Alta Direção e os órgãos de supervisão, onde aplicável,

Liderança e
assegurem que a gestão de riscos esteja integrada em todas as atividades
Comprometimento
da organização, e convém que demonstrem liderança e comprometimento.
A integração da gestão de riscos apoia-se em uma compreensão das
Integração estruturas e do contexto organizacional. Estruturas diferem, dependendo
do propósito, metas e complexidade da organização.
Ao conceber a estrutura para gerenciar riscos, convém que a organização
Concepção
examine e entenda seus contextos externo e interno.
A implementação bem-sucedida da estrutura requer o engajamento e a
conscientização das partes interessadas. Isso permite que as organizações
Implementação abordem explicitamente a incerteza na tomada de decisão, enquanto
também asseguram que qualquer incerteza nova ou posterior possa ser
levada em consideração à medida que ela surja.
Para avaliar a eficácia da estrutura de gestão de riscos, convém que a
organização:
• mensure periodicamente o desempenho da estrutura de gestão de
Avaliação riscos em relação ao seu propósito, planos de implementação, indicadores
e comportamento esperado;
• determine se permanece adequada para apoiar o alcance dos objetivos
da organização.
Convém que a organização monitore e adapte continuamente a estrutura
Melhoria de gestão de riscos para abordar as mudanças externas e internas. Ao
fazer isso, a organização pode melhorar seu valor.
2.2.3.3. PROCESSO DE GESTÃO DE RISCOS

O propósito da COMUNICAÇÃO E CONSULTA é auxiliar as partes interessadas
Comunicação e
pertinentes na compreensão do risco, na base sobre a qual decisões são tomadas
Consulta
e nas razões pelas quais ações específicas são requeridas.
O propósito do estabelecimento do ESCOPO, CONTEXTO E CRITÉRIOS é
Escopo, Contexto e
personalizar o processo de gestão de riscos, permitindo um processo de avaliação
Critérios
de riscos eficaz e um tratamento de riscos apropriado.
Esse processo engloba três etapas: identificação, análise e avaliação.
O propósito da identificação de riscos é encontrar, reconhecer e descrever riscos
que possam ajudar ou impedir que uma organização alcance seus objetivos.
Processo de Avaliação
O propósito da análise de riscos é compreender a natureza do risco e suas
de Riscos
características, incluindo o nível de risco, onde apropriado.
O processo de avaliação de riscos é o processo global de identificação de riscos
e análise de riscos.
O propósito do TRATAMENTO DE RISCOS é selecionar e implementar opções
Tratamento de Riscos
para abordar riscos.
Monitoramento e O propósito do MONITORAMENTO E ANÁLISE CRÍTICA é assegurar e melhorar
Análise Crítica a qualidade e eficácia da concepção, implementação e resultados do processo.
Convém que o processo de gestão de riscos e seus resultados sejam documentados
Registro e Relato
e relatados por meio de mecanismos apropriados.
Gestão de Riscos
Adriel Sá
005. (VUNESP/2015/AUDITOR MUNICIPAL DE CONTROLE INTERNO (SP)/GERAL) O processo

de análise de riscos, em conformidade com a estrutura de gestão de riscos, é precedida e
sucedido, respectivamente,
a) pelo tratamento de riscos e pela avaliação de riscos.
b) pela avaliação de riscos e pelo tratamento de riscos.
c) pela identificação de riscos e pelo tratamento de riscos.
d) pela avaliação de riscos e pela identificação de riscos.
e) pela identificação de riscos e pela avaliação de riscos.
Vimos que o processo de avaliação de riscos envolve:

• Identificação de riscos;
• Análise de riscos;
• Avaliação de riscos;
Portanto, de acordo com a estrutura da gestão de riscos, o processo de análise de riscos é
precedido e sucedido, respectivamente, pela identificação de riscos e pela avaliação de
riscos.
Letra e.
006. (CEBRASPE-CESPE/2016/AUDITOR DE CONTROLE EXTERNO/TCE-PA/INFORMÁTICA/

ANALISTA DE SEGURANÇA) Com relação ao que dispõe a NBR ISO 31000:2009 acerca da
gestão de riscos, julgue o item subsecutivo.
A gestão de riscos é uma atividade autônoma e independente de outros processos da
organização.
Ainda que se trate da primeira versão da norma, a questão não está desatualizada.
De acordo com a NBR ISO 31000:2018, a gestão de riscos não é uma atividade autônoma
e independente de outros processos da organização. Pelo contrário, um de seus princípios
prevê a integração da gestão de riscos a todos os níveis e processos da organização, incluindo
o planejamento estratégico, a tomada de decisões e a execução das atividades.
Errado.
Gestão de Riscos
Adriel Sá
007. (CEBRASPE-CESPE/2020/PROFISSIONAL DE TECNOLOGIA DA INFORMAÇÃO - ME/

ATIVIDADES TÉCNICAS DE COMPLEXIDADE GERENCIAL, DE TECNOLOGIA DA INFORMAÇÃO
E DE ENGENHARIA SÊNIOR/GESTÃO DE PROJETOS) Com relação à gestão de riscos, julgue
o seguinte item.
A definição de critérios de riscos é feita durante o estabelecimento do contexto da gestão
de riscos.
O estabelecimento do escopo, do contexto e dos critérios fazem parte de um mesmo

processo, permitindo que a avaliação de riscos seja eficaz e obtenha tratamento de riscos
apropriado.
Assim, como vimos, a definição de critérios de riscos é feita durante o estabelecimento do
contexto da gestão de riscos.
Em resumo, escopo, contexto e critérios envolvem a definição do escopo do processo, a
compreensão dos contextos externo e interno, além da definição de critérios.
Certo.
008. (FGV/ATIVIDADES TÉCNICAS DE COMPLEXIDADE GERENCIAL/MEC/ANALISTA DE

SEGURANÇA/2009) No tocante à Gestão de Risco, um processo avalia a probabilidade e
as consequências dos riscos identificados, atribuindo uma classificação geral de risco ao
projeto e criando uma lista de riscos por ordem de prioridade.
Esse processo é conhecido por:
a) Identificação de Riscos.
b) Análise Qualitativa de Riscos.
c) Planejamento de Respostas a Riscos.
d) Análise de Responsabilidades dos Riscos.
e) Planejamento do Gerenciamento de Riscos.
A única alternativa que menciona uma classificação do risco é a letra B: análise qualitativa
de riscos. Em resumo:
• Análise qualitativa: realiza uma avaliação subjetiva da probabilidade de ocorrência dos
eventos incertos considerando a gravidade potencial dos seus possíveis resultados
(impactos), a fim de concluir qual a gravidade geral do risco.
• Análise quantitativa: utiliza as informações disponíveis para quantificar, ou seja,
representar em valor numérico a probabilidade de determinado evento (risco) ocorrer.
Portanto, é usado para calcular a probabilidade e aceitabilidade de determinados riscos.
Letra b.
Gestão de Riscos
Adriel Sá
009. (FGV/ANALISTA DO MINISTÉRIO PÚBLICO/MPE AL/ADMINISTRADOR DE BANCO DE

DADOS/2018) A Gerência de Riscos avalia os riscos de uma determinada organização, com
o propósito de identificar ameaças e vulnerabilidades nos seus ativos.
Em geral, a avaliação de riscos deve ser
a) imediata e irrestrita.
b) pública e privada.
c) manual e automática.
d) qualitativa e quantitativa.
e) total e local.
A avaliação de riscos pode ser feita tanto de forma qualitativa quanto quantitativa.
A abordagem qualitativa envolve a identificação e análise subjetiva dos riscos, levando em
consideração fatores como probabilidade, impacto e criticidade.
Já a abordagem quantitativa envolve a análise dos riscos utilizando medidas numéricas, como
probabilidades e valores monetários, permitindo uma análise mais precisa e mensurável.
Letra d.
010. (FCC/2019/ANALISTA JUDICIÁRIO/TRF 3ª REGIÃO/APOIO ESPECIALIZADO/INFORMÁTICA)

Uma das abordagens mais recentes sobre gestão de riscos no âmbito das organizações
está contida na norma técnica ABNT NBR ISO 31000 − Gestão de Risco, segundo a qual o
denominado “tratamento de risco” consiste em
a) processo para modificar o risco, atuando sobre a probabilidade ou consequência do risco.
b) estabelecer referências em face das quais a significância de um risco é avaliada.
c) identificar a natureza do risco, entre provável, possível ou remoto, e determinar a sua
alocação.
d) aferir o grau de probabilidade da materialização do risco, utilizando cenários de
comparabilidade.
e) avaliar a magnitude da consequência do risco para fins de explicitação e quantificação
nas demonstrações financeiras.
Como vimos, o tratamento de riscos é um processo para selecionar e implementar opções

para abordar riscos.
Ou seja, se o objetivo é tratar o risco, pretendemos agir sobre ele, modificando a sua
natureza, suas probabilidades e suas prováveis consequências.
Letra a.
Gestão de Riscos
Adriel Sá
011. (VUNESP/2011/ENGENHEIRO/PREF DIADEMA/SEGURANÇA DO TRABALHO) No Programa

de Gerenciamento de Riscos, a etapa de monitoramento desempenha importante função
de prover informações sobre o programa, sendo correto afirmar que nesta etapa
a) melhorará o entendimento que as partes interessadas têm sobre as fontes de dano e
do processo de gestão de riscos.
b) serão verificados se os pressupostos assumidos para o controle estão corretos e se o
cadastro de riscos se mantém atualizado.
c) serão identificados quais fatores podem aumentar ou diminuir as frequências e as
consequências frente a um cenário de risco.
d) serão estabelecidos um conjunto de critérios qualitativos e quantitativos com base nos
quais os riscos serão avaliados.
e) será analisado se o risco residual se mantém o mesmo ou não para os diferentes grupos
expostos.
Durante a etapa de monitoramento, é importante verificar se os pressupostos assumidos

para o controle estão corretos, ou seja, se as medidas de controle adotadas estão sendo
efetivas na redução dos riscos.
Além disso, é necessário manter o cadastro de riscos atualizado, para garantir que novos
riscos sejam identificados e avaliados de forma adequada.
Logo, nosso gabarito é a letra B.
Vejamos as demais alternativas incorretas:
a) Errada. O objetivo do monitoramento não é melhorar o entendimento que as partes
interessadas têm sobre as fontes de dano e do processo de gestão de riscos. Essa melhoria
pode ocorrer ao longo do processo de comunicação e consulta com as partes interessadas,
mas não é específica da etapa de monitoramento.
c) Errada. A identificação dos fatores que podem aumentar ou diminuir as frequências e as
consequências dos riscos é uma atividade realizada na etapa de avaliação de riscos, e não
na etapa de monitoramento.
d) Errada. O estabelecimento de critérios qualitativos e quantitativos para a avaliação de
riscos é realizado na etapa de avaliação de riscos, e não na etapa de monitoramento.
e) Errada. A análise do risco residual, ou seja, do risco que permanece após a aplicação das
medidas de controle, é uma atividade realizada na etapa de avaliação de riscos, e não na
etapa de monitoramento.
Letra b.
Gestão de Riscos
Adriel Sá
3. TÉCNICAS DE GESTÃO DE RISCOS

O documento que fornece orientação para a seleção e aplicação de várias técnicas de
gestão de riscos é a NBR IEC 31010:2021.
As técnicas são usadas nas etapas do processo de avaliação de riscos de identificação,
análise e avaliação de riscos, e de forma geral, quando há necessidade de entender a
incerteza e os seus efeitos.
Temos uma infinidade de técnicas listadas na norma mencionada. E vamos colocar aqui
todas elas. Minha sugestão é que você leia atentamente cada uma delas, usando sua forma
particular de memorização, se houver tempo para isso.
Para facilitar essa assimilação, vamos colocar o máximo de questões sobre essas técnicas
que já foram cobradas em provas, ok?
TÉCNICA DESCRIÇÃO APLICAÇÃO MÉTODO
Uma maneira diagramática
Analisar riscos,
de descrever os caminhos das
controlar Qualitativo e
Análise Bow Tie fontes de risco aos resultados
análises, semiquantitativo
e analisar criticamente os
descrever riscos
controles
Técnica usada em oficinas
Obter pontos de
Brainstorming para incentivar o pensamento Qualitativo
vista
imaginativo
Combinação de análise de
falha e árvore de eventos que
Análise Causa- Analisar causas
considera tanto as causas Quantitativo
consequência e consequências
quanto as consequências de
um evento inicial
Compara os riscos
Matriz de Qualitativo,
selecionando uma combinação Relatar riscos,
probabilidade ou semiqualitativo e
de consequência/probabilidade avaliar
consequência quantitativo
e exibindo-os em uma matriz
Coleta julgamentos por meio
de questionários sequenciais, Obter pontos de
Técnica Delph Qualitativo
com feedback das respostas vista
dos outros participantes
Modela os resultados possíveis
de um evento inicial e o status Analisar
Análise de Árvore de Qualitativo e
dos controles, analisando a consequências e
Eventos (ETA) quantitativo
frequência ou probabilidade controles
dos resultados
Analisa as causas de um evento
Analisar
Análise de Árvore de de foco usando lógica booleana Qualitativo e
probabilidades,
Falhas (FTA) para descrever combinações de quantitativo
analisar causas
falhas
Gestão de Riscos
Adriel Sá
TÉCNICA DESCRIÇÃO APLICAÇÃO MÉTODO

Considera as maneiras pelas
Análise de Modos e Qualitativo,
quais cada componente de um
Efeitos de Falha (e Identificar riscos semiquantitativo
sistema pode falhar e a causa e
criticidade) (FMEA) e quantitativo
efeito da falha
Exame estruturado e
Estudos de Perigo sistemático de um processo
Identificar e
e Operacionalidade ou operação para identificar Qualitativo
analisar riscos
(HAZOP) e avaliar problemas que
representem riscos
Análise de Ishikawa Identifica fatores contribuintes
Analisar as
(Diagrama Espinha de para um resultado definido Qualitativo
fontes de risco
Peixe) (desejado ou indesejado)
Obtém visões de um grupo
Técnica de Grupo de pessoas, com participação Obter pontos de
Qualitativo
Nominal inicial individual seguida de vista
discussão em grupo
Estabelece prioridades
com base no princípio de
Estabelecer Semiquantitativo
Gráfico de Pareto Pareto, que afirma que
prioridades e quantitativo
aproximadamente 80% dos
efeitos vêm de 20% das causas
Identifica possíveis cenários
futuros por meio de
Identificar
imaginação, extrapolação
Análise de Cenários riscos, analisar Qualitativo
do presente ou modelagem
consequências
e considera o risco em cada
cenário
Uma forma mais simples de
Técnica Estruturada HAZOP com prompts de “e se”
Identificar riscos Qualitativo
“E Se” (SWIFT) para identificar desvios do
esperado
012. (CESGRANRIO/2017/PROFISSIONAL PETROBRÁS DE NÍVEL TÉCNICO/PETROBRAS/

SEGURANÇA) A técnica de Análise de Riscos indicada para identificar os perigos e os problemas
de operabilidade de uma instalação de processo é a
a) What-if/checklist
b) HAZOP
c) AMFE
d) AAF
e) APR
Gestão de Riscos
Adriel Sá
Vejamos:
Exame estruturado e
Estudos de Perigo sistemático de um processo
Identificar e analisar
e Operacionalidade ou operação para identificar Qualitativo
riscos
(HAZOP) e avaliar problemas que
representem riscos

Sobre as alternativas:
a) What-if/checklist: o What-if/checklist é uma técnica que consiste em uma lista de
perguntas do tipo “E se?” ou “O que aconteceria se...?”, onde os participantes avaliam
possíveis cenários de risco e identificam medidas de prevenção. Embora seja útil para
identificar riscos, não é a técnica mais indicada para identificar perigos e problemas de
operabilidade em instalações de processo.
c) AMFE (Análise de Modos de Falha e Efeitos): a AMFE é uma técnica que se concentra no
estudo de falhas e suas potenciais consequências. Embora possa ser aplicada em instalações
de processo, não é especificamente direcionada para identificar problemas de operabilidade.
d) AAF (Análise de Árvore de Falhas): a AAF é uma técnica que busca identificar as possíveis
sequências de eventos que levam a uma falha específica, analisando as relações lógicas
entre os eventos. Embora seja útil para entender as causas de falhas, não está focada na
identificação de perigos e problemas de operabilidade em instalações de processo.
e) APR (Análise Preliminar de Riscos): a APR é uma técnica que visa identificar os riscos
associados a um sistema ou processo de forma preliminar, fornecendo uma visão geral das
principais preocupações. Embora seja uma etapa importante no gerenciamento de riscos,
não é a técnica mais indicada para identificar perigos e problemas de operabilidade em
instalações de processo.
Letra b.
4. BOAS PRÁTICAS DE GESTÃO DE RISCOS

Mais uma vez, vamos tomar como base para esse tópico o Referencial básico de gestão
de riscos do TCU11.
Muitas organizações que querem implementar a gestão de riscos se perguntam por onde
começar. As instituições que já deram o primeiro passo nessa direção geralmente seguem
passos semelhantes, tais como:
11
BRASIL. Tribunal de Contas da União. Referencial básico de gestão de riscos. Brasília: TCU, Secretaria Geral de Controle
Externo (Segecex), 2018.
Gestão de Riscos
Adriel Sá
1. Montagem de um grupo de trabalho;

2. Realização de estudos preliminares;
3. Definição da estratégia e da estrutura de gestão de riscos;
4. Criação de uma política de gestão de riscos;
5. Estabelecimento de responsabilidades das partes interessadas;
6. Definição do processo de gestão de riscos;
7. Implementação da gestão de riscos, começando com unidades, processos e projetos-
piloto, e depois adaptando e expandindo para outros casos;
8. Monitoramento e revisão do processo.
Embora essa não seja a única maneira de fazer, e não podemos garantir que seja a melhor,
ela tem sido frequentemente adotada no setor público brasileiro. A seguir, apresentaremos
algumas práticas encontradas que podem ser facilmente replicadas.
4.1. GRUPO DE TRABALHO

A primeira prática comumente adotada para implantação da gestão de riscos no âmbito
de uma organização consiste na formação de um grupo de trabalho.
Idealmente, esse grupo deve ser composto por pessoas que conheçam e/ou tenham
interesse em aplicar os principais modelos, processos, técnicas e ferramentas de gestão de risco.
Elas devem possuir habilidades técnicas e gerencias suficientes para serem capazes de
definir a estratégia, propor mudanças em processos e normativos, planejar e coordenar o
processo de implantação.
Devem, ainda, ter atitudes que contribuam para o resultado como, por exemplo, interesse
no tema, automotivação e persistência para continuar mesmo em face a resistências
comumente encontradas.
4.2. ESTUDOS PRELIMINARES

Feito isso, o próximo passo consiste em realizar estudos preliminares que visam
aprofundar o conhecimento acerca do tema “gestão de riscos” e, mais importante, acerca
do ambiente interno e externo no qual a organização está inserida.
Aqui o que se busca é identificar que processo, unidades e projetos são críticos para
a organização e se beneficiariam mais da adoção imediata de práticas de gestão de risco.
Entre as ferramentas e técnicas que podem apoiar essa atividade estão: revisão de
literatura, análise documental, visitas técnicas, entrevistas, análise SWOT, análise de
cenários, BIA (business impact analysis), análise de custo-benefício e análise de viabilidade.
Gestão de Riscos
Adriel Sá
4.3. ESTRATÉGIA DE IMPLANTAÇÃO E DEFINIÇÃO DE ARQUITETURA

Conhecido o ambiente, o próximo passo consiste em definir a estratégia de implantação.
A estratégia deve apontar, pelo menos:
• quais objetivos a organização quer alcançar com a gestão de riscos;
• quem são os responsáveis pela coordenação da implantação da gestão de riscos;
• que estruturas (processos, ferramentas, normas e pessoas) são necessárias;
• quais objetos, estruturas, processos e projetos são críticos e se beneficiariam da
adoção dessas práticas; e
• qual a melhor ordem e momento para implantação.
De acordo com o IBGC (2007) 12, para implantar um modelo de Gestão de Riscos
Corporativos (GRCorp) e promover uma cultura de gerenciamento de riscos na organização
deve-se elaborar uma arquitetura para facilitar e viabilizar o gerenciamento do risco
propriamente dito, cuja concepção e implementação trazem inúmeros benefícios para a
organização, tais como:
• aderência dos processos internos ao perfil de riscos estabelecido pelo conselho de
administração;
• clareza quanto às regras de governança para gerir a exposição a risco;
• endereçamento de lacunas de capacitação de pessoas, processos e sistemas; e
• implementação de sistemas de controles eficazes.
Ainda conforme o IBGC, a arquitetura para o GRCorp deve girar em torno e se condicionar
aos objetivos estratégicos e metas da organização. Para tanto é importante que esses
estejam definidos e sejam gerenciados; norteiem as prioridades da organização no que se
refere a riscos e controles internos.
Não por menos, o IBGC sugere que um conjunto de perguntas, descritas no quadro abaixo,
sejam feitas para cada um dos objetivos da organização, de sorte a orientar a definição da
arquitetura de GRCorp a ser adotada.
4.4. POLÍTICA DE GESTÃO DE RISCOS

Respondidas aquelas perguntas e tomadas as decisões, passa-se à definição da política
de gestão de riscos.
Esse documento deve explicitar:
• os objetivos e o comprometimento da organização em relação à gestão de riscos;
• a justificativa da organização para gerenciar riscos;
12
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA - IBGC. Guia de Orientação para Gerenciamento de Riscos
Corporativos (2007). Acessado em: outubro de 2017.
Gestão de Riscos
Adriel Sá
• as ligações entre os objetivos e políticas da organização com a política de gestão de riscos;

• as responsabilidades para gerenciar riscos;
• a forma com que são tratados conflitos de interesses;
• o comprometimento de tornar disponíveis os recursos necessários para auxiliar os
responsáveis pelo gerenciamento dos riscos;
• a forma com que o desempenho da gestão de riscos será medido e reportado; e
• o comprometimento de analisar criticamente e melhorar periodicamente a política e a
estrutura da gestão de riscos em resposta a um evento ou mudança nas circunstâncias.
4.5. DELEGAÇÃO E COMPROMETIMENTO

A introdução da gestão de riscos e a garantia de sua contínua eficácia requerem
comprometimento forte e sustentado a ser assumido pela administração da organização,
bem como um planejamento rigoroso e estratégico para obter-se esse comprometimento
em todos os níveis.
Para tanto, convém que a administração:
• defina e aprove a política de gestão de riscos;
• assegure que a cultura da organização e a política de gestão de riscos estejam alinhadas;
• defina indicadores de desempenho para a gestão de riscos que estejam alinhados
com os indicadores de desempenho da organização;
• alinhe os objetivos da gestão de riscos com os objetivos e estratégias da organização;
• assegure a conformidade legal e regulatória;
• atribua responsabilidades nos níveis apropriados dentro da organização;
• assegure que os recursos necessários sejam alocados para a gestão de riscos;
• comunique os benefícios da gestão de riscos a todas as partes interessadas; e
• assegure que a estrutura para gerenciar riscos continue a ser apropriada.
4.6. PROCESSO DE GESTÃO DE RISCOS

Aprovada a política de gestão de riscos e definida a responsabilidade das partes
interessadas, o próximo passo consiste na definição do processo de gestão de riscos.
Neste ponto, é bom atentar para o fato que dentro de uma mesma organização podem
existir múltiplos processos de gestão de riscos, cada um deles adequado para um determinado
tipo de objetivo e objeto.
Expressões como risco de projeto, risco operacional, risco legal, risco de mercado,
risco de crédito, risco de liquidez, risco de contágio, risco de reputação, risco de fraude e
corrupção são alguns exemplos de conceitos associados a modelos/processos de gestão
de riscos especializados.
Gestão de Riscos
Adriel Sá
Existe rica e variada literatura versando sobre possíveis formas de se gerenciar riscos.
Em comum entre vários modelos, estão aspectos como o estabelecimento de contexto;
identificação, análise e avaliação de riscos; tratamento de riscos; comunicação, consulta;
e monitoramento de riscos.
O desafio que se impõe nesse momento é o de garantir a integração dos modelos e
processos estabelecidos de sorte a conciliar necessidades específicas e gerais, e assegurar
a governabilidade, o controle e a gestão integrada dos riscos.
4.7. IMPLEMENTAÇÃO DA GESTÃO DE RISCOS

Findas as etapas de delegação e concepção, inicia-se a implementação. Na implementação
da estrutura de gestão de riscos, conforme a ABNT ISO/IEC 31000, convém que:
• defina-se a estratégia e o momento apropriado para implementação da estrutura;
• aplique-se a política e o processo de gestão de riscos aos processos organizacionais;
• atenda-se aos requisitos legais e regulamentares;
• assegure-se de que a tomada de decisões, incluindo o desenvolvimento e o
estabelecimento de objetivos, esteja alinhada com os resultados dos processos de
gestão de riscos;
• mantenham-se sessões de informação e treinamento; e
• consulte-se e comunique-se com as partes interessadas para assegurar que a estrutura
da gestão de riscos continua apropriada.
4.8. MONITORAMENTO E REVISÃO

Ressalte-se, por oportuno, que, a fim de assegurar que a gestão de riscos seja eficaz
e contribua para o desempenho organizacional, a ABNT ISO/IEC 31000 recomenda que as
organizações monitorem e analisem criticamente a estrutura estabelecida.
Para tanto, orientam-nas a:
• medir o desempenho da gestão de riscos utilizando indicadores, os quais devem ser
analisados criticamente de forma periódica para garantir sua adequação;
• medir periodicamente o progresso obtido ou o desvio em relação ao plano de gestão
de riscos;
• analisar criticamente e de forma periódica se a política, o plano e a estrutura da gestão
de riscos ainda são apropriados, dado o contexto externo e interno das organizações;
• reportar sobre os riscos, sobre o progresso do plano de gestão de riscos e como a
política de gestão de riscos está sendo seguida; e
• analisar criticamente a eficácia da estrutura da gestão de riscos.
Gestão de Riscos
Adriel Sá
RESUMO
• Um risco é uma situação incerta que pode afetar os objetivos a serem alcançados.
• A gestão de riscos é um processo sistemático que envolve identificar, analisar, avaliar
e responder aos riscos.
• A gestão de riscos busca minimizar as incertezas e maximizar as oportunidades.
• A gestão de riscos tem suas raízes históricas em práticas como fortificar muros, fazer
alianças e estocar provisões.
• Frank Knight publicou uma obra em 1921 que estabeleceu conceitos e princípios
relacionados à gestão de riscos.
• Em 1975, um artigo na revista Fortune abordou o tema da gestão de riscos no
contexto corporativo e atribuiu à alta administração a responsabilidade por políticas
de gestão de riscos.
• No início dos anos 90, foram publicados três documentos de referência: COSO I,
Cadbury e AS/NZS 4360:1995.
• O COSO I consolidou a ideia de gestão de risco corporativo e apresentou princípios e
boas práticas de gestão e controle interno.
• O relatório Cadbury atribuiu a responsabilidade pela gestão de riscos ao corpo
governante superior das entidades.
• A norma AS/NZS 4360:1995 estabeleceu o primeiro modelo oficial para a gestão de
riscos.
• No início do século XXI, ocorreu a consolidação e disseminação de práticas de gestão
de risco corporativo.
• O The Orange Book se tornou referência no programa de gestão de riscos do governo
do Reino Unido.
• A Lei Sarbanes-Oxley foi aprovada nos Estados Unidos em 2002 para mitigar riscos
e evitar fraudes.
• O COSO-ERM (COSO II) estendeu o COSO I, focando na gestão de riscos corporativos.
• O Acordo de Basileia II estabeleceu requisitos específicos para a gestão de riscos
operacionais em instituições bancárias.
• A norma ISO 31000:2009 se tornou uma das principais referências mundiais em
gestão de riscos corporativos.
• A ISO 31000 aprimorou conceitos, diretrizes e práticas recomendadas em normas
anteriores, como a AS/NZS 4360.
• A norma ISO 31000 fornece princípios e diretrizes para gerenciar qualquer tipo de
risco em qualquer tipo de organização.
Gestão de Riscos
Adriel Sá
• A norma é aplicável a uma ampla gama de atividades, como estratégias, operações,

projetos e serviços.
• A ISO 31000 busca harmonizar os processos de gestão de riscos e servir como um
guia mestre nessa área.
• A norma está estruturada em três partes: princípios, estrutura e processo de gestão
de riscos.
• O propósito da gestão de riscos é a criação e proteção de valor, melhorando o
desempenho e ajudando a alcançar objetivos.
• Os princípios da gestão de riscos são a base para estabelecer a estrutura e os processos
de gerenciamento de riscos da organização.
• A abordagem de gestão de riscos deve ser integrada; estruturada e abrangente;
personalizada; inclusiva; dinâmica; baseada na melhor informação disponível; fatores
culturais e humanos; e melhoria contínua.
• O processo de gestão de riscos baseado na norma ISO 31000 é aplicado em diversas
atividades da organização.
• A comunicação e consulta são importantes para auxiliar as partes interessadas na
compreensão dos riscos e nas ações necessárias.
• O contexto, definido pelos objetivos da organização, é essencial para a gestão de riscos.
• A identificação de riscos visa encontrar e descrever os riscos que podem afetar os
objetivos da organização.
• A análise de riscos pode ser qualitativa (baseada em julgamentos e percepções) ou
quantitativa (utilizando dados numéricos e medidas objetivas).
• A avaliação de riscos envolve a comparação dos resultados da análise de riscos com
critérios estabelecidos para determinar a necessidade de ação adicional.
• O tratamento de riscos consiste na seleção e implementação de opções para lidar
com os riscos, considerando os benefícios, custos e desvantagens.
• O monitoramento e análise crítica garantem a qualidade e eficácia do processo de
gestão de riscos.
• É importante documentar e relatar o processo de gestão de riscos e seus resultados.
• Análise Bow Tie: uma técnica diagramática que descreve os caminhos das fontes de
risco aos resultados e analisa os controles.
• Brainstorming: técnica utilizada em oficinas para incentivar o pensamento imaginativo
e obter diferentes pontos de vista.
• Análise Causa-consequência: combinação de análise de falha e árvore de eventos
para considerar as causas e consequências de um evento inicial.
• Matriz de probabilidade ou consequência: compara os riscos selecionando uma
combinação de consequência/probabilidade e exibe-os em uma matriz.
Gestão de Riscos
Adriel Sá
• Técnica Delph: coleta de julgamentos por meio de questionários sequenciais com

feedback das respostas dos participantes.
• Análise de Árvore de Eventos (ETA): modela os resultados possíveis de um evento inicial
e o status dos controles, analisando a frequência ou probabilidade dos resultados.
• Análise de Árvore de Falhas (FTA): analisa as causas de um evento de foco usando
lógica booleana para descrever combinações de falhas.
• Análise de Modos e Efeitos de Falha (FMEA): considera as maneiras pelas quais cada
componente de um sistema pode falhar e analisa a causa e o efeito da falha.
• Estudos de Perigo e Operacionalidade (HAZOP): exame estruturado e sistemático de
um processo ou operação para identificar e avaliar problemas que representem riscos.
• Análise de Ishikawa (Diagrama Espinha de Peixe): identifica fatores contribuintes
para um resultado desejado ou indesejado.
• Técnica de Grupo Nominal: obtém visões de um grupo de pessoas por meio de
participação inicial individual seguida de discussão em grupo.
• Gráfico de Pareto: estabelece prioridades com base no princípio de Pareto, que afirma
que aproximadamente 80% dos efeitos vêm de 20% das causas.
• Análise de Cenários: identifica possíveis cenários futuros por meio de imaginação,
extrapolação do presente ou modelagem, considerando o risco em cada cenário.
• Técnica Estruturada “E Se” (SWIFT): uma forma mais simples de HAZOP com prompts
de “e se” para identificar desvios do esperado.
MAPA MENTAL
Gestão de Riscos
Adriel Sá
QUESTÕES DE CONCURSO
001. (FUNDATEC/2019/AUDITOR DE CONTROLE INTERNO/PREF POA) A ISO 31000/2018

descreve princípios que são a base para o gerenciamento de riscos e fornece orientações
sobre as características da gestão de riscos eficaz e eficiente. O documento também salienta
que esses princípios devem ser considerados quando da estruturação da gestão de riscos.
De acordo com os termos da referida norma, analise as assertivas a seguir:
I – Gestão Integrada: a gestão de riscos é parte de todas as atividades organizacionais.
II – Gestão Inclusiva: o processo de gestão de riscos envolve modelos padronizados abordando
áreas estratégicas com foco no desempenho.
III – Gestão Personalizada: a estrutura e o processo de gestão de riscos são personalizados
e proporcionais aos contextos interno e externo da organização relacionados aos seus
objetivos.
Quais estão corretas?
a) Apenas I.
b) Apenas II.
c) Apenas III.
d) Apenas I e II.
e) Apenas I e III.
002. (UFMT/2013/ENGENHEIRO (IF MT)/SEGURANÇA DO TRABALHO) Fazem parte de um

sistema de gestão de riscos as etapas indicadas abaixo:
I – Monitorar riscos
II – Identificar riscos
III – Controlar riscos
IV – Avaliar riscos
Marque a sequência que apresenta a ordem correta da implementação de ações no Processo
de Gestão de Riscos.
a) III, I, II, IV
b) II, IV, III, I
c) I, IV, III, II
d) II, III, IV, I
003. (FUNDEP/2016/ANALISTA DE TECNOLOGIA DA INFORMAÇÃO/IFNMG) Atividades

coordenadas para direcionar e controlar uma organização no que compete a riscos refere-se a:
a) gestão de riscos.
b) avaliação de riscos.
Gestão de Riscos
Adriel Sá
c) aceitação de riscos.
d) risco residual.
004. (FEPESE/2018/ADMINISTRADOR/CELESC) A Norma ISO 31000 tem como eixo central

especificamente qual destes assuntos?
a) Gestão Ambiental
b) Gestão Sustentável
c) Gestão de Riscos no âmbito das organizações
d) Redução de desperdícios na operação das empresas
e) Qualidade no Processo Produtivo
005. (COTEC UNIMONTES/2015/TÉCNICO EM SEGURANÇA DO TRABALHO/PREF VÁRZEA DA

PALMA) A norma da ABNT que estabelece os princípios e diretrizes genéricas para a gestão
de riscos de forma eficaz e coerente, através de uma maneira sistemática, transparente e
confiável, dentro de qualquer escopo e contexto, é:
a) NBR 31000:2009.
b) NBR 26000:2010.
c) NBR 28000:2009.
d) NBR 28004-1:2013
006. (CESGRANRIO/2012/ENGENHEIRO JÚNIOR (TRANSPETRO)/SEGURANÇA) Segundo a

NBR ISO 31000:2009 (Gestão de Riscos – Princípios e Diretrizes), constata-se que gestão
de risco é(são)
a) a identificação dos perigos, a avaliação e o controle das perdas humanas, materiais e
ambientais.
b) o controle do prejuízo sofrido por uma organização, com garantia de ressarcimento por
seguro.
c) um processo que garante que situações causadoras de danos nunca ocorrerão.
d) atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
e) atividades que devem ser implementadas para eliminar e transferir os perigos ou reduzi-
los a níveis os mais baixos possíveis.
007. (FCC/2019/TÉCNICO JUDICIÁRIO (TRF 3ª REGIÃO)/ADMINISTRATIVA) No que concerne

ao tema de gestão de riscos, os conceitos correntes na literatura sobre o tema, incluída a
mais recente abordagem feita pela norma técnica ABNT NBR ISO 31000 − Gestão de Risco,
definem avaliação de riscos como
a) adoção de medidas corretivas para neutralizar ou mitigar eventos que possam impactar
os resultados da organização.
Gestão de Riscos
Adriel Sá
b) elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem
ao risco.
c) processo de comparar os resultados da análise de riscos com os critérios de risco para
determinar se o risco e/ou sua magnitude é aceitável ou tolerável.
d) conjunto de medidas preventivas para evitar ou reduzir a ocorrência de eventos que
possam ensejar riscos à organização.
e) processo de tomada de decisão, exclusivo da alta direção da organização, com base no
qual são assumidos alguns riscos inerentes ao negócio.
008. (QUADRIX/2018/TÉCNICO DE NÍVEL SUPERIOR (SESC DF)/CONTROLADORIA) A propósito

da ISO 31.000, é correto afirmar que
a) é uma norma específica para o Brasil.
b) é uma norma destinada à padronização de terminologia e conceitos sobre gestão de risco.
c) tem por finalidade a certificação.
d) é específica para o setor privado.
e) se aplica a situações específicas de uma entidade.
009. (COVEST-COPSET/2015/TECNÓLOGO (UFPE)/SEGURANÇA) O mercado oferece normas

voluntárias de gestão organizacional cujos objetivos principais são os de auxiliar, por meio
de padronização, algumas funções empresariais, tais como qualidade e meio ambiente. A
Organização Internacional para a Padronização, uma entidade europeia, sediada na Suíça,
trabalha a padronização de produtos e de serviços em todo o mundo. Algumas de suas
normas são referendadas pela Associação Brasileira de Normas Técnicas. Sabendo disso,
qual das normas abaixo representa Gestão Administrativa dos Riscos Empresariais?
a) ISO 9000.
b) OHSAS 18000.
c) ISO 31000.
d) NBR 9050.
e) ISO 14000
010. (FCC/2019/TÉCNICO JUDICIÁRIO (TRF 3ª REGIÃO)/APOIO ESPECIALIZADO/INFORMÁTICA)

Suponha que determinada organização pretenda adotar um sistema robusto de gestão de
riscos, utilizando os conceitos trazidos pela norma técnica ABNT NBR ISO 31000 − Gestão de
Risco. O primeiro passo, então, é a própria compreensão pelos integrantes da organização
do conceito de “risco”, que, nesse contexto, corresponde
a) a consequências e impactos não mensuráveis de ações ou medidas adotadas de forma
consciente pela organização.
Gestão de Riscos
Adriel Sá
b) a potenciais consequências negativas de um comportamento inadequado ou imprevidente,

cuja certeza de ocorrência é assumida.
c) a eventos que estão fora da governabilidade da empresa e cuja probabilidade de ocorrência
não pode ser aferida.
d) ao efeito da incerteza nos objetivos, cujas consequências podem ser positivas ou negativas.
e) a condições de atuação da organização no cenário em que se situa, quando este se
mostra adverso.
011. (CEBRASPE-CESPE/2015/ATIVIDADES TÉCNICAS DE COMPLEXIDADE GERENCIAL (MEC)/

GERENTE DE SUPORTE) A respeito da gestão de riscos, julgue o item subsecutivo.
Para assegurar que a gestão de riscos seja eficaz, a organização deve analisar, criticamente
e de forma periódica, se a política, o plano e a estrutura da gestão de riscos permanecem
apropriados, dados os contextos externo e interno da organização.
012. (CEBRASPE-CESPE/AUDITOR FEDERAL DE CONTROLE EXTERNO (TCU)/CONTROLE

EXTERNO/AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO/2015) Com relação à gestão de
riscos, julgue o item.
De acordo com a NBR ISO/IEC 31000:2009, a fim de assegurar que a gestão de riscos seja
eficaz e continue a apoiar o desempenho organizacional, convém que a organização garanta
recursos materiais irrestritos para evitar desvios em relação ao plano de gestão de riscos, que
deve ser mantido inflexível, especialmente em relação ao contexto interno da organização.

A gestão de riscos faz parte das responsabilidades da administração e é parte integrante
de todos os processos organizacionais, nos quais se incluem planejamento estratégico e
todos os processos de gestão de projetos e de gestão de mudanças.
014. (CEBRASPE-CESPE/2020/PROFISSIONAL DE TECNOLOGIA DA INFORMAÇÃO (ME)/

o seguinte item.
Identificar, analisar e tratar os riscos são atividades do processo de avaliação de riscos.
015. (CEBRASPE-CESPE/2016/AUDITOR DE CONTROLE EXTERNO (TCE-PA)/INFORMÁTICA/

Gestão de Riscos
Adriel Sá
São consideradas as circunstâncias e as necessidades da organização para se determinar se

a análise de riscos será qualitativa, quantitativa ou uma combinação dessas duas formas
de análise.
016. (FGV/2022/AUDITOR DE CONTROLE EXTERNO (TCE TO)/ADMINISTRAÇÃO) A análise

de riscos trata de compreender a natureza e determinar o nível do risco em função de
probabilidade e impacto. Existem diferentes práticas metodológicas para realizá-la.
Uma dessas práticas busca definir o nível de risco com base na percepção das pessoas e
baseia-se em métodos:
a) multivariados;
b) qualitativos;
c) quantílicos;
d) quantitativos;
e) semiquantitativos.
017. (CESGRANRIO/2018/PROFISSIONAL PETROBRAS DE NÍVEL SUPERIOR (PETROBRAS)/

ENGENHARIA AMBIENTAL) A NBR ISO 31.000/2009 define os princípios e as diretrizes para
gestão de riscos. O processo de gestão de riscos baseado nesse instrumento legal segue as
etapas de: análise de riscos, avaliação de riscos, identificação de riscos, definição do contexto
e tratamento de riscos, conforme ilustrado no fluxograma abaixo, adaptado dessa norma.
A etapa de análise de riscos é aquela na qual se busca compreender a natureza do risco e
determinar o nível de risco, discutindo todas as possibilidades de ocorrência de um eventual
acidente, na tentativa de evitar que ele aconteça.
No fluxograma apresentado na norma, essa etapa aparece na parte
a) I
b) II
c) III
d) IV
e) V
018. (FCC/2018/ANALISTA MINISTERIAL (MPE PE)/INFORMÁTICA) De acordo com a norma

NBR ISO/IEC 31000:2018, a avaliação de riscos envolve a comparação dos resultados da
análise de riscos com os critérios de risco estabelecidos para determinar onde é necessária
ação adicional que pode levar a uma decisão de
a) calcular os prejuízos.
b) eliminar algum tipo de controle.
c) manter os objetivos.
Gestão de Riscos
Adriel Sá
d) modificar os controles existentes.

e) fazer mais nada.
019. (MARINHA/2018/OFICIAL INTENDENTE DA MARINHA/ADMINISTRAÇÃO, CIÊNCIAS

CONTÁBEIS E ECONOMIA/CP-QC-IM) Segundo Maranhão e Macieira (2010), qual é a principal
finalidade da gestão de riscos?
a) Buscar o melhor equilíbrio entre a minimização de perdas e a maximização do aproveitamento
de oportunidades decorrentes de riscos.
b) Buscar a pior relação entre a minimização de perdas e a minimização do aproveitamento
de oportunidades decorrentes de riscos, pois no mundo real não há riscos preocupantes.
c) Negar a existência de riscos (externos e internos) e proibir que se pense neles, para evitar
atrair má sorte para a organização.
d) Aceitar que os riscos à organização são inevitáveis e deixar que agentes externos à
organização planejem para sua equipe.
e) Manter a fé no controle intuitivo dos riscos, associado ao fator sorte, assumindo que essas
variáveis são incontroláveis, pois não há possibilidade de se buscar uma gestão profissional
e consciente dos riscos.
020. (CPCV UERR/2017/TÉCNICO (CODESAIMA)/SEGURANÇA DO TRABALHO) Marque a opção

que não é técnica de identificação de riscos.
a) Análise de causas e consequências.
b) Análise preliminar de riscos (APR).
c) Estudos de riscos e operabilidade (HAZOP).
d) Mudança/alteração do processo/operação.
e) Análise de modos de falhas e efeitos (FMEA).
021. (IBFC/2016/ENGENHEIRO DE SEGURANÇA DO TRABALHO/COMLURB) Dentre as diversas

metodologias utilizadas para análises de riscos, a técnica de análise qualitativa que visa
identificar os perigos e os problemas de operabilidade de uma instalação de processo, e que
se baseia em um procedimento que gera perguntas de maneira estruturada e sistemática
através do uso apropriado de um conjunto de palavras-guia, denomina- se:
a) Estudo de Perigos e Operabilidade (HAZOP).
b) Análise de Preliminar de Perigos (APP).
c) Análise de Modos e Efeitos de Falhas (FMEA).
d) Árvore de Eventos (ETA).
Gestão de Riscos
Adriel Sá
022. (FCC/2015/ANALISTA JUDICIÁRIO (TRT 4ª REGIÃO)/APOIO ESPECIALIZADO/ENGENHARIA

DE SEGURANÇA DO TRABALHO) Atenção: Considere o texto abaixo para responder à questão.
A empresa PLASTIC possui, atualmente, 400 funcionários contratados em regime celetista.
Um de seus funcionários é o Sandoval, com 23 anos de idade, há 2 meses na empresa
PLASTIC, na função de operador de injetoras de materiais plásticos. Certo dia, ele operava
uma extrusora de tubos de PVC (poli-cloreto de vinila). Ao fazer a limpeza do excesso de
borra de plástico que fica acumulado na ponta do tubo de ferro, utilizou uma espátula para
remoção desta borra plástica. Durante esse processo, foi atingido pelo material plástico
quente que espirrou, causando queimaduras pelo rosto todo e a perda da visão do olho
direito. Segundo o supervisor técnico industrial, o material plástico projetado deveria estar
à temperatura de 150 ºC, porém o mesmo superaqueceu, atingindo a temperatura de 230
ºC. O equipamento não possuía nenhum tipo de proteção mecânica que pudesse evitar que
esse material se projetasse e viesse atingir os trabalhadores.
A empresa PLASTIC, após dois meses do acidente de Sandoval, quer implantar a ABNT NBR
ISO 31000. Com base nesta norma, considere:
I – Ela não tem finalidade de certificação, porém é uma ferramenta que pode trazer maiores
diferenciais competitivos para as empresas que utilizarem os seus conceitos.
II – O processo de avaliação de riscos é o processo global de identificação de riscos, análise
de riscos e avaliação de riscos.
III – As análises de risco devem ser quantitativas e qualitativas.
IV – No processo de gestão de riscos, os registros fornecem os fundamentos para a melhoria
dos métodos e ferramentas, bem como de todo o processo.
V – Ela é específica para fábricas e atividades industriais em geral e pode ser aplicada a
qualquer tipo de risco, independentemente de sua natureza, quer tenha consequências
positivas ou negativas.
Está correto o que se afirma APENAS em
a) II, III e IV.
b) I, II e IV.
c) I, II e V.
d) II, III e V.
e) I, IV e V.
023. (CESGRANRIO/2015/PROFISSIONAL JÚNIOR (BR)/ENGENHARIA DE SEGURANÇA

DO TRABALHO) As ferramentas de análise e de avaliação de risco podem, em geral, ser
selecionadas, combinando os pontos fortes e fracos de cada regime com o cenário a ser
analisado. A ferramenta de estudos de risco que deve ser utilizada para se avaliarem
mecanismos e modos de falha em equipamentos e sistemas é a(o)
Gestão de Riscos
Adriel Sá
a) APP
b) APR
c) FMEA
d) HazOp
e) bow-tie
024. (COVEST-COPSET/2015/TECNÓLOGO (UFPE)/SEGURANÇA) Quando a organização

faz a opção pela implementação de uma certificação de gestão voluntária administrativa
de risco, caso deseje manter a certificação ativa, passa a ter a obrigação de cumprir os
requisitos associados à norma em questão. Um dos requisitos da norma voluntária de
gestão de riscos é a identificação de perigos e riscos. Para identificar os perigos e os riscos
associados à atividade empresarial, a organização pode se utilizar de Técnicas de Análise de
Riscos. Identifique abaixo a alternativa que não representa uma técnica de análise de risco.
a) Hazop
b) PPP
c) AMFE
d) What If
e) APR
025. (NC UFPR-FUNPAR/2015/PROFISSIONAL NÍVEL UNIVERSITÁRIO JR (ITAIPU)/ENGENHARIA/

SEGURANÇA DO TRABALHO) No ano de 2002, a Fundação Jorge Duprat Figueiredo de
Segurança e Medicina do Trabalho (Fundacentro), com base Convenção 174 da OIT, editou
um código de práticas objetivando orientar a criação de um sistema administrativo, jurídico
e técnico para a prevenção de acidentes industriais maiores, com produtos químicos. Dentre
as práticas administrativas, essa fundação destaca a análise de risco, por meio de técnicas
de estudo de risco. A respeito dessas técnicas, numere a coluna da direita de acordo com
sua correspondência com a coluna da esquerda.
( ) Método de representar as combinações lógicas de vários estágios
1. APR. de um sistema que levam a um determinado resultado (ocorrência
máxima).
( ) Método que esclarece as consequências intermediárias e finais que
2. HAZOP.
podem decorrer de um determinado acontecimento inicial.
( ) Estudo para identificar, mediante aplicação de palavras-chave, todos
3. FMEA. os desvios do projeto pretendido, com seus efeitos indesejáveis para
a segurança ou funcionamento, a fim de identificar possíveis riscos.
( ) Procedimento de identificação de riscos na fase inicial da concepção de
4. Árvore de
um projeto, visando identificar possibilidades de serem introduzidas
falhas.
modificações que reduzam ou eliminem riscos.
Gestão de Riscos
Adriel Sá
( ) Processo de identificação de risco no qual se anotam sucessivamente

5. Árvore de
todas as modalidades conhecidas de falhas dos componentes ou
eventos.
características de um sistema e os resultados indesejáveis.
Assinale a alternativa que apresenta a numeração correta da coluna da direita, de cima

para baixo.
a) 4 – 5 – 1 – 2 – 3.
b) 3 – 4 – 2 – 5 – 1.
c) 5 – 3 – 4 – 1 – 2.
d) 4 – 5 – 2 – 1 – 3.
e) 2 – 4 – 1 – 3 – 5.
026. (NC UFPR-FUNPAR/2015/PROFISSIONAL NÍVEL TÉCNICO I (ITAIPU)/TÉCNICO EM

SEGURANÇA DO TRABALHO) A técnica HAZOP é aplicada para:
a) investigar, de forma minuciosa e metódica, cada segmento de um processo, visando
descobrir todos os possíveis desvios das condições normais de operação.
b) estudar, mediante aplicação de palavras-chave, todos os desvios do projeto pretendido,
com seus efeitos indesejáveis, a fim de identificar possíveis riscos.
c) determinar riscos e medidas preventivas antes da fase operacional.
d) obter a probabilidade de ocorrência de evento indesejado.
e) detectar incidentes críticos e o tratamento dos riscos que tais incidentes representam.
027. (VUNESP/2015/ENGENHEIRO (PREF POÁ)/SEGURANÇA DO TRABALHO) Dependendo do

tipo de atividade e de suas características próprias, a prática de gerenciamento de riscos
pode implicar a utilização de diferentes técnicas de análise de riscos, como
a) a Análise de Percurso Crítico, que, mediante estudo das combinações possíveis entre os
subsistemas considerados, permite a identificação dos percursos críticos para o sucesso
da operação.
b) a Análise de Cenários Críticos, que aplica a probabilidade de combinações perniciosas de
todos os componentes do sistema de produção, estabelecendo ordenamento por gravidade
de dano presumido.
c) a Técnica de Incidentes Operacionais, que é muito específica, desenvolvida para avaliar
riscos existentes na operação de máquinas e equipamentos em sistemas de produção.
d) a Análise Combinada de Causas e Consequências, desenvolvida para ser aplicada
por diferentes departamentos da organização, por permitir boa estimativa de riscos e
consequências de naturezas diversas.
e) a Análise de Modos de Falhas e Efeitos, que tem, entre seus principais objetivos, a revisão
sistemática dos modos de falhas de um componente, para garantir danos mínimos ao
sistema.
Gestão de Riscos
Adriel Sá
028. (CESGRANRIO/2014/PROFISSIONAL PETROBRÁS DE NÍVEL TÉCNICO (PETROBRAS)/

SEGURANÇA) Há uma técnica indutiva e estruturada para identificar perigos de processo
e potenciais problemas de operação, associando, de forma sistemática, um conjunto de
palavras-guia às variáveis de processo. Para cada desvio identificado são relacionadas
causas, consequências, modos de detecção e salvaguardas existentes, recomendando
medidas adicionais quando necessário.
Essa técnica de análise de risco é denominada
a) APR
b) APP
c) FMECA
d) HAZOP
e) HAZID
029. (VUNESP/2014/AUXILIAR JUDICIÁRIO (TJ PA)/TÉCNICO EM SEGURANÇA DO TRABALHO)

A respeito da Análise Preliminar de Risco, é correto afirmar que
a) consiste em uma análise técnica minuciosa das possíveis falhas operacionais e humanas.
b) é uma técnica quantitativa de riscos aplicada ainda na fase inicial do projeto.
c) visa à prevenção de acidentes do trabalho por meio da antecipação dos riscos.
d) é aplicada para verificar o correto funcionamento dos equipamentos de segurança.
e) tem sua importância maior no estabelecimento de responsabilidades no controle dos riscos.
030. (FGV/2014/ANALISTA DE SANEAMENTO (COMPESA)/ENGENHEIRO DE SEGURANÇA DO

TRABALHO) As opções a seguir apresentam técnicas de análise de riscos, à exceção de uma.
Assinale-a.
a) Programa de Determinação de Confiabilidade e Análise (PDCA)
b) Análise Preliminar de Riscos (APR)
c) Análise de Modos de Falha e Efeitos (AMFE)
d) Análise de Árvore de Falhas (AAF)
e) Estudo de Operabilidade e Riscos (HazOp)
031. (FCC/2019/ANALISTA JUDICIÁRIO (TRF 3ª REGIÃO)/JUDICIÁRIA) O conceito de gestão

de riscos atrelado às boas práticas de governança corporativa contempla
a) o monitoramento, avaliação e classificação exclusivamente dos riscos de imagem e de
integridade.
b) a identificação das incertezas nos processos da organização, a medição da probabilidade
de danos e seus possíveis impactos.
c) apenas medidas de identificação e classificação dos riscos, cabendo ao sistema de
compliance as medidas de mitigação.
Gestão de Riscos
Adriel Sá
d) medidas de mitigação de riscos, aplicáveis apenas àqueles riscos classificados como

gerenciáveis.
e) a eliminação dos riscos aos quais a organização está exposta, salvo os riscos legais, que
são tratados no bojo do programa de conformidade.
032. (FCC/2015/BIBLIOTECONOMISTA/DPE RR) Em relação à gestão de riscos em um projeto,

é correto afirmar que
a) um risco aceitável ou sem consequências relevantes ao projeto é aquele que apresenta
alto impacto e baixa probabilidade.
b) poucos riscos concernem diretamente ao conteúdo (produto e/ou serviço) do projeto.
c) os fatores exógenos que afetam um projeto dizem respeito, entre outras coisas, aos recursos
disponíveis para sua execução e sobre as bases de consenso institucional/organizacional.
d) os fatores endógenos que afetam um projeto dizem respeito ao equilíbrio e às mudanças
de cenário das expectativas dos diversos grupos de interesse extra institucionais.
e) todo projeto corre riscos de diferentes tipos e importância.
033. (FCC/2009/ANALISTA DE CONTROLE EXTERNO (TCE-GO)/PLANEJAMENTO E

DESENVOLVIMENTO ORGANIZACIONAL) Com relação aos principais benefícios de uma
adequada gestão de riscos, considere:
I – Gerenciar riscos também significa maximizar a probabilidade de evento incerto e futuro
que pode ampliar o sucesso de um projeto.
II – Os riscos desconhecidos podem ser gerenciados de forma pró-ativa e uma resposta
prudente da equipe do projeto seria definir um plano de prevenção contra esses riscos.
III – Os riscos conhecidos são aqueles que foram identificados e analisados, mas, para alguns
destes pode não ser econômico ou possível desenvolver uma resposta proativa.
IV – É possível aceitar os riscos que constituem ameaças ao projeto se eles forem equivalentes
à premiação que pode ser obtida ao se assumir esses riscos.
V – Qualquer estrutura analítica de riscos deve incluir sempre os riscos técnicos, externos,
organizacionais e de gerenciamento.
a) I, III e V.
b) II e IV.
c) I, III e IV.
d) IV e V.
e) II e III.
034. (FCC/2016/ANALISTA TECNOLÓGICO (PRODATER)/ANALISTA DE NEGÓCIOS) Em um

processo de gestão de riscos,
Gestão de Riscos
Adriel Sá
a) não há necessidade de monitoração dos riscos durante a utilização de um sistema de

informação.
b) devem ser qualificados e quantificados todos os riscos como tendo o mesmo nível de
segurança.
c) a ação de transferência do risco corresponde a reduzir seu nível de impacto.
d) as informações sobre os riscos devem ser compartilhadas entre o tomador de decisões
e as partes interessadas.
e) a ação de identificação de vulnerabilidades corresponde a um desligamento geral do
sistema de informação sob ameaça.
035. (CESGRANRIO/2022/PROFISSIONAL DE NÍVEL SUPERIOR (ELETRONUCLEAR)/ENGENHARIA

AMBIENTAL) No contexto das diretrizes de gestão de riscos, apresentadas na norma ABNT
NBR ISO 31000:2018, o processo de avaliação de um risco engloba as três seguintes etapas:
a) escopo, contexto e critério; análise de risco; tratamento de riscos
b) escopo, contexto e critério; identificação de risco; análise de risco
c) identificação de risco; análise de risco; tratamento de risco
d) identificação de risco; análise de risco; avaliação de risco
e) análise de risco; avaliação de riscos; tratamento de risco

AMBIENTAL) No contexto da norma ABNT NBR ISO 31000:2018, a análise de riscos tem como
propósito compreender a natureza do risco, sendo conveniente que nessa análise sejam
considerados fatores como os enumerados a seguir:
a) probabilidade de eventos e consequências; complexidade e conectividade; sensibilidade
e níveis de confiança
b) probabilidade de eventos e consequências; simplicidade e interdependências; sensibilidade
c) simplicidade e interdependências; fatores temporais; sensibilidade e níveis de confiança
d) probabilidade de eventos e consequências; fatores temporais; eficácia de medidas de
controle futuras
e) simplicidade e interdependências; fatores temporais; eficácia de medidas de controle
futuras

AMBIENTAL) Entre os conceitos apresentados na norma ABNT ISO 31000:2018, encontra-se
o de gestão de riscos, que envolve um(a)
a) tratamento de riscos, o qual deve ser implementado para que os agentes atuem no
controle da probabilidade simultaneamente ao controle de consequências.
Gestão de Riscos
Adriel Sá
b) controle de riscos, que é uma medida que inclui o histórico de acidentes, não se limitando
a qualquer processo, política, dispositivo ou prática.
c) análise de riscos, que pode ser realizada em vários graus de detalhamento e complexidade,
dependendo do propósito, da disponibilidade e da confiabilidade da informação.
d) avaliação de riscos, em que se comparam os resultados advindos da identificação dos
riscos com os critérios estabelecidos para os níveis de ação.
e) identificação dos riscos, que tem como objetivo decrescer o número de acidentes ocorridos
no passado, estabelecendo séries históricas e taxas de frequência.
038. (CESGRANRIO/2022/PROFISSIONAL DE NÍVEL SUPERIOR (ELETRONUCLEAR)/ENGENHEIRO

DE ANALISE PROBABILÍSTICA DE SEGURANÇA) A Análise dos Modos de Falha e Efeitos (Fault
Mode and Effect Analysis – FMEA), além de apresentar um foco maior em processos e
produtos, considera para a análise da criticidade uma multiplicação simples dos fatores
de severidade (S), ocorrência (O) e detecção (D). A partir da incorporação da Análise de
Confiabilidade Humana (ACH), podem ser considerados fatores como inteligibilidade ou
cognição (I) e estresse (E), para avaliar os modos de falha considerando fatores humanos.
Para reduzir a imprecisão do cálculo do índice de probabilidade de risco (Risk Priority
Number – RPN), pode ser utilizada uma Composição Probabilística de Preferências (CPP).
A imprecisão é inerente à subjetividade e aos erros de avaliação nos processos de tomada
de decisão individual ou em grupo. Por isso, é natural assumir, para a avaliação de cada
alternativa sob cada critério, um comportamento
a) aleatório
b) estável
c) médio
d) normal
e) regular

ENGENHARIA DE PRODUÇÃO/1) Segundo normas internacionais, o processo de gestão de
riscos consagrado na literatura é composto de 4 etapas fundamentais, que são:
a) identificação, análise, avaliação e tratamento
b) identificação, avaliação, priorização e mitigação
c) identificação, estudo, simulação e mitigação
d) reconhecimento, estudo, avaliação e mitigação
e) reconhecimento, análise, simulação e tratamento
Gestão de Riscos
Adriel Sá
GABARITO
1. e 14. E 27. e
2. b 15. C 28. d
3. a 16. b 29. c
4. c 17. c 30. a
5. a 18. e 31. b
6. d 19. a 32. e
7. c 20. d 33. c
8. b 21. a 34. d
9. c 22. b 35. d
10. d 23. c 36. a
11. C 24. b 37. c
12. E 25. d 38. a
13. C 26. a 39. a
Gestão de Riscos
Adriel Sá
GABARITO COMENTADO
001. (FUNDATEC/2019/AUDITOR DE CONTROLE INTERNO/PREF POA) A ISO 31000/2018

descreve princípios que são a base para o gerenciamento de riscos e fornece orientações
sobre as características da gestão de riscos eficaz e eficiente. O documento também salienta
que esses princípios devem ser considerados quando da estruturação da gestão de riscos.
De acordo com os termos da referida norma, analise as assertivas a seguir:
I – Gestão Integrada: a gestão de riscos é parte de todas as atividades organizacionais.
II – Gestão Inclusiva: o processo de gestão de riscos envolve modelos padronizados abordando
áreas estratégicas com foco no desempenho.
III – Gestão Personalizada: a estrutura e o processo de gestão de riscos são personalizados
e proporcionais aos contextos interno e externo da organização relacionados aos seus
objetivos.
Quais estão corretas?
a) Apenas I.
b) Apenas II.
c) Apenas III.
d) Apenas I e II.
e) Apenas I e III.
A NBR ISO 31000:2018 estabeleceu diretrizes e princípios genéricos sobre a gestão de

riscos, tendo fixado alguns elementos que são internacionalmente aceitos:
PRINCÍPIO DESCRIÇÃO
Integrada A gestão de riscos está incorporada em todas as atividades organizacionais.
Estruturada e É adotada uma abordagem estruturada e abrangente que contribui para
abrangente resultados consistentes e comparáveis.
A estrutura e o processo de gestão de riscos são personalizados e
Personalizada
proporcionais aos contextos externo e interno da organização.
O envolvimento apropriado das partes interessadas é garantido,
Inclusiva
permitindo a consideração de seus conhecimentos e percepções.
A gestão de riscos é adaptativa, antecipando, detectando e respondendo
Dinâmica
às mudanças e eventos de maneira apropriada e oportuna.
Melhor informação As entradas para a gestão de riscos são baseadas em informações
disponível históricas, atuais e expectativas futuras.
Fatores humanos e O comportamento humano e a cultura têm influência significativa em
culturais todos os aspectos da gestão de riscos.
A gestão de riscos busca constantemente a melhoria por meio do
Melhoria contínua
aprendizado e experiências.
Gestão de Riscos
Adriel Sá
Logo, estão corretas apenas as afirmativas I e III. A afirmativa II trata da gestão personalizada,
e não a gestão inclusiva.
Letra e.
002. (UFMT/2013/ENGENHEIRO (IF MT)/SEGURANÇA DO TRABALHO) Fazem parte de um

sistema de gestão de riscos as etapas indicadas abaixo:
I – Monitorar riscos
II – Identificar riscos
III – Controlar riscos
IV – Avaliar riscos
Marque a sequência que apresenta a ordem correta da implementação de ações no Processo
de Gestão de Riscos.
a) III, I, II, IV
b) II, IV, III, I
c) I, IV, III, II
d) II, III, IV, I
A questão cobrou conhecimentos sobre as etapas que compõem a gestão de riscos.

Sabemos que as etapas podem variar de norma para norma =ou de autor para autor. Assim,
a melhor maneira é usarmos a lógica geral!
Pense comigo: você só pode monitorar aquilo que foi identificado. Logo, na gestão de riscos,
a identificação dos riscos é etapa inicial do modelo.
Assim, temos que primeiro eu identifico os riscos, depois avalio o grau de cada risco, para
depois controlar e, por fim, monitorá-los.
Portanto, está correta a letra B, que traz a seguinte ordem: identificar, avaliar, controlar
e monitorar.
Letra b.
003. (FUNDEP/2016/ANALISTA DE TECNOLOGIA DA INFORMAÇÃO/IFNMG) Atividades

coordenadas para direcionar e controlar uma organização no que compete a riscos refere-se a:
a) gestão de riscos.
b) avaliação de riscos.
c) aceitação de riscos.
d) risco residual.
Gestão de Riscos
Adriel Sá
A gestão de riscos é o processo de identificar, avaliar, priorizar e controlar os riscos que

afetam uma organização. Ela envolve o planejamento e a implementação de ações para
minimizar a probabilidade de ocorrência e o impacto dos riscos, além de monitorar e revisar
continuamente o processo de gerenciamento de riscos.
Portanto, a gestão de riscos é a atividade coordenada para direcionar e controlar os riscos
em uma organização.
Nosso gabarito é a letra A.
Sobre as alternativas incorretas:
b) avaliação de riscos: a avaliação de riscos faz parte da gestão de riscos e consiste na análise
dos riscos identificados, considerando sua probabilidade de ocorrência e seu impacto. É
uma etapa importante para subsidiar a tomada de decisão e estabelecer prioridades no
gerenciamento dos riscos.
c) aceitação de riscos: a aceitação de riscos é uma estratégia de resposta aos riscos
identificados, que consiste em reconhecer e assumir os riscos sem adotar medidas de
prevenção ou mitigação. Nessa abordagem, a organização decide que os riscos são aceitáveis
e está disposta a arcar com as consequências caso ocorram.
d) risco residual: o risco residual é o risco que permanece após a implementação das medidas
de prevenção, mitigação ou aceitação. É importante monitorar e controlar o risco residual
para garantir que ele esteja dentro dos limites toleráveis estabelecidos pela organização.
No contexto da questão, o risco residual é uma consequência da gestão de riscos, mas não
é a atividade coordenada para direcionar e controlar os riscos.
Letra a.
004. (FEPESE/2018/ADMINISTRADOR/CELESC) A Norma ISO 31000 tem como eixo central

especificamente qual destes assuntos?
a) Gestão Ambiental
b) Gestão Sustentável
c) Gestão de Riscos no âmbito das organizações
d) Redução de desperdícios na operação das empresas
e) Qualidade no Processo Produtivo
A ABNT NBR ISO 31000 foi elaborada na Comissão de Estudo Especial de Gestão de Riscos. Essa
norma é utilizada por pessoas e organizações para criar e protegem valor nas organizações,
Gestão de Riscos
Adriel Sá
gerenciando riscos, tomando decisões, estabelecendo e alcançando objetivos e melhorando

o desempenho.
Letra c.
005. (COTEC UNIMONTES/2015/TÉCNICO EM SEGURANÇA DO TRABALHO/PREF VÁRZEA DA

PALMA) A norma da ABNT que estabelece os princípios e diretrizes genéricas para a gestão
de riscos de forma eficaz e coerente, através de uma maneira sistemática, transparente e
confiável, dentro de qualquer escopo e contexto, é:
a) NBR 31000:2009.
b) NBR 26000:2010.
c) NBR 28000:2009.
d) NBR 28004-1:2013
Como vimos, a NBR 31000:2009 foi atualizada para a NBR 31000:2018, que é um documento
internacional para uso por pessoas que criam e protegem valor nas organizações, gerenciando
riscos, tomando decisões, estabelecendo e alcançando objetivos e melhorando o desempenho.
A NBR 26000:2010 (letra B) fornece orientações para todos os tipos de organização,
independentemente de seu porte ou localização, sobre conceitos, termos e definições
referentes à responsabilidade social.
A NBR 28000:2009 (letra C) especifica os requisitos para um sistema de gestão de segurança.
A NBR 28004-1:2013 (letra D) também especifica os requisitos para um sistema de gestão
de segurança, incluindo aqueles aspectos fundamentais que garantem a segurança da
cadeia logística.
Letra a.
006. (CESGRANRIO/2012/ENGENHEIRO JÚNIOR (TRANSPETRO)/SEGURANÇA) Segundo a

NBR ISO 31000:2009 (Gestão de Riscos – Princípios e Diretrizes), constata-se que gestão
de risco é(são)
a) a identificação dos perigos, a avaliação e o controle das perdas humanas, materiais e
ambientais.
b) o controle do prejuízo sofrido por uma organização, com garantia de ressarcimento por seguro.
c) um processo que garante que situações causadoras de danos nunca ocorrerão.
d) atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
e) atividades que devem ser implementadas para eliminar e transferir os perigos ou reduzi-
los a níveis os mais baixos possíveis.
Gestão de Riscos
Adriel Sá
Apesar de se referir a uma norma já revogada, o conceito permanece na norma atual.

Segundo a NBR ISSO 31000:2018, a gestão de riscos envolve atividades coordenadas para
dirigir e controlar uma organização no que se refere a riscos.
Letra d.
007. (FCC/2019/TÉCNICO JUDICIÁRIO (TRF 3ª REGIÃO)/ADMINISTRATIVA) No que concerne

ao tema de gestão de riscos, os conceitos correntes na literatura sobre o tema, incluída a
mais recente abordagem feita pela norma técnica ABNT NBR ISO 31000 − Gestão de Risco,
definem avaliação de riscos como
os resultados da organização.
ao risco.
c) processo de comparar os resultados da análise de riscos com os critérios de risco para
determinar se o risco e/ou sua magnitude é aceitável ou tolerável.
possam ensejar riscos à organização.
qual são assumidos alguns riscos inerentes ao negócio.
Apesar de a definição ser da norma antiga, a norma atual manteve a essência do conceito.
Segundo a NBR ISO 31000:2018, o propósito da avaliação de riscos é apoiar decisões. A
avaliação de riscos envolve a comparação dos resultados da análise de riscos com os critérios
de risco estabelecidos para determinar onde é necessária ação adicional.
Assim, nosso gabarito é a letra C.
os resultados da organização: refere-se às medidas corretivas, que são adotadas após a
identificação e avaliação dos riscos, visando neutralizar ou mitigar eventos que possam
impactar os resultados da organização. É uma etapa posterior à avaliação de riscos.
ao risco: refere-se à definição de risco, não à avaliação de riscos. O risco é um elemento
que tem o potencial intrínseco para dar origem a eventos indesejados.
possam ensejar riscos à organização: refere-se às medidas preventivas, que são adotadas
Gestão de Riscos
Adriel Sá
para evitar ou reduzir a ocorrência de eventos que possam ensejar riscos à organização. É
uma etapa posterior à avaliação de riscos.
qual são assumidos alguns riscos inerentes ao negócio: refere-se à ideia de aceitação de
riscos, que é uma estratégia de resposta aos riscos identificados. A aceitação de riscos é
uma decisão que envolve a alta direção da organização e consiste em assumir alguns riscos
inerentes ao negócio. Não se trata especificamente da avaliação de riscos.
Letra c.
008. (QUADRIX/2018/TÉCNICO DE NÍVEL SUPERIOR (SESC DF)/CONTROLADORIA) A propósito

da ISO 31.000, é correto afirmar que
a) é uma norma específica para o Brasil.
b) é uma norma destinada à padronização de terminologia e conceitos sobre gestão de risco.
c) tem por finalidade a certificação.
d) é específica para o setor privado.
e) se aplica a situações específicas de uma entidade.
A ISO 31.000 é uma norma internacional que tem por objetivo fornecer diretrizes e princípios
gerais para a gestão de riscos.
Ela não é específica para o Brasil e não tem como finalidade a certificação, mas sim a
padronização de terminologia e conceitos relacionados à gestão de risco.
A norma se aplica a qualquer tipo de organização, seja no setor público ou privado, e não
está limitada a situações específicas de uma entidade.
Letra b.
009. (COVEST-COPSET/2015/TECNÓLOGO (UFPE)/SEGURANÇA) O mercado oferece normas

voluntárias de gestão organizacional cujos objetivos principais são os de auxiliar, por meio
de padronização, algumas funções empresariais, tais como qualidade e meio ambiente. A
Organização Internacional para a Padronização, uma entidade europeia, sediada na Suíça,
trabalha a padronização de produtos e de serviços em todo o mundo. Algumas de suas
normas são referendadas pela Associação Brasileira de Normas Técnicas. Sabendo disso,
qual das normas abaixo representa Gestão Administrativa dos Riscos Empresariais?
a) ISO 9000.
b) OHSAS 18000.
c) ISO 31000.
Gestão de Riscos
Adriel Sá
d) NBR 9050.
e) ISO 14000
A norma ISO 31000 é uma norma internacional que estabelece diretrizes para a gestão de
riscos em organizações. Ela fornece um processo sistemático e abrangente para identificar,
analisar e tratar os riscos de forma eficaz.
A ISO 31000 é amplamente reconhecida e utilizada em todo o mundo como referência para
a gestão de riscos.
Logo, nosso gabarito é a letra C.
a) ISO 9000: é voltada para sistemas de gestão da qualidade, não abordando especificamente
a gestão administrativa dos riscos empresariais.
b) OHSAS 18000: é voltada para sistemas de gestão de saúde e segurança ocupacional, não
tratando diretamente da gestão administrativa dos riscos empresariais.
d) NBR 9050: é uma norma brasileira da Associação Brasileira de Normas Técnicas (ABNT) que
estabelece critérios técnicos e parâmetros para a acessibilidade em edificações, mobiliário,
espaços e equipamentos urbanos. Portanto, não está relacionada à gestão administrativa
dos riscos empresariais.
e) ISO 14000: é voltada para sistemas de gestão ambiental, focando na sustentabilidade e
nas práticas ambientalmente responsáveis das organizações. Ela não aborda diretamente
a gestão administrativa dos riscos empresariais.
Letra c.
010. (FCC/2019/TÉCNICO JUDICIÁRIO (TRF 3ª REGIÃO)/APOIO ESPECIALIZADO/INFORMÁTICA)

Suponha que determinada organização pretenda adotar um sistema robusto de gestão de
riscos, utilizando os conceitos trazidos pela norma técnica ABNT NBR ISO 31000 − Gestão de
Risco. O primeiro passo, então, é a própria compreensão pelos integrantes da organização
do conceito de “risco”, que, nesse contexto, corresponde
a) a consequências e impactos não mensuráveis de ações ou medidas adotadas de forma
consciente pela organização.
b) a potenciais consequências negativas de um comportamento inadequado ou imprevidente,
cuja certeza de ocorrência é assumida.
c) a eventos que estão fora da governabilidade da empresa e cuja probabilidade de ocorrência
não pode ser aferida.
d) ao efeito da incerteza nos objetivos, cujas consequências podem ser positivas ou negativas.
Gestão de Riscos
Adriel Sá
e) a condições de atuação da organização no cenário em que se situa, quando este se

mostra adverso.
O risco nada mais é do que o efeito da incerteza nos objetivos, podendo ser positivo,
negativo ou ambos, e pode abordar, criar ou resultar em oportunidades ou ameaças para
as organizações.
Portanto, nosso gabarito é a letra D.
Vejamos as demais alternativas:
a) Errada. A norma ABNT NBR ISO 31000 considera que as consequências e impactos dos
riscos podem e devem ser mensurados, para que possam ser devidamente avaliados e
gerenciados.
b) Errada. Nem todo risco é resultado de comportamento inadequado ou imprevidente.
Os riscos podem surgir de eventos e circunstâncias diversas, independentemente de um
comportamento específico.
c) Errada. A norma ABNT NBR ISO 31000 enfatiza a importância de identificar e avaliar
a probabilidade de ocorrência dos riscos. Embora nem todos os riscos possam ter sua
probabilidade exatamente quantificada, é possível realizar uma análise de probabilidade
qualitativa ou estimar a probabilidade com base em dados e informações disponíveis.
e) Errada. Risco não se limita apenas às condições adversas do cenário em que a organização
se encontra. O risco pode surgir mesmo em condições favoráveis, representando incertezas
que podem impactar os objetivos da organização.
Letra d.

Para assegurar que a gestão de riscos seja eficaz, a organização deve analisar, criticamente
e de forma periódica, se a política, o plano e a estrutura da gestão de riscos permanecem
apropriados, dados os contextos externo e interno da organização.
O item trata do monitoramento e análise crítica de riscos.

Segundo vimos, o propósito do monitoramento e análise crítica é assegurar e melhorar a
qualidade e eficácia da concepção, implementação e resultados do processo.
Convém que o monitoramento contínuo e a análise crítica periódica do processo de gestão
de riscos e seus resultados sejam uma parte planejada do processo de gestão de riscos,
com responsabilidades claramente estabelecidas.
Certo.
Gestão de Riscos
Adriel Sá
012. (CEBRASPE-CESPE/AUDITOR FEDERAL DE CONTROLE EXTERNO (TCU)/CONTROLE

EXTERNO/AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO/2015) Com relação à gestão de
riscos, julgue o item.
De acordo com a NBR ISO/IEC 31000:2009, a fim de assegurar que a gestão de riscos seja
eficaz e continue a apoiar o desempenho organizacional, convém que a organização garanta
recursos materiais irrestritos para evitar desvios em relação ao plano de gestão de riscos, que
deve ser mantido inflexível, especialmente em relação ao contexto interno da organização.
A NBR ISO/IEC 31000:2009, tampouco a 31000:2018 não estabelece a necessidade de

recursos materiais irrestritos para evitar desvios em relação ao plano de gestão de riscos.
O documento enfatiza a importância de uma abordagem flexível na implementação da
gestão de riscos, levando em consideração as mudanças no contexto interno e externo da
organização.
Errado.

A gestão de riscos faz parte das responsabilidades da administração e é parte integrante
de todos os processos organizacionais, nos quais se incluem planejamento estratégico e
todos os processos de gestão de projetos e de gestão de mudanças.
Exatamente! Inclusive a integração é o primeiro princípio da gestão de riscos. Logo, a gestão

de riscos é parte integrante de todos os processos organizacionais.
A gestão de riscos não é uma atividade autônoma separada das principais atividades e
processos da organização.
Certo.
014. (CEBRASPE-CESPE/2020/PROFISSIONAL DE TECNOLOGIA DA INFORMAÇÃO (ME)/

o seguinte item.
Identificar, analisar e tratar os riscos são atividades do processo de avaliação de riscos.
Gestão de Riscos
Adriel Sá
Vamos rever nosso esquema?
Portanto, Identificar, analisar e avaliar os riscos (e não tratar) são atividades do processo
de avaliação de riscos.
Errado.
015. (CEBRASPE-CESPE/2016/AUDITOR DE CONTROLE EXTERNO (TCE-PA)/INFORMÁTICA/

São consideradas as circunstâncias e as necessidades da organização para se determinar se
a análise de riscos será qualitativa, quantitativa ou uma combinação dessas duas formas
de análise.
A análise de riscos pode ser realizada com vários graus de detalhamento e complexidade,
dependendo do propósito da análise, da disponibilidade e confiabilidade da informação,
e dos recursos disponíveis.
Gestão de Riscos
Adriel Sá
As técnicas de análise podem ser qualitativas, quantitativas ou uma combinação destas,

dependendo das circunstâncias e do uso pretendido.
Certo.
016. (FGV/2022/AUDITOR DE CONTROLE EXTERNO (TCE TO)/ADMINISTRAÇÃO) A análise

de riscos trata de compreender a natureza e determinar o nível do risco em função de
probabilidade e impacto. Existem diferentes práticas metodológicas para realizá-la.
Uma dessas práticas busca definir o nível de risco com base na percepção das pessoas e
baseia-se em métodos:
a) multivariados;
b) qualitativos;
c) quantílicos;
d) quantitativos;
e) semiquantitativos.
A análise de riscos baseada em métodos qualitativos busca definir o nível de risco com
base na percepção das pessoas envolvidas no processo. Essa abordagem utiliza critérios
subjetivos, como a probabilidade e o impacto percebidos, para classificar os riscos em
diferentes níveis.
a) multivariados: não faz referência a métodos de análise de riscos.
c) quantílicos: não é uma prática comumente utilizada na análise de riscos.
d) quantitativos: refere-se a métodos de análise de riscos que utilizam dados quantitativos,
como estatísticas, para avaliar a probabilidade e o impacto dos riscos. Essa abordagem é
baseada em cálculos numéricos e não na percepção subjetiva das pessoas.
e) semiquantitativos: refere-se a métodos de análise de riscos que combinam elementos
qualitativos e quantitativos. Essa abordagem busca atribuir valores numéricos aos critérios
qualitativos, tornando a análise mais objetiva. No entanto, não é a abordagem mencionada
na questão.
Letra b.

ENGENHARIA AMBIENTAL) A NBR ISO 31.000/2009 define os princípios e as diretrizes para
gestão de riscos. O processo de gestão de riscos baseado nesse instrumento legal segue as
Gestão de Riscos
Adriel Sá
etapas de: análise de riscos, avaliação de riscos, identificação de riscos, definição do contexto
e tratamento de riscos, conforme ilustrado no fluxograma abaixo, adaptado dessa norma.
A etapa de análise de riscos é aquela na qual se busca compreender a natureza do risco e
determinar o nível de risco, discutindo todas as possibilidades de ocorrência de um eventual
acidente, na tentativa de evitar que ele aconteça.
No fluxograma apresentado na norma, essa etapa aparece na parte
a) I
b) II
c) III
d) IV
e) V
Apesar de citar a NBR ISO 31000:2009, podemos resolvê-la considerando a NBR ISO
31000:2018. Vamos rever nosso esquema?
Note que o processo de avaliação de riscos envolve (II) identificar, (III) analisar e (IV) avaliar.
O (I) refere-se ao escopo, contexto e critério.
Letra c.
018. (FCC/2018/ANALISTA MINISTERIAL (MPE PE)/INFORMÁTICA) De acordo com a norma

NBR ISO/IEC 31000:2018, a avaliação de riscos envolve a comparação dos resultados da
Gestão de Riscos
Adriel Sá
análise de riscos com os critérios de risco estabelecidos para determinar onde é necessária
ação adicional que pode levar a uma decisão de
a) calcular os prejuízos.
b) eliminar algum tipo de controle.
c) manter os objetivos.
d) modificar os controles existentes.
e) fazer mais nada.
Como vimos, segundo a NBR ISO/IEC 31000:2018, o propósito da avaliação de riscos é apoiar
decisões. A avaliação de riscos envolve a comparação dos resultados da análise de riscos
com os critérios de risco estabelecidos para determinar onde é necessária ação adicional.
Isto pode levar a uma decisão de:
• fazer mais nada;
• considerar as opções de tratamento de riscos;
• Reconsiderar os objetivos;
• Manter os controles existentes.
Letra e.
019. (MARINHA/2018/OFICIAL INTENDENTE DA MARINHA/ADMINISTRAÇÃO, CIÊNCIAS

CONTÁBEIS E ECONOMIA/CP-QC-IM) Segundo Maranhão e Macieira (2010), qual é a principal
finalidade da gestão de riscos?
a) Buscar o melhor equilíbrio entre a minimização de perdas e a maximização do aproveitamento
de oportunidades decorrentes de riscos.
b) Buscar a pior relação entre a minimização de perdas e a minimização do aproveitamento
de oportunidades decorrentes de riscos, pois no mundo real não há riscos preocupantes.
c) Negar a existência de riscos (externos e internos) e proibir que se pense neles, para evitar
atrair má sorte para a organização.
d) Aceitar que os riscos à organização são inevitáveis e deixar que agentes externos à
organização planejem para sua equipe.
e) Manter a fé no controle intuitivo dos riscos, associado ao fator sorte, assumindo que essas
variáveis são incontroláveis, pois não há possibilidade de se buscar uma gestão profissional
e consciente dos riscos.
Gestão de Riscos
Adriel Sá
Segundo Maranhão e Macieira (2010)13, a principal finalidade da gestão de riscos é buscar

o melhor equilíbrio entre a minimização de perdas e a maximização do aproveitamento de
oportunidades decorrentes de riscos.
A gestão de riscos permite que uma organização identifique, avalie e tome medidas para
mitigar os riscos que possam afetar seus objetivos.
Dessa forma, é possível tomar decisões informadas e estratégicas para garantir que os
riscos sejam gerenciados de maneira eficaz.
Sobre as demais alternativas incorretas:
A alternativa B sugere que a gestão de riscos tem como objetivo buscar a pior relação entre
a minimização de perdas e o aproveitamento de oportunidades, o que não condiz com a
finalidade da gestão de riscos.
A alternativa C também está incorreta, pois negar a existência de riscos e proibir que se
pense neles não é uma abordagem adequada para a gestão de riscos.
A alternativa D sugere que a organização deve deixar que agentes externos planejem para
sua equipe, o que não está de acordo com a responsabilidade da própria organização em
gerenciar seus riscos.
A alternativa E menciona que a gestão profissional e consciente dos riscos é impossível, o
que não corresponde à realidade. A gestão de riscos pode ser realizada de forma profissional,
estruturada e eficaz.
Letra a.
020. (CPCV UERR/2017/TÉCNICO (CODESAIMA)/SEGURANÇA DO TRABALHO) Marque a opção

que não é técnica de identificação de riscos.
a) Análise de causas e consequências.
b) Análise preliminar de riscos (APR).
c) Estudos de riscos e operabilidade (HAZOP).
d) Mudança/alteração do processo/operação.
e) Análise de modos de falhas e efeitos (FMEA).
A opção que não é uma técnica de identificação de riscos é a D) Mudança/alteração do

processo/operação.
13
MARANHÃO, M.; MACIEIRA, B. E. M. O processo nosso de cada dia, modelagem de processos de trabalho. Rio de Janeiro:
Qualitymark, 2010.
Gestão de Riscos
Adriel Sá
Essa alternativa não se refere a uma técnica específica, mas sim a uma ação que pode ser
realizada para mitigar os riscos identificados por meio das outras técnicas de análise.
Nosso gabarito é a letra D.
a) Análise de causas e consequências: essa é uma técnica que busca identificar as causas
dos riscos e avaliar suas potenciais consequências. Envolve a análise de eventos passados
e suas causas raiz, bem como a identificação dos efeitos que tais eventos podem causar. É
uma técnica útil para compreender as relações entre causa e efeito, mas não exclusivamente
voltada para a identificação de riscos.
b) Análise preliminar de riscos (APR): a APR é uma técnica que visa identificar, de forma
preliminar, os riscos associados a um sistema, processo ou atividade. É uma etapa inicial
do processo de gerenciamento de riscos, que proporciona uma visão geral das principais
preocupações. Portanto, essa é uma técnica adequada para a identificação de riscos.
c) Estudos de riscos e operabilidade (HAZOP): o HAZOP (Hazard and Operability Study) é uma
técnica amplamente utilizada na indústria para identificar e avaliar de forma sistemática os
riscos associados a instalações de processo. Envolve uma análise detalhada de cada etapa
do processo, identificando desvios de condições normais de operação que possam levar
a perigos ou problemas de operabilidade. Portanto, essa é uma técnica adequada para a
identificação de riscos.
e) Análise de modos de falhas e efeitos (FMEA): o FMEA (Failure Mode and Effects Analysis)
é uma técnica que busca identificar e avaliar os modos de falha de um sistema ou processo,
bem como seus efeitos e criticidade. É uma técnica útil para identificar os riscos associados
a falhas e sua possível gravidade. Portanto, essa é uma técnica adequada para a identificação
de riscos.
Letra d.
021. (IBFC/2016/ENGENHEIRO DE SEGURANÇA DO TRABALHO/COMLURB) Dentre as diversas

metodologias utilizadas para análises de riscos, a técnica de análise qualitativa que visa
identificar os perigos e os problemas de operabilidade de uma instalação de processo, e que
se baseia em um procedimento que gera perguntas de maneira estruturada e sistemática
através do uso apropriado de um conjunto de palavras-guia, denomina- se:
a) Estudo de Perigos e Operabilidade (HAZOP).
b) Análise de Preliminar de Perigos (APP).
c) Análise de Modos e Efeitos de Falhas (FMEA).
d) Árvore de Eventos (ETA).
Gestão de Riscos
Adriel Sá
A técnica de análise qualitativa que visa identificar os perigos e problemas de operabilidade

de uma instalação de processo, através do uso apropriado de um conjunto de palavras-guia
e perguntas estruturadas, é o Estudo de Perigos e Operabilidade (HAZOP).
Portanto, nosso gabarito é a letra A.
b) Análise de Preliminar de Perigos (APP): essa técnica também é utilizada para identificar
perigos e riscos, mas difere do HAZOP. A APP é uma análise inicial que busca identificar os
perigos potenciais de um sistema ou processo de forma preliminar.
c) Análise de Modos e Efeitos de Falhas (FMEA): essa técnica é utilizada para identificar
modos de falha em um sistema e seus efeitos. Embora seja uma técnica útil para identificar
riscos, não está diretamente relacionada à análise de perigos e problemas de operabilidade.
d) Árvore de Eventos (ETA): a Árvore de Eventos (ETA) é uma técnica que representa
graficamente as possíveis sequências de eventos que podem levar a um determinado
resultado. Ela é usada para analisar as causas e as consequências de um evento indesejável,
permitindo uma compreensão mais clara das falhas e das medidas de mitigação necessárias.
Letra a.
022. (FCC/2015/ANALISTA JUDICIÁRIO (TRT 4ª REGIÃO)/APOIO ESPECIALIZADO/ENGENHARIA

DE SEGURANÇA DO TRABALHO) Atenção: Considere o texto abaixo para responder à questão.
A empresa PLASTIC possui, atualmente, 400 funcionários contratados em regime celetista.
Um de seus funcionários é o Sandoval, com 23 anos de idade, há 2 meses na empresa
PLASTIC, na função de operador de injetoras de materiais plásticos. Certo dia, ele operava
uma extrusora de tubos de PVC (poli-cloreto de vinila). Ao fazer a limpeza do excesso de
borra de plástico que fica acumulado na ponta do tubo de ferro, utilizou uma espátula para
remoção desta borra plástica. Durante esse processo, foi atingido pelo material plástico
quente que espirrou, causando queimaduras pelo rosto todo e a perda da visão do olho
direito. Segundo o supervisor técnico industrial, o material plástico projetado deveria estar
à temperatura de 150 ºC, porém o mesmo superaqueceu, atingindo a temperatura de 230
ºC. O equipamento não possuía nenhum tipo de proteção mecânica que pudesse evitar que
esse material se projetasse e viesse atingir os trabalhadores.
A empresa PLASTIC, após dois meses do acidente de Sandoval, quer implantar a ABNT NBR
ISO 31000. Com base nesta norma, considere:
I – Ela não tem finalidade de certificação, porém é uma ferramenta que pode trazer maiores
diferenciais competitivos para as empresas que utilizarem os seus conceitos.
Gestão de Riscos
Adriel Sá
II – O processo de avaliação de riscos é o processo global de identificação de riscos, análise

de riscos e avaliação de riscos.
III – As análises de risco devem ser quantitativas e qualitativas.
IV – No processo de gestão de riscos, os registros fornecem os fundamentos para a melhoria
dos métodos e ferramentas, bem como de todo o processo.
V – Ela é específica para fábricas e atividades industriais em geral e pode ser aplicada a
qualquer tipo de risco, independentemente de sua natureza, quer tenha consequências
positivas ou negativas.
a) II, III e IV.
b) I, II e IV.
c) I, II e V.
d) II, III e V.
e) I, IV e V.
As afirmativas I, II e IV estão corretas. Vejamos:

I – A ABNT NBR ISO 31000 2018 não tem finalidade de certificação, mas pode trazer benefícios
competitivos para as empresas que aplicam seus conceitos. A norma fornece diretrizes
para gerenciar riscos enfrentados pelas organizações. A aplicação de suas diretrizes pode
ser personalizada para qualquer organização e seu contexto.
II – Grave isso: o processo de avaliação de riscos envolve a identificação, a análise e a
avaliação de riscos.
• O propósito da identificação de riscos é encontrar, reconhecer e descrever riscos que
possam ajudar ou impedir que uma organização alcance seus objetivos.
• O propósito da análise de riscos é compreender a natureza do risco e suas características,
incluindo o nível de risco, onde apropriado.
• O propósito da avaliação de riscos é apoiar decisões.
III – Note que a opção destaca o verbo “deve”. E, como vimos no decorrer da aula, as análises de
risco podem ser quantitativas, semiquantitativa, qualitativas ou, ainda, a combinação dessas.
IV – Os registros e os relatos visam comunicar atividades e resultados de gestão de riscos
em toda a organização, fornecer informações para a tomada de decisão, melhorar as
atividades de gestão de riscos e auxiliar a interação com as partes interessadas, incluindo
aquelas com responsabilidade e com responsabilização por atividades de gestão de riscos.
V – A norma ABNT NBR ISO 31000 é aplicável a todas as organizações, independentemente
da natureza dos riscos e das consequências positivas ou negativas.
Letra b.
Gestão de Riscos
Adriel Sá
023. (CESGRANRIO/2015/PROFISSIONAL JÚNIOR (BR)/ENGENHARIA DE SEGURANÇA

DO TRABALHO) As ferramentas de análise e de avaliação de risco podem, em geral, ser
selecionadas, combinando os pontos fortes e fracos de cada regime com o cenário a ser
analisado. A ferramenta de estudos de risco que deve ser utilizada para se avaliarem
mecanismos e modos de falha em equipamentos e sistemas é a(o)
a) APP
b) APR
c) FMEA
d) HazOp
e) bow-tie
Vimos que a técnica “Análise de Modos e Efeitos de Falha (e criticidade) (FMEA)” é uma
ferramenta para identificação de riscos, que considera as maneiras pelas quais cada
componente de um sistema pode falhar e a causa e efeito da falha.
Assim, nosso gabarito é a letra C.
a) APP (Análise Preliminar de Perigos) é uma técnica que busca identificar e avaliar os
perigos potenciais associados a uma atividade ou operação específica. Embora seja útil para
identificar perigos, não é a ferramenta mais adequada para avaliar mecanismos e modos
de falha em equipamentos e sistemas.
b) APR (Análise Preliminar de Riscos) é uma técnica semelhante à APP, que visa identificar
e avaliar os riscos potenciais de uma atividade ou operação. Assim como a APP, não é a
ferramenta mais adequada para avaliar mecanismos e modos de falha em equipamentos
e sistemas.
d) HazOp (Hazard and Operability Study) é uma técnica de análise que se concentra em
identificar perigos e problemas operacionais em sistemas complexos. Embora seja útil para
avaliar riscos, seu foco não está especificamente em mecanismos e modos de falha em
equipamentos e sistemas.
e) A “bow-tie” (gravata borboleta) é uma técnica de análise de risco que visualmente
representa os cenários de risco e as medidas de controle associadas. Embora seja uma
ferramenta útil para mapear e comunicar os riscos, não é especificamente direcionada
para avaliar mecanismos e modos de falha em equipamentos e sistemas.
Letra c.
024. (COVEST-COPSET/2015/TECNÓLOGO (UFPE)/SEGURANÇA) Quando a organização

faz a opção pela implementação de uma certificação de gestão voluntária administrativa
Gestão de Riscos
Adriel Sá
de risco, caso deseje manter a certificação ativa, passa a ter a obrigação de cumprir os
requisitos associados à norma em questão. Um dos requisitos da norma voluntária de
gestão de riscos é a identificação de perigos e riscos. Para identificar os perigos e os riscos
associados à atividade empresarial, a organização pode se utilizar de Técnicas de Análise de
Riscos. Identifique abaixo a alternativa que não representa uma técnica de análise de risco.
a) Hazop
b) PPP
c) AMFE
d) What If
e) APR
No contexto da questão, todas as alternativas representam técnicas de análise de risco, exceto

a alternativa B) PPP (que não corresponde a uma técnica de análise de risco comumente
reconhecida).
a) Hazop (Hazard and Operability Study) é uma técnica de análise que busca identificar
perigos e problemas operacionais em sistemas complexos.
c) AMFE (Análise de Modo e Efeito de Falhas) é uma técnica que visa identificar e avaliar os
modos de falha e seus efeitos potenciais em um processo ou sistema.
d) What If (E se...) é uma técnica de análise de risco que envolve questionamentos e discussões
hipotéticas sobre possíveis cenários de risco.
e) APR (Análise Preliminar de Riscos) é uma técnica de análise que visa identificar e avaliar
os riscos potenciais de uma atividade ou operação.
Letra b.
025. (NC UFPR-FUNPAR/2015/PROFISSIONAL NÍVEL UNIVERSITÁRIO JR (ITAIPU)/ENGENHARIA/

SEGURANÇA DO TRABALHO) No ano de 2002, a Fundação Jorge Duprat Figueiredo de
Segurança e Medicina do Trabalho (Fundacentro), com base Convenção 174 da OIT, editou
um código de práticas objetivando orientar a criação de um sistema administrativo, jurídico
e técnico para a prevenção de acidentes industriais maiores, com produtos químicos. Dentre
as práticas administrativas, essa fundação destaca a análise de risco, por meio de técnicas
de estudo de risco. A respeito dessas técnicas, numere a coluna da direita de acordo com
sua correspondência com a coluna da esquerda.
Gestão de Riscos
Adriel Sá
( ) Método de representar as combinações lógicas de vários estágios

1. APR. de um sistema que levam a um determinado resultado (ocorrência
máxima).
( ) Método que esclarece as consequências intermediárias e finais que
2. HAZOP.
podem decorrer de um determinado acontecimento inicial.
( ) Estudo para identificar, mediante aplicação de palavras-chave, todos
3. FMEA. os desvios do projeto pretendido, com seus efeitos indesejáveis para
a segurança ou funcionamento, a fim de identificar possíveis riscos.
( ) Procedimento de identificação de riscos na fase inicial da concepção de
4. Árvore de
um projeto, visando identificar possibilidades de serem introduzidas
falhas.
modificações que reduzam ou eliminem riscos.
( ) Processo de identificação de risco no qual se anotam sucessivamente
5. Árvore de
todas as modalidades conhecidas de falhas dos componentes ou
eventos.
características de um sistema e os resultados indesejáveis.
Assinale a alternativa que apresenta a numeração correta da coluna da direita, de cima

para baixo.
a) 4 – 5 – 1 – 2 – 3.
b) 3 – 4 – 2 – 5 – 1.
c) 5 – 3 – 4 – 1 – 2.
d) 4 – 5 – 2 – 1 – 3.
e) 2 – 4 – 1 – 3 – 5.
Vamos analisar mais informações sobre cada técnica de análise de risco mencionada:
• APR (Análise Preliminar de Risco): a APR é um procedimento utilizado na fase
inicial da concepção de um projeto para identificar possíveis riscos e oportunidades
de introduzir modificações que reduzam ou eliminem esses riscos. É uma técnica
preventiva que visa antecipar e mitigar problemas antes que ocorram.
• HAZOP (Hazard and Operability Study): o HAZOP é um estudo que busca identificar
desvios do projeto pretendido, por meio da aplicação de palavras-chave, e analisar
os efeitos indesejáveis para a segurança ou o funcionamento. Ele busca identificar
possíveis riscos e propor medidas corretivas.
• FMEA (Failure Mode and Effects Analysis): o FMEA é um método que identifica
as consequências intermediárias e finais que podem resultar de um determinado
acontecimento inicial. Ele analisa os modos de falha dos componentes ou características
de um sistema e seus efeitos indesejáveis, permitindo o desenvolvimento de ações
preventivas ou corretivas.
• Árvore de falhas: a árvore de falhas é uma técnica que visa representar, de forma
sistemática e hierárquica, as combinações lógicas de eventos e falhas que levam a um
Gestão de Riscos
Adriel Sá
resultado indesejável. Ela permite identificar as causas-raiz de um evento indesejado

e as diferentes possibilidades de falhas que podem levar a esse evento.
• Árvore de eventos: a árvore de eventos é uma técnica que representa graficamente as
possíveis sequências de eventos que podem levar a um determinado resultado final. Ela
é usada para analisar as causas e as consequências de um evento indesejável, permitindo
uma compreensão mais clara das falhas e das medidas de mitigação necessárias.
Com base nas informações corrigidas, temos:
(4. Árvore de falhas) Método de representar as combinações lógicas de vários estágios de um
sistema que levam a um determinado resultado (ocorrência máxima).
(5. Árvore de eventos) Método que esclarece as consequências intermediárias e finais que podem
decorrer de um determinado acontecimento inicial.
(2. HAZOP) Estudo para identificar, mediante aplicação de palavras-chave, todos os desvios do
projeto pretendido, com seus efeitos indesejáveis para a segurança ou funcionamento, a fim de
identificar possíveis riscos.
(1. APR) Procedimento de identificação de riscos na fase inicial da concepção de um projeto, visando
identificar possibilidades de serem introduzidas modificações que reduzam ou eliminem riscos.
(3. FMEA) Processo de identificação de risco no qual se anotam sucessivamente todas as modalidades
conhecidas de falhas dos componentes ou características de um sistema e os resultados indesejáveis.
Letra d.
026. (NC UFPR-FUNPAR/2015/PROFISSIONAL NÍVEL TÉCNICO I (ITAIPU)/TÉCNICO EM

SEGURANÇA DO TRABALHO) A técnica HAZOP é aplicada para:
a) investigar, de forma minuciosa e metódica, cada segmento de um processo, visando
descobrir todos os possíveis desvios das condições normais de operação.
b) estudar, mediante aplicação de palavras-chave, todos os desvios do projeto pretendido,
com seus efeitos indesejáveis, a fim de identificar possíveis riscos.
c) determinar riscos e medidas preventivas antes da fase operacional.
d) obter a probabilidade de ocorrência de evento indesejado.
e) detectar incidentes críticos e o tratamento dos riscos que tais incidentes representam.
A técnica HAZOP (Hazard and Operability Study) é amplamente utilizada para analisar de
forma sistemática os desvios das condições normais de operação em um processo.
Ela examina minuciosamente cada segmento ou etapa do processo, identificando possíveis
desvios, falhas ou variações que possam levar a situações de risco ou operabilidade inadequada.
Através de uma abordagem metódica, são realizadas perguntas-chave relacionadas a
parâmetros como pressão, temperatura, fluxo, composição, entre outros, a fim de identificar
e avaliar os riscos associados.
Letra a.
Gestão de Riscos
Adriel Sá
027. (VUNESP/2015/ENGENHEIRO (PREF POÁ)/SEGURANÇA DO TRABALHO) Dependendo do

tipo de atividade e de suas características próprias, a prática de gerenciamento de riscos
pode implicar a utilização de diferentes técnicas de análise de riscos, como
a) a Análise de Percurso Crítico, que, mediante estudo das combinações possíveis entre os
subsistemas considerados, permite a identificação dos percursos críticos para o sucesso
da operação.
b) a Análise de Cenários Críticos, que aplica a probabilidade de combinações perniciosas de
todos os componentes do sistema de produção, estabelecendo ordenamento por gravidade
de dano presumido.
c) a Técnica de Incidentes Operacionais, que é muito específica, desenvolvida para avaliar
riscos existentes na operação de máquinas e equipamentos em sistemas de produção.
d) a Análise Combinada de Causas e Consequências, desenvolvida para ser aplicada
por diferentes departamentos da organização, por permitir boa estimativa de riscos e
consequências de naturezas diversas.
e) a Análise de Modos de Falhas e Efeitos, que tem, entre seus principais objetivos, a revisão
sistemática dos modos de falhas de um componente, para garantir danos mínimos ao
sistema.
Das opções apresentadas, apenas as letras D e E são reconhecidas amplamente como

técnicas de gestão de riscos. As letras A, B e C são técnicas dispersas, não aparecendo em
normas reconhecidas.
A letra D está incorreta, pois a Análise Causa-consequência considera tanto as causas quanto
as consequências de um evento inicial, e não apenas as consequências, como afirma o item.
A letra E descreve corretamente a técnica de análise de riscos conhecida como Análise de
Modos de Falhas e Efeitos (FMEA - Failure Mode and Effects Analysis). Essa técnica consiste
na revisão sistemática dos modos de falha de um componente, identificando suas possíveis
causas, efeitos e ações preventivas para garantir danos mínimos ao sistema.
Letra e.
028. (CESGRANRIO/2014/PROFISSIONAL PETROBRÁS DE NÍVEL TÉCNICO (PETROBRAS)/

SEGURANÇA) Há uma técnica indutiva e estruturada para identificar perigos de processo
e potenciais problemas de operação, associando, de forma sistemática, um conjunto de
palavras-guia às variáveis de processo. Para cada desvio identificado são relacionadas
causas, consequências, modos de detecção e salvaguardas existentes, recomendando
medidas adicionais quando necessário.
Essa técnica de análise de risco é denominada
Gestão de Riscos
Adriel Sá
a) APR
b) APP
c) FMECA
d) HAZOP
e) HAZID
A técnica descrita no enunciado é conhecida como HAZOP, que significa Hazard and Operability
Study (Estudo de Perigos e Operabilidade, em tradução livre).
O HAZOP é uma técnica sistemática e estruturada de análise de riscos que utiliza um
conjunto de palavras-guia para identificar desvios potenciais em um processo, associando-
os a causas, consequências, modos de detecção e salvaguardas existentes.
Com base nessa análise, são recomendadas medidas adicionais para mitigar os riscos
identificados.
Assim, nosso gabarito é a letra D.
a) APR (Análise Preliminar de Risco) é uma técnica de análise de risco que visa identificar
os riscos antes do início das atividades, com o objetivo de prevenir acidentes e doenças
ocupacionais.
b) APP (Análise de Perigos e Pontos Críticos de Controle) é uma técnica utilizada na indústria
alimentícia para identificar os perigos relacionados à produção de alimentos e estabelecer
medidas de controle.
c) FMECA (Failure Modes, Effects, and Criticality Analysis) é uma técnica de análise de risco
amplamente utilizada na engenharia para identificar e avaliar os modos de falha, seus
efeitos e a criticidade associada a eles.
e) HAZID (Hazard Identification) é uma técnica utilizada para identificar os perigos em um
sistema ou processo, geralmente na fase de projeto, visando à implementação de medidas
de controle e mitigação.
Letra d.
029. (VUNESP/2014/AUXILIAR JUDICIÁRIO (TJ PA)/TÉCNICO EM SEGURANÇA DO TRABALHO)

A respeito da Análise Preliminar de Risco, é correto afirmar que
a) consiste em uma análise técnica minuciosa das possíveis falhas operacionais e humanas.
b) é uma técnica quantitativa de riscos aplicada ainda na fase inicial do projeto.
c) visa à prevenção de acidentes do trabalho por meio da antecipação dos riscos.
d) é aplicada para verificar o correto funcionamento dos equipamentos de segurança.
e) tem sua importância maior no estabelecimento de responsabilidades no controle dos riscos.
Gestão de Riscos
Adriel Sá
A Análise Preliminar de Risco (APR) é uma técnica utilizada na área de segurança do trabalho
com o objetivo de identificar e avaliar os riscos presentes em uma atividade, processo ou tarefa.
A APR é realizada antes do início das atividades e busca antecipar os riscos, ou seja, identificar
previamente os possíveis perigos e situações de risco, a fim de adotar medidas preventivas
adequadas e evitar acidentes e incidentes no ambiente de trabalho.
Logo, nosso gabarito é a letra C.
a) A análise técnica minuciosa das possíveis falhas operacionais e humanas geralmente é
realizada por outras técnicas de análise de risco, como a Análise de Modos de Falha e Efeitos
(FMEA) ou a Análise de Árvore de Falhas (FTA).
b) A APR não é uma técnica quantitativa de riscos, pois sua abordagem é mais qualitativa,
identificando os riscos de forma geral e buscando medidas preventivas adequadas.
d) A APR não é aplicada especificamente para verificar o funcionamento dos equipamentos
de segurança, mas sim para identificar os riscos associados às atividades e processos.
e) Embora a APR contribua para estabelecer responsabilidades no controle dos riscos,
sua importância principal está na prevenção de acidentes, e não apenas na atribuição de
responsabilidades.
Letra c.
030. (FGV/2014/ANALISTA DE SANEAMENTO (COMPESA)/ENGENHEIRO DE SEGURANÇA DO

TRABALHO) As opções a seguir apresentam técnicas de análise de riscos, à exceção de uma.
Assinale-a.
a) Programa de Determinação de Confiabilidade e Análise (PDCA)
b) Análise Preliminar de Riscos (APR)
c) Análise de Modos de Falha e Efeitos (AMFE)
d) Análise de Árvore de Falhas (AAF)
e) Estudo de Operabilidade e Riscos (HazOp)
O PDCA não é uma técnica de análise de riscos, mas sim um método de gestão utilizado
para melhoria contínua de processos.
O PDCA (Plan-Do-Check-Act) consiste em um ciclo que envolve planejamento, execução,
verificação e ação corretiva, visando aprimorar a eficácia e eficiência de um sistema ou
processo.
Assim, nosso gabarito é a letra A.
Gestão de Riscos
Adriel Sá
b) A Análise Preliminar de Riscos (APR) é uma técnica utilizada para identificar e avaliar os
riscos presentes em uma atividade, processo ou tarefa, com o objetivo de prevenir acidentes.
c) A Análise de Modos de Falha e Efeitos (AMFE) é uma técnica utilizada para identificar
os modos de falha potenciais de um sistema, componente ou processo, bem como seus
efeitos e ações de prevenção ou mitigação.
d) A Análise de Árvore de Falhas (AAF) é uma técnica que busca identificar as sequências
de eventos ou falhas que podem levar a uma falha específica do sistema, utilizando uma
representação gráfica em forma de árvore.
e) O Estudo de Operabilidade e Riscos (HazOp) é uma técnica utilizada para identificar os
desvios de operação em um processo industrial e analisar os riscos associados a esses desvios.
Letra a.
031. (FCC/2019/ANALISTA JUDICIÁRIO (TRF 3ª REGIÃO)/JUDICIÁRIA) O conceito de gestão

de riscos atrelado às boas práticas de governança corporativa contempla
a) o monitoramento, avaliação e classificação exclusivamente dos riscos de imagem e de
integridade.
b) a identificação das incertezas nos processos da organização, a medição da probabilidade
de danos e seus possíveis impactos.
c) apenas medidas de identificação e classificação dos riscos, cabendo ao sistema de
compliance as medidas de mitigação.
d) medidas de mitigação de riscos, aplicáveis apenas àqueles riscos classificados como
gerenciáveis.
e) a eliminação dos riscos aos quais a organização está exposta, salvo os riscos legais, que
são tratados no bojo do programa de conformidade.
Olha só: não precisamos de muita coisa para resolver essa questão. Vamos analisar cada
uma das alternativas e perceber seus erros e acertos?
a) Errada. A gestão de riscos não se limita apenas aos riscos de imagem e integridade. Os
riscos corporativos podem abranger uma ampla variedade de áreas, como operacionais,
financeiros, estratégicos, legais, entre outros. A gestão de riscos deve abordar todos esses
aspectos para garantir a segurança e a sustentabilidade da organização.
b) Certa. Primeiramente, a identificação dos riscos é uma etapa crucial. Isso significa
identificar todas as potenciais fontes de incerteza que podem afetar negativamente os
objetivos da organização.
Gestão de Riscos
Adriel Sá
Em seguida, é importante medir a probabilidade de ocorrência desses riscos e avaliar seus

possíveis impactos. A probabilidade está relacionada à chance de o risco se materializar,
enquanto o impacto se refere à magnitude das consequências caso o risco ocorra.
Com base nessas informações, é possível tomar medidas de mitigação para lidar com os
riscos identificados. Essas medidas podem incluir a implementação de controles, políticas,
processos e procedimentos para reduzir a probabilidade de ocorrência do risco ou limitar
seus impactos negativos.
A gestão de riscos também envolve a monitorização contínua dos riscos e a adaptação das
medidas de mitigação conforme necessário. À medida que o ambiente de negócios evolui,
novos riscos podem surgir ou a magnitude dos riscos existentes pode mudar.
c) Errada. A gestão de riscos não se limita apenas à identificação e classificação dos riscos.
Embora a identificação e classificação sejam etapas cruciais no processo de gestão de
riscos, também é necessário tomar medidas adequadas para mitigar esses riscos. O sistema
de compliance pode fornecer diretrizes e direcionamentos para a mitigação, mas não é
exclusivo dessa função.
d) Errada. A gestão de riscos não se limita a aplicar medidas de mitigação apenas aos riscos
classificados como gerenciáveis. Todos os riscos, independentemente da sua classificação,
devem ser abordados na gestão de riscos. É importante reconhecer a diversidade de
riscos e implementar estratégias adequadas para cada um deles, visando minimizar sua
probabilidade de ocorrência e impacto negativo.
e) Errada. A gestão de riscos não busca a eliminação completa de todos os riscos aos quais
a organização está exposta. É praticamente impossível eliminar todos os riscos, pois eles
fazem parte do ambiente de negócios. Em vez disso, a gestão de riscos busca identificar,
avaliar e mitigar esses riscos de forma apropriada, considerando os objetivos da organização,
a tolerância ao risco e as melhores práticas de gerenciamento.
Letra b.
032. (FCC/2015/BIBLIOTECONOMISTA/DPE RR) Em relação à gestão de riscos em um projeto,

é correto afirmar que
a) um risco aceitável ou sem consequências relevantes ao projeto é aquele que apresenta
alto impacto e baixa probabilidade.
b) poucos riscos concernem diretamente ao conteúdo (produto e/ou serviço) do projeto.
c) os fatores exógenos que afetam um projeto dizem respeito, entre outras coisas, aos recursos
disponíveis para sua execução e sobre as bases de consenso institucional/organizacional.
d) os fatores endógenos que afetam um projeto dizem respeito ao equilíbrio e às mudanças
de cenário das expectativas dos diversos grupos de interesse extra institucionais.
e) todo projeto corre riscos de diferentes tipos e importância.
Gestão de Riscos
Adriel Sá
A alternativa E é a correta, pois como vimos na aula, todo projeto está sujeito a riscos de
diferentes tipos e importância. Nenhum projeto está imune a incertezas e eventos que
podem afetar negativamente seus objetivos e resultados esperados.
A gestão de riscos é fundamental para identificar, avaliar, tratar e monitorar esses riscos,
garantindo que sejam adequadamente gerenciados ao longo do ciclo de vida do projeto.
Agora, vejamos as demais alternativas incorretas:
a) Errada. um risco aceitável é aquele que apresenta tanto baixo impacto quanto baixa
probabilidade de ocorrência. O impacto se refere às consequências que o risco pode ter
no projeto, enquanto a probabilidade está relacionada à chance de o risco se materializar.
No contexto da gestão de riscos, busca-se identificar riscos que possam gerar impactos
significativos, mas que também sejam prováveis o suficiente para justificar a implementação
de medidas de mitigação.
b) Errada. vários riscos podem estar diretamente relacionados ao conteúdo (produto e/ou
serviço) do projeto. Os riscos podem surgir em diferentes aspectos do projeto, incluindo o
próprio conteúdo e as entregas esperadas. Por exemplo, em um projeto de desenvolvimento
de um software, os riscos podem envolver questões relacionadas à qualidade do software,
às funcionalidades desejadas, ao prazo de entrega, entre outros.
c) Errada. os fatores exógenos (de fora) que afetam um projeto são aqueles externos à
própria organização ou instituição envolvida no projeto. Esses fatores podem incluir questões
políticas, econômicas, sociais, ambientais e culturais, bem como os recursos disponíveis
para a execução do projeto. Os fatores exógenos podem influenciar o contexto em que o
projeto é realizado, apresentando desafios ou oportunidades que devem ser considerados
no gerenciamento de riscos.
d) Errada. os fatores endógenos (de dentro) que afetam um projeto dizem respeito às
questões internas e específicas da instituição ou organização que executa o projeto. Eles
se referem ao equilíbrio interno, às capacidades e competências da organização, à dinâmica
de relacionamento entre os grupos de interesse internos, entre outros aspectos. Os fatores
endógenos podem influenciar o sucesso e desempenho do projeto, sendo relevantes na
gestão de riscos.
Letra e.
033. (FCC/2009/ANALISTA DE CONTROLE EXTERNO (TCE-GO)/PLANEJAMENTO E

DESENVOLVIMENTO ORGANIZACIONAL) Com relação aos principais benefícios de uma
adequada gestão de riscos, considere:
Gestão de Riscos
Adriel Sá
I – Gerenciar riscos também significa maximizar a probabilidade de evento incerto e futuro

que pode ampliar o sucesso de um projeto.
II – Os riscos desconhecidos podem ser gerenciados de forma pró-ativa e uma resposta
prudente da equipe do projeto seria definir um plano de prevenção contra esses riscos.
III – Os riscos conhecidos são aqueles que foram identificados e analisados, mas, para alguns
destes pode não ser econômico ou possível desenvolver uma resposta proativa.
IV – É possível aceitar os riscos que constituem ameaças ao projeto se eles forem equivalentes
à premiação que pode ser obtida ao se assumir esses riscos.
V – Qualquer estrutura analítica de riscos deve incluir sempre os riscos técnicos, externos,
organizacionais e de gerenciamento.
a) I, III e V.
b) II e IV.
c) I, III e IV.
d) IV e V.
e) II e III.
Vamos analisar cada uma das afirmações.

I – Correto. Uma adequada gestão de riscos permite identificar e explorar oportunidades
que possam impactar positivamente o projeto. Ao antecipar e gerenciar adequadamente
esses eventos incertos, é possível aumentar a probabilidade de sucesso e alcançar melhores
resultados.
II – Incorreto. Os riscos desconhecidos não podem ser gerenciados de forma proativa, uma
vez que, por definição, não são conhecidos. Dessa forma, não é possível desenvolver um
plano de prevenção ou implementar medidas para esses riscos antes de sua identificação.
O que podemos providenciar é um plano de contingência.
III – Correto. Nem todos os riscos conhecidos justificam a implementação de ações proativas
ou preventivas. Em alguns casos, os custos ou a viabilidade para desenvolver uma resposta
proativa podem não ser econômicos ou possíveis. Nesses casos, a equipe do projeto pode
decidir aceitar os riscos e estar preparada para responder de forma reativa caso ocorram.
IV – Correto. Ao avaliar os riscos envolvidos em um projeto, a equipe pode decidir que o
potencial benefício ou recompensa de enfrentar esses riscos supera os possíveis impactos
negativos. A aceitação de riscos é uma estratégia válida em certas situações, mas é crucial
que seja feita de forma consciente e informada, com uma avaliação cuidadosa dos possíveis
resultados positivos e negativos.
V – Incorreto. Embora seja importante incluir uma variedade de categorias de riscos em
uma estrutura analítica de riscos, como os riscos técnicos, externos, organizacionais e de
Gestão de Riscos
Adriel Sá
gerenciamento, não é obrigatório que todas essas categorias estejam presentes sempre.
A estrutura analítica de riscos deve ser adaptada às características específicas de cada
projeto e às suas particularidades.
Letra c.
034. (FCC/2016/ANALISTA TECNOLÓGICO (PRODATER)/ANALISTA DE NEGÓCIOS) Em um

processo de gestão de riscos,
a) não há necessidade de monitoração dos riscos durante a utilização de um sistema de
informação.
b) devem ser qualificados e quantificados todos os riscos como tendo o mesmo nível de
segurança.
c) a ação de transferência do risco corresponde a reduzir seu nível de impacto.
d) as informações sobre os riscos devem ser compartilhadas entre o tomador de decisões
e as partes interessadas.
e) a ação de identificação de vulnerabilidades corresponde a um desligamento geral do
sistema de informação sob ameaça.
Como vimos, a questão se baseia nos princípios da gestão de riscos apresentados pela
NBR ISO 31000:
Integrada A gestão de riscos é parte integrante de todas as atividades organizacionais.
Estruturada e Uma abordagem estruturada e abrangente para a gestão de riscos contribui
abrangente para resultados consistentes e comparáveis.
A estrutura e o processo de gestão de riscos são personalizados e proporcionais
Personalizada
aos contextos externo e interno da organização relacionados aos seus objetivos.
O envolvimento apropriado e oportuno das partes interessadas possibilita
Inclusiva que seus conhecimentos, pontos de vista e percepções sejam considerados.
Isto resulta em melhor conscientização e gestão de riscos fundamentada.
Riscos podem emergir, mudar ou desaparecer à medida que os contextos
externo e interno de uma organização mudem. A gestão de riscos antecipa,
Dinâmica
detecta, reconhece e responde a estas mudanças e eventos de uma maneira
apropriada e oportuna.
As entradas para a gestão de riscos são baseadas em informações históricas e
atuais, bem como em expectativas futuras. A gestão de riscos explicitamente
Melhor informação
leva em consideração quaisquer limitações e incertezas associadas a estas
disponível
informações e expectativas. Convém que a informação seja oportuna, clara
e disponível para as partes interessadas pertinentes.
Fatores humanos e O comportamento humano e a cultura influenciam significativamente todos
culturais os aspectos da gestão de riscos em cada nível e estágio.
A gestão de riscos é melhorada continuamente por meio do aprendizado e
Melhoria contínua
experiências.
Gestão de Riscos
Adriel Sá
A alternativa correta é a letra D, que destaca a importância de compartilhar as informações

sobre os riscos entre o tomador de decisões e as partes interessadas. Isso significa que
não basta apenas identificar e analisar os riscos, é crucial comunicar e compartilhar essas
informações com as pessoas envolvidas, permitindo uma compreensão completa da situação
e uma base sólida para tomar decisões apropriadas.
Agora, vamos analisar as demais alternativas incorretas:
a) A afirmação de que não há necessidade de monitorar os riscos durante a utilização de um sistema
de informação está incorreta. A monitoração contínua dos riscos é uma prática recomendada
na gestão de riscos, já que os riscos podem evoluir e surgir novas ameaças ao longo do tempo.
b) A qualificação e quantificação dos riscos nem sempre são iguais. Os riscos podem ser
classificados e avaliados com níveis diferentes de segurança e prioridade, dependendo da
sua gravidade e impacto potencial.
c) A ação de transferência do risco não corresponde necessariamente à redução do nível de
impacto. A transferência de riscos implica transferir a responsabilidade para outra parte,
como um seguro ou uma terceirização, mas o impacto potencial ainda pode persistir.
e) A identificação de vulnerabilidades envolve identificar os pontos fracos e falhas potenciais
em um sistema de informação. Essa identificação permite que medidas de segurança sejam
implementadas para mitigar ou reduzir os riscos associados às ameaças identificadas. Não
tem nada de “desligamento”!
Letra d.

AMBIENTAL) No contexto das diretrizes de gestão de riscos, apresentadas na norma ABNT
NBR ISO 31000:2018, o processo de avaliação de um risco engloba as três seguintes etapas:
a) escopo, contexto e critério; análise de risco; tratamento de riscos
b) escopo, contexto e critério; identificação de risco; análise de risco
c) identificação de risco; análise de risco; tratamento de risco
d) identificação de risco; análise de risco; avaliação de risco
e) análise de risco; avaliação de riscos; tratamento de risco
Vale a pena rever o nosso quadro-resumo. Observe os destaques:

O propósito da COMUNICAÇÃO E CONSULTA é auxiliar as partes
Comunicação e interessadas pertinentes na compreensão do risco, na base sobre a
Consulta qual decisões são tomadas e nas razões pelas quais ações específicas
são requeridas.
Gestão de Riscos
Adriel Sá
O propósito do estabelecimento do ESCOPO, CONTEXTO E CRITÉRIOS

Escopo, Contexto e é personalizar o processo de gestão de riscos, permitindo um
Critérios processo de avaliação de riscos eficaz e um tratamento de riscos
apropriado.
Esse processo engloba três etapas: identificação, análise e avaliação.
O propósito da identificação de riscos é encontrar, reconhecer e
descrever riscos que possam ajudar ou impedir que uma organização
Processo de alcance seus objetivos.
Avaliação de Riscos O propósito da análise de riscos é compreender a natureza do risco
e suas características, incluindo o nível de risco, onde apropriado.
O processo de avaliação de riscos é o processo global de identificação
de riscos e análise de riscos.
Tratamento de O propósito do TRATAMENTO DE RISCOS é selecionar e implementar
Riscos opções para abordar riscos.
O propósito do MONITORAMENTO E ANÁLISE CRÍTICA é assegurar
Monitoramento e
e melhorar a qualidade e eficácia da concepção, implementação e
Análise Crítica
resultados do processo.
Convém que o processo de gestão de riscos e seus resultados sejam
Registro e Relato
documentados e relatados por meio de mecanismos apropriados.
Letra d.

AMBIENTAL) No contexto da norma ABNT NBR ISO 31000:2018, a análise de riscos tem como
propósito compreender a natureza do risco, sendo conveniente que nessa análise sejam
considerados fatores como os enumerados a seguir:
a) probabilidade de eventos e consequências; complexidade e conectividade; sensibilidade
b) probabilidade de eventos e consequências; simplicidade e interdependências; sensibilidade
c) simplicidade e interdependências; fatores temporais; sensibilidade e níveis de confiança
d) probabilidade de eventos e consequências; fatores temporais; eficácia de medidas de
controle futuras
e) simplicidade e interdependências; fatores temporais; eficácia de medidas de controle
futuras
É claro que seria inviável você decorar a norma. E aí, podemos perguntar: Como resolver
uma questão dessa, sem decoreba?
Vamos analisar a questão com o que vimos. O propósito da análise de riscos é compreender
a natureza do risco e suas características, incluindo o nível de risco.
Pois bem! Vamos observar as alternativas:
Gestão de Riscos
Adriel Sá
a) Certa. À primeira vista, não notamos termos desconexos com a ideia da análise de riscos.
b) Errada. Simplicidade? O que essa expressão tem a ver com análise de riscos? A ideia seria
estarmos atentos à complexidade, e não simplicidade.
c) Errada. Mais uma vez, aparece o termo simplicidade.
d) Errada. Para tudo! Eficácia de controles futuros? Aí não, né! A eficácia está relacionada
à medida em que as metas e objetivos estabelecidos são atingidos. Se é futuro, nada foi
atingido ainda!
e) Errada. Nessa alternativa aparecem as ideias de simplicidade e eficácia de medidas de
controle futuras, que como vimos, não se relacionam em nada com o processo de análise
de riscos.
Agora que já resolvemos a questão, podemos saber o que a ABNT NBR ISO 31000:2018 lista
como fatores a serem considerados na análise de riscos:
• probabilidade de eventos e consequências;
• a natureza e magnitude das consequências;
• complexidade e conectividade;
• fatores temporais e volatilidade;
• a eficácia dos controles existentes;
• sensibilidade e níveis de confiança.
Letra a.

AMBIENTAL) Entre os conceitos apresentados na norma ABNT ISO 31000:2018, encontra-se
o de gestão de riscos, que envolve um(a)
a) tratamento de riscos, o qual deve ser implementado para que os agentes atuem no
controle da probabilidade simultaneamente ao controle de consequências.
b) controle de riscos, que é uma medida que inclui o histórico de acidentes, não se limitando
a qualquer processo, política, dispositivo ou prática.
c) análise de riscos, que pode ser realizada em vários graus de detalhamento e complexidade,
dependendo do propósito, da disponibilidade e da confiabilidade da informação.
d) avaliação de riscos, em que se comparam os resultados advindos da identificação dos
riscos com os critérios estabelecidos para os níveis de ação.
e) identificação dos riscos, que tem como objetivo decrescer o número de acidentes ocorridos
no passado, estabelecendo séries históricas e taxas de frequência.
Gestão de Riscos
Adriel Sá
O gabarito é a letra C. A alternativa afirma que a análise de riscos pode ser realizada em
vários graus de detalhamento e complexidade, dependendo do propósito, disponibilidade
e confiabilidade da informação.
Isso está de acordo com a norma, que destaca a importância de adaptar a análise para se
adequar às circunstâncias específicas de cada organização e seus objetivos. A análise de
riscos é uma etapa fundamental para identificar e compreender os riscos existentes.
Vejamos o que dispõe a ABNT ISO 31000:2018:
O propósito da análise de riscos é compreender a natureza do risco e suas características,
incluindo o nível de risco, onde apropriado. A análise de riscos envolve a consideração detalhada
de incertezas, fontes de risco, consequências, probabilidade, eventos, cenários, controles e
sua eficácia. Um evento pode ter múltiplas causas e consequências e pode afetar múltiplos
objetivos.
A análise de riscos pode ser realizada com vários graus de detalhamento e complexidade,
dependendo do propósito da análise, da disponibilidade e confiabilidade da informação, e
dos recursos disponíveis.
As técnicas de análise podem ser qualitativas, quantitativas ou uma combinação destas,
dependendo das circunstâncias e do uso pretendido.
Sobre as demais alternativas incorretas:
a) A alternativa menciona o tratamento de riscos como uma medida de controle da
probabilidade e das consequências simultaneamente. Embora o tratamento de riscos seja
uma etapa importante da gestão de riscos, a ideia não é atuar no controle do que pode
ser um risco, mas implementar ações para mitigar ou controlar os riscos já identificados.
b) A alternativa B afirma que o controle de riscos inclui o histórico de acidentes, mas isso não é
abordado na norma ABNT ISO 31000:2018. Segundo a norma, controle é a medida que mantém
e/ou modifica o risco. Controles incluem, mas não estão limitados a qualquer processo, política,
dispositivo, prática, ou outras condições e/ou ações que mantêm e/ou modificam o risco.
d) A alternativa menciona a avaliação de riscos comparando os resultados da identificação
dos riscos com os critérios estabelecidos para os níveis de ação. O processo de avaliação
de riscos é o processo global de identificação de riscos e análise de riscos, e não com os
critérios estabelecidos para os níveis de ação. Lembrar da sequência: identificação, análise
e avaliação.
e) A alternativa afirma que a identificação dos riscos tem como objetivo diminuir o número
de acidentes ocorridos no passado. No entanto, a identificação de riscos não está relacionada
diretamente à redução do número de acidentes passados, mas sim a encontrar, reconhecer e
descrever riscos que possam ajudar ou impedir que uma organização alcance seus objetivos.
Letra c.
Gestão de Riscos
Adriel Sá
038. (CESGRANRIO/2022/PROFISSIONAL DE NÍVEL SUPERIOR (ELETRONUCLEAR)/ENGENHEIRO

DE ANALISE PROBABILÍSTICA DE SEGURANÇA) A Análise dos Modos de Falha e Efeitos (Fault
Mode and Effect Analysis – FMEA), além de apresentar um foco maior em processos e
produtos, considera para a análise da criticidade uma multiplicação simples dos fatores
de severidade (S), ocorrência (O) e detecção (D). A partir da incorporação da Análise de
Confiabilidade Humana (ACH), podem ser considerados fatores como inteligibilidade ou
cognição (I) e estresse (E), para avaliar os modos de falha considerando fatores humanos.
Para reduzir a imprecisão do cálculo do índice de probabilidade de risco (Risk Priority
Number – RPN), pode ser utilizada uma Composição Probabilística de Preferências (CPP).
A imprecisão é inerente à subjetividade e aos erros de avaliação nos processos de tomada
de decisão individual ou em grupo. Por isso, é natural assumir, para a avaliação de cada
alternativa sob cada critério, um comportamento
a) aleatório
b) estável
c) médio
d) normal
e) regular
Aí você se depara com uma questão dessa na prova, com um nível de profundidade pelo
qual o seu tempo de estudo não conseguiu alcançar (muito normal, aliás). O que fazer?
Vamos tentar entender sobre o que a questão está falando.
Ainda que a questão cite Análise de Confiabilidade Humana, o contexto está na técnica de
Análise de Modos e Efeitos de Falha (FMEA), que é uma técnica que considera as maneiras
pelas quais cada componente de um sistema pode falhar e a causa e efeito da falha.
Opa! Tendo isso em mente, adicione o enunciado, que ressalta que, na Análise de Confiabilidade
Humana (ACH), a imprecisão é inerente à subjetividade e aos erros de avaliação nos processos
de tomada de decisão individual ou em grupo.
Portanto, é natural assumir um comportamento aleatório para a avaliação de cada alternativa
sob cada critério. Essa aleatoriedade reflete a dificuldade de estimar com precisão as
probabilidades de ocorrência e detecção de falhas humanas.
Perceba que as demais alternativas são sinônimas e escapam dessa realidade de aleatoriedade
e falhas: B) estável; C) médio; D) normal; e E) regular.
Letra a.

ENGENHARIA DE PRODUÇÃO/1) Segundo normas internacionais, o processo de gestão de
riscos consagrado na literatura é composto de 4 etapas fundamentais, que são:
Gestão de Riscos
Adriel Sá

O gabarito é a letra A. Vimos que a ISO 31000 – Gestão de Riscos envolve os seguintes
processos:
Gestão de Riscos
Adriel Sá
A questão fala em 4 etapas fundamentais. Logo, podemos excluir as seguintes opções das
alternativas:
Letra a.
Abra
caminhos
crie
futuros
gran.com.br

2024 01 18 15 15 22 93714795 Gestao de Riscos E1705601722

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

2024 01 18 15 15 22 93714795 Gestao de Riscos E1705601722

Enviado por

Direitos autorais:

Formatos disponíveis

ÉTICA E INTEGRIDADE

Professor de Direito Administrativo, Administração Geral e Administração Pública

Os assuntos da disciplina de Administração não possuem uma normatização. Isso quer

Nesse contexto, surge a GESTÃO DE RISCOS, um processo sistemático que envolve

001. (CESGRANRIO/2012/PROFISSIONAL PETROBRÁS DE NÍVEL TÉCNICO/PETROBRAS/

Vamos rever o nosso exemplo pra entender a fórmula?

002. (CS UFG/2017/AUDITOR/UFG) A gestão de riscos refere-se ao processo de aplicação

003. (VUNESP/2012/TÉCNICO DE NÍVEL MÉDIO/PREF CUBATÃO/TÉCNICO SEGURANÇA DO

2. MODELOS NACIONAIS E INTERNACIONAIS

2.1. EVOLUÇÃO HISTÓRICA

Assim, já podemos começar a montar a nossa linha do tempo:

• No mesmo ano, o relatório do Comitê Cadbury, do Reino Unido, atribui ao corpo

No início do Século XXI, houve a consolidação e disseminação de práticas de gestão de

• O The Orange Book Management of Risk - Principles and Concepts7, produzido e

Agora, vejamos nossa linha do tempo completa:

2.2. MODELOS DE GESTÃO DE RISCOS

2.2.1. COSO II – GERENCIAMENTO DE RISCOS CORPORATIVOS – ESTRUTURA INTEGRADA

Modelo de Gestão de Riscos previstos no COSO II

004. (VUNESP/2013/AUDITOR/COREN SP) Segundo a metodologia COSO II (Committee of

2.2.2. COSO GRC 2016 – ALINHANDO RISCO COM ESTRATÉGIA E DESEMPENHO

Modelo de gestão de riscos COSO GRC 2016 em consulta pública

O modelo explora a gestão da estratégia e dos riscos corporativos a partir de três

As perspectivas exploradas são: (a) a possibilidade de que os objetivos estratégicos e

2.2.3. ISO 31000 – GESTÃO DE RISCOS – PRINCÍPIOS E DIRETRIZES

Relação entre princípios, estrutura e processo de gestão de risco

A norma ISO 31000 está estruturada em três partes fundamentais inter-relacionadas:

Vejamos um esquema que ilustra essas três partes fundamentais:

Princípios, estrutura e processo de gestão de riscos

2.2.3.1. PRINCÍPIOS DA GESTÃO DE RISCOS

2.2.3.2. ESTRUTURA DA GESTÃO DE RISCOS

Convém que a Alta Direção e os órgãos de supervisão, onde aplicável,

2.2.3.3. PROCESSO DE GESTÃO DE RISCOS

005. (VUNESP/2015/AUDITOR MUNICIPAL DE CONTROLE INTERNO (SP)/GERAL) O processo

Vimos que o processo de avaliação de riscos envolve:

006. (CEBRASPE-CESPE/2016/AUDITOR DE CONTROLE EXTERNO/TCE-PA/INFORMÁTICA/

007. (CEBRASPE-CESPE/2020/PROFISSIONAL DE TECNOLOGIA DA INFORMAÇÃO - ME/

O estabelecimento do escopo, do contexto e dos critérios fazem parte de um mesmo

008. (FGV/ATIVIDADES TÉCNICAS DE COMPLEXIDADE GERENCIAL/MEC/ANALISTA DE

009. (FGV/ANALISTA DO MINISTÉRIO PÚBLICO/MPE AL/ADMINISTRADOR DE BANCO DE

010. (FCC/2019/ANALISTA JUDICIÁRIO/TRF 3ª REGIÃO/APOIO ESPECIALIZADO/INFORMÁTICA)

Como vimos, o tratamento de riscos é um processo para selecionar e implementar opções

011. (VUNESP/2011/ENGENHEIRO/PREF DIADEMA/SEGURANÇA DO TRABALHO) No Programa

Durante a etapa de monitoramento, é importante verificar se os pressupostos assumidos

3. TÉCNICAS DE GESTÃO DE RISCOS

TÉCNICA DESCRIÇÃO APLICAÇÃO MÉTODO

012. (CESGRANRIO/2017/PROFISSIONAL PETROBRÁS DE NÍVEL TÉCNICO/PETROBRAS/

Logo, nosso gabarito é a letra B.

4. BOAS PRÁTICAS DE GESTÃO DE RISCOS

1. Montagem de um grupo de trabalho;

4.1. GRUPO DE TRABALHO

4.2. ESTUDOS PRELIMINARES

4.3. ESTRATÉGIA DE IMPLANTAÇÃO E DEFINIÇÃO DE ARQUITETURA

4.4. POLÍTICA DE GESTÃO DE RISCOS

• as ligações entre os objetivos e políticas da organização com a política de gestão de riscos;

4.5. DELEGAÇÃO E COMPROMETIMENTO

4.6. PROCESSO DE GESTÃO DE RISCOS

4.7. IMPLEMENTAÇÃO DA GESTÃO DE RISCOS

4.8. MONITORAMENTO E REVISÃO

• A norma é aplicável a uma ampla gama de atividades, como estratégias, operações,

• Técnica Delph: coleta de julgamentos por meio de questionários sequenciais com

001. (FUNDATEC/2019/AUDITOR DE CONTROLE INTERNO/PREF POA) A ISO 31000/2018

002. (UFMT/2013/ENGENHEIRO (IF MT)/SEGURANÇA DO TRABALHO) Fazem parte de um

003. (FUNDEP/2016/ANALISTA DE TECNOLOGIA DA INFORMAÇÃO/IFNMG) Atividades