GESTÃO DE RISCO – CONCEITOS GERAIS

Prof. Felipe Canella

profcanelas
t.me/profcanelas
Gestão de Riscos
• Contexto do gerenciamento de projetos;

• O que é risco?
PMBOK
1. Planejar o Gerenciamento dos Riscos: tem foco em como conduzir as atividades de gerenciamento
dentro de um projeto;

2. Identificar Riscos: tem foco a identificação de riscos individuais do projeto e as fontes de risco geral,
além da documentação de suas características;

3. Análise Qualitativa dos Riscos: foco na priorização de riscos individuais para análise (ou posterior
ação), avaliando sua probabilidade de ocorrência e impacto, dentre outras características;

4. Análise Quantitativa dos Riscos: foco em analisar numericamente o efeito combinado dos riscos
individuais que foram identificados no projeto, além de outras fontes de incerteza;

5. Planejamento de Respostas aos Riscos: foco nas alternativas, seleção de estratégias e ações para lidar
com a exposição geral de riscos e o tratamento aos riscos individuais no projeto;
PMBOK

7. Implementação de Respostas aos Riscos: aqui temos o foco na ação de implementação (melhoria) nos
planos de resposta aos riscos;

8. Monitoramento dos Riscos: foco no acompanhamento dos riscos, implementação dos planos,
identificação e análise de novos riscos e avaliação de eficácia do processo;

• Tipos de riscos - individuais; gerais; residuais; secundários;

Individuais: um evento ou condição incerta que, caso ocorra, terá um efeito positivo ou
negativo em UM OU MAIS objetivos do projeto;

Gerais: conjunto de riscos que afetam o projeto como um todo (pode provir de todas as
fontes de incertezas, até dos riscos individuais;
PMBOK

• Tipos de riscos - individuais; gerais; residuais; secundários;

residuais: risco que sobra, mesmo depois do tratamento do risco ter sido implementado;

secundário: é aquele que surge como resultado direto da implementação de uma

resposta aos riscos;
Estratégias de resposta aos riscos (PMBOK)

Estratégias para riscos NEGATIVOS:

• Prevenir ou evitar: impacto dos riscos e o nível do riscos foi muito negativo e fora de
qualquer limite;

• Transferir: a organização não consegue solucionar o risco e sendo ele alto, há a

transferência do risco para uma terceira parte;

• Mitigar: estratégia de alterar o nível do risco e tentar otimizar as chances de alcance de

objetivos do projeto. O foco é uma redução na probabilidade de ocorrência ou no impacto
do risco, trazendo para níveis aceitáveis.
Estratégias de resposta aos riscos (PMBOK)

Estratégias para riscos POSITIVOS:

• Explorar: quando o risco geral for positivo e fora dos limites dos riscos acordados para o
projeto, pode-se explorar, intensificando e capturando o efeito positivo da incerteza;

• Compartilhar: a organização tem o risco geral positivo elevado, mas incapaz de

solucionar, um terceiro pode se envolver para gerenciar o risco. Há a possibilidade de ser
compartilhada a responsabilidade para colher os benefícios associados;

• Melhorar: ocorre a alteração do nível de risco geral para otimizar as chances de alcançar
os objetivos do projeto. Tem como foco melhorar mais ainda os resultados e os impactos
positivos associados ao risco.
Estratégias de resposta aos riscos (PMBOK)

Estratégias para riscos POSITIVOS ou NEGATIVOS:

• Aceitar: não existe estratégia que pode ser adotada de forma proativa a fim de
solucionar o risco geral do projeto. Dessa forma, a organização opta por deixar o projeto
conforme sua definição do momento e atual, mesmo o risco estando fora dos limites
acordados. Ou seja, a organização não age.
GESTÃO DE RISCO – FERRAMENTAS,
TÉCNICAS E ABORDAGENS
Prof. Felipe Canella
profcanelas
t.me/profcanelas
Metodologias, indicadores e ferramentas de análise (TCU)
What-if: seu foco é na identificação de ameaças e falhas em projetos, por exemplo. Basicamente, conforme
se discute com os integrantes das equipes, a pergunta "e se?" é comumente proposta a fim de delinear os
possíveis cenários caso algum problema aconteça;

Brainstorming: praticamente uma reunião de ideias, onde tudo é discutido (tempestade de ideias), sem
qualquer restrição ou pré-conceitos para ideias que sejam "ruins". O facilitador da reunião deve incentivar o
compartilhamento de ideias. Com diz o TCU: "Esta técnica é particularmente útil para identificar riscos de
novas atividades, novas tecnologias ou em situações em que não há dados disponíveis. O produto a ser
gerado depende do contexto, podendo ser, por exemplo, uma lista de riscos e de controles"

Entrevistas: basicamente, consiste em formulação prévia de conjunto de perguntas para guiar o

entrevistador em sistema estruturado ou semiestruturado de perguntas. Como menciona o TCU: "A técnica
de entrevistas é apropriada nos casos em que é difícil ou dispendioso reunir as pessoas para análises em
grupo ou quando se deseja ouvir as opiniões pessoais, sem interferências ou influências de outros
participantes de um grupo."
Metodologias, indicadores e ferramentas de análise (TCU)
DELPHI: essa ferramenta (ou técnica, como também é chamada) tem foco em obter um
consenso entre um grupo de especialistas no assunto, no caso nos riscos e gestão. Assim, um
grupo de pessoas que conhecem muito sobre o problema é consultado e pode ser aplicada a
ferramenta nas etapas de identificação, análise e avaliação da gestão de risco (veremos mais
na norma a seguir). O grande detalhe dessa técnica é que ela é aplicada por meio de questionário,
geralmente semiestruturado, que é respondido individual e anonimamente por cada especialista.
Depois, há consolidação das respostas e novas rodas são feitas, permitindo mudança de opinião
dos respondentes, até chegar a um consenso;

Vantagens pessoas não precisam estar reunidas em um só local ao mesmo tempo; o

fornecimento de opiniões de forma anônima permite que visões impopulares; todas as visões têm
peso igual - evita o problema de personalidades dominantes;

Limitações incluem o consumo intensivo de trabalho e tempo e a necessidade de que os

participantes sejam capazes de expressar-se claramente por escrito;
Metodologias, indicadores e ferramentas de análise (TCU)
APP (Análise Preliminar de Perigos): consiste em uma lista de perigos ou riscos, que é proveniente de
reuniões entre os participantes de um grupo que detenham informações sobre o objeto de análise. É muito
útil quando há poucas informações disponíveis sobre o ativo, projeto ou atividade objeto de análise;

Também conhecida como análise preliminar de riscos (APR);

APP é um método de análise simples e indutivo cujo objetivo é identificar os perigos e situações e eventos
perigosos que podem causar danos em uma determinada atividade, instalação ou sistema;

Vantagens da APR, Coruja, é que ela é capaz de ser utilizada quando houver pouca informação e permite
que os riscos sejam considerados muito precocemente no cicio de vida do sistema;

Limitações residem no fato de a APP fornecer somente informações preliminares, não sendo tão
abrangente e também não fornecendo informações detalhadas
Metodologias, indicadores e ferramentas de análise (TCU)

APP (Análise Preliminar de Perigos):

consiste em uma lista de perigos ou riscos, que é proveniente de reuniões entre os participantes de um grupo que
detenham informações sobre o objeto de análise. É muito útil quando há poucas informações disponíveis sobre o
ativo, projeto ou atividade objeto de análise;

Também conhecida como análise preliminar de riscos (APR);

APP é um método de análise simples e indutivo cujo objetivo é identificar os perigos e situações e eventos
perigosos que podem causar danos em uma determinada atividade, instalação ou sistema;

Vantagens da APR, Coruja, é que ela é capaz de ser utilizada quando houver pouca informação e permite que os
riscos sejam considerados muito precocemente no cicio de vida do sistema;

Limitações residem no fato de a APP fornecer somente informações preliminares, não sendo tão abrangente e
também não fornecendo informações detalhadas
Metodologias, indicadores e ferramentas de análise (TCU)
Análise BOW TIE: ferramenta
pictográfica que parece muito com
uma gravata borboleta (bow tie). A
análise e a descrição dos caminhos de
um evento de risco são feitas desde
suas causas até suas consequências.
O foco nessa técnica está nas
barreiras entre as causas e o evento
de risco e as barreiras entre o evento
de risco e suas consequências.

Adaptado de Referencial Básico de Gestão de Riscos do Tribunal de Contas da União (TCU). SEGECEX/CEGER, 2018.

Vantagens - a simplicidade da representação gráfica do problema; pode ser utilizada para consequências
desejáveis e não necessitar de um alto nível de especialização;
Limitações incluem o fato de não poder ser representada quando múltiplas causas ocorrem simultaneamente para
resultar nas consequências e poder simplificar demasiadamente situações complexas
Metodologias, indicadores e ferramentas de análise (TCU)

Estudos de perigos e operabilidade (HAZOP)

• Consiste no trabalho integrado de uma equipe de especialistas que realiza um exame crítico
sistemático a fim de avaliar o potencial de riscos decorrentes da má operação ou mau funcionamento;

• Técnica qualitativa que segue uma estrutura dada por determinadas palavras-guia;

• Entradas essenciais para um estudo HAZOP incluem informações atuais sobre o sistema, o processo
ou procedimento a serem analisados criticamente e a intenção e as especificações de desempenho do
projeto;

• Vantagens da análise HAZOP são que ela fornece os meios para sistemática e totalmente analisar um
sistema, processo ou procedimento; envolve uma equipe multidisciplinar; gera soluções e ações de
tratamento de riscos; é aplicável a uma ampla gama de sistemas; processos e procedimentos e
permite a consideração explícita das causas e consequências de erro humano;

• Limitações: demorada e cara; requer um alto nível de documentação ou especificação; foco

excessivo em detalhes do projeto; necessidade de conhecimento especializado;
Metodologias, indicadores e ferramentas de análise (TCU)
• Análise de Decisão por Multicritério (MCDA): classifica um conjunto de opções por ordem de valor ou
prioridade, a partir da percepção de um grupo de pessoas. Precisa da identificação do conjunto de opções a
serem avaliadas e a definição de fatores ou critérios avaliativos, geralmente estruturados hierarquicamente.
Depois, há atribuição de pesos aos fatores avaliativos por meio de notas dos avaliadores, por meio de algum
modelo matemático que vai agregar as percepções de cada um. Um dos método usados para fazer a
ponderação dos fatores e agregação das notas é o AHP (Analytic Hierarchy Process). Um ponto forte da técnica
MCDA é a possibilidade de tomada de decisão mesmo quando as partes envolvidas possuem objetivos e
critérios distintos.

• Pensamento Sistêmico: é um conjunto de conceitos, comportamentos e ferramentas que auxiliam na

compreensão de estruturas interdependentes de sistemas complexos. Essa técnica tem como foco
estabelecer relações de causalidades ente um conjunto dinâmico de fatores que se interrelacionam. Nessa
técnica, temos diferentes ferramentas que também auxiliam seu processo, tais como: diagrama de loop de
causalidade (CLD), o gráfico de comportamento temporal (BOT), os simuladores de modelo e os simuladores
de gestão. Além disso, o pensamento sistêmico permite analisar questões de forma holística e integrada,
conjuntos dinâmicos de comportamento, compreendendo interconexões e comportamentos prováveis.
Estágios da avaliação de riscos

o Avaliação preliminar de riscos: com o objetivo é decidir se pode ser atingido um nível
adequado de proteção a um custo razoável;

o Avaliação de riscos de ciclo de vida: ocorre durante o clico de vida de desenvolvimento;

o Avaliação de riscos operacionais: requisitos de proteção que devem ser implementados

conforme o sistema evolui. A avaliação de risco de proteção deve continuar durante toda a
vida do sistema, a fim de identificar riscos emergentes;
 GESTÃO DE RISCO – NBR ISSO
31000:2018 – INTRODUÇÃO E ESCOPO
Prof. Felipe Canella
profcanelas
t.me/profcanelas
ABNT ISO 31000:2018 - Introdução
ABNT ISO 31000:2018 - Introdução
ABNT ISO 31000:2018 - Escopo
 GESTÃO DE RISCO – NBR ISSO
31000:2018 – TERMOS E DEFINIÇÕES
Prof. Felipe Canella
profcanelas
t.me/profcanelas
ABNT ISO 31000:2018 – Termos e definições

• Risco: é o efeito da incerteza nos objetivos;

• Gestão de riscos: são as atividades coordenadas a fim de dirigir e controlar uma organização no que se refere
a riscos;

• Parte interessada: também chamada de stakeholder (do inglês), memorize que pode ser a pessoa ou
organização (outra) que pode afetar, ser afetada ou perceber-se afetada por uma decisão ou atividade;
• Fonte de risco: elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco;
ABNT ISO 31000:2018 – Termos e definições

• Evento: ocorrência ou mudança dentro de um conjunto específico de circunstâncias.

1. Um evento pode consistir em uma ou mais ocorrências, podendo ter várias causas ou consequências;
2. Um evento pode também ser algo esperado, mas que não acontece ou que é esperado e acontece;
3. Um evento pode ser uma fonte de risco;

• Consequência: é o resultado de um evento que afeta os objetivos

ABNT ISO 31000:2018 – Termos e definições

• Probabilidade: é a chance de algo acontecer;

• Controle: é a medida que mantém e/ou modifica o risco;

GESTÃO DE RISCO – NBR ISSO
31000:2018 – PRINCÍPIOS
Prof. Felipe Canella
profcanelas
t.me/profcanelas
ABNT ISO 31000:2018 – Princípios

Gestão de risco tem como propósito a criação e a proteção de valor, garantindo a melhora do
desempenho, encorajando a inovação e apoiando o alcance de objetivos.
 (COMPERVE/UFRN)

A gestão de riscos tem se tornado uma questão essencial no contexto das organizações públicas. Considere as afirmações
abaixo referentes aos conceitos de gestão de riscos contidos na ISO 31000:2018.

I A estrutura e o processo de gestão de riscos são padrões para qualquer organização.

II Riscos podem emergir, mudar ou desaparecer à medida que os contextos externo e interno mudem.

III A gestão de riscos deve ser realizada em atividades organizacionais específicas.

IV O propósito da gestão de riscos é a criação e a proteção de valor.

Das afirmações, estão corretas

a) III e IV.

b) I e II.

c) I e III.

d) II e IV.
GESTÃO DE RISCO – NBR ISSO
31000:2018 – ESTRUTURA
Prof. Felipe Canella
profcanelas
t.me/profcanelas
ABNT ISO 31000:2018 – Estrutura

• Propósito da estrutura da gestão de risco é de apoiar a organização na integração da gestão

de riscos em atividades significativas e funções.

Convém que sejam personalizados para as necessidades da organização;

ABNT ISO 31000:2018 – Estrutura (Liderança)

Convém que a Alta Direção junto com os órgãos de supervisão assegure a integração da GR
(Gestão de Risco) com todas as atividades da organização.
ABNT ISO 31000:2018 – Estrutura (Liderança)
ABNT ISO 31000:2018 – Estrutura (Integração)

• O risco deve ser gerenciado em todas as partes da estrutura da organização e por todos;

• Integração é dinâmica e iterativa

• As estruturas de gestão vão traduzir a direção da governança para a estratégia e traduzem

os objetivos que estão associados e requeridos para alcançar os níveis desejados de
desempenho sustentável e viabilidade a longo prazo;

• A governança, por sua vez, é quem orienta o rumo da organização, suas relações externas
e internas, além das regras, processos e práticas que sejam necessários para alcançar o
propósito da organização
ABNT ISO 31000:2018 – Estrutura (Integração)
ABNT ISO 31000:2018 – Estrutura (Concepção)

• Duas dimensões: o contexto externo e interno da organização;

• Examinar o contexto EXTERNO:

o Fatores sociais, culturais, políticos, jurídicos, regulatórios, financeiros,

tecnológicos, econômicos e ambientais, em âmbito internacional, nacional,
regional ou local;
o Direcionadores-chave e tendências que afetem os objetivos da organização;
o Relacionamentos, percepções, valores, necessidades e expectativas das partes
interessadas externas;
o Relações e compromissos contratuais;
o Complexidade das redes de relacionamento e dependências.
ABNT ISO 31000:2018 – Estrutura (Concepção)

• Examinar o contexto INTERNO:

o visão, missão e valores;

o governança, estrutura organizacional, papéis e responsabilizações;
o estratégia, objetivos e políticas;
o cultura da organização;
o normas, diretrizes e modelos adotados pela organização;
o capacidades entendidas em termos de recursos e conhecimento (por exemplo, capital,
tempo, pessoas, propriedade intelectual, processos, sistemas e tecnologias);
o dados, sistemas de informação e fluxos de informação;
o relacionamentos com partes interessadas internas, levando em consideração suas
percepções e valores;
o relações contratuais e compromissos;
o interdependências e interconexões.
ABNT ISO 31000:2018 – Estrutura (Concepção)
• Por meio de um política, declaração ou outras formas que possam transmitir de maneira
clara os objetivos e o comprometimento com a GR da organização esse tipo de iniciativa é
conveniente, já que as demais áreas possuam um orientação clara sobre esse
comprometimento por meio da comunicação dentro da organização e às partes
interessadas;

• Comprometimento convém incluir, mas não se limita:

propósito da organização para gerenciar riscos e vínculos com seus objetivos e outras políticas;
reforçar a necessidade de integrar a gestão de riscos na cultura global da organização;
liderar a integração da gestão de riscos nas atividades principais do negócio e na tomada de decisão;
autoridades, responsabilidades e responsabilizações;
tornar disponíveis os recursos necessários;
a maneira pela qual os objetivos conflitantes são tratados;
medição e relato no âmbito dos indicadores de desempenho da organização;
análise crítica e melhoria.
ABNT ISO 31000:2018 – Estrutura (Concepção)
Articulando o comprometimento com a gestão de riscos
• Por meio de um política, declaração ou outras formas que possam transmitir de maneira
clara os objetivos e o comprometimento com a GR da organização esse tipo de iniciativa é
conveniente, já que as demais áreas possuam um orientação clara sobre esse
comprometimento por meio da comunicação dentro da organização e às partes
interessadas;

• Comprometimento convém incluir, mas não se limita:

propósito da organização para gerenciar riscos e vínculos com seus objetivos e outras políticas;
reforçar a necessidade de integrar a gestão de riscos na cultura global da organização;
liderar a integração da gestão de riscos nas atividades principais do negócio e na tomada de decisão;
autoridades, responsabilidades e responsabilizações;
tornar disponíveis os recursos necessários;
a maneira pela qual os objetivos conflitantes são tratados;
medição e relato no âmbito dos indicadores de desempenho da organização;
análise crítica e melhoria.
ABNT ISO 31000:2018 – Estrutura (Concepção)

Atribuição de papéis, autoridades, responsabilidades e responsabilizações

Conveniente que a Alta Direção e os órgãos de supervisão assegurem que as autoridades,

responsabilidades e responsabilizações para os papéis que são pertinentes à gestão de riscos
sejam atribuídas e comunicadas a todos os níveis organizacionais;

Alocando recursos

Alta Direção e dos órgãos de supervisão que asseguram;

• pessoas, habilidades, experiência e competência;
• processos, métodos e ferramentas da organização a serem usados na gestão de riscos;
• processos e procedimentos documentados;
• sistemas de gestão da informação e do conhecimento;
• necessidades de treinamento e desenvolvimento profissional.
Estabelecendo comunicação e consulta

• Uma comunicação sem ruídos e com clareza;

• Convém que a organização estabeleça abordagem de comunicação e consulta

aprovada a fim de apoiar a estrutura e facilitar a aplicação eficaz da gestão de risco.

• Consulta: envolve, também, o fornecimento de retorno pelos participantes, com a

expectativa de que o retorno contribua para decisões, formulação de decisões ou outras
atividades;

• Comunicação: compartilhamento de informação com públicos-alvo;

ABNT ISO 31000:2018 – Estrutura (Implementação)

Foco no aprimoramento;

Convém que a organização implemente a estrutura da gestão de riscos por meio dos seguintes
aspectos:

• desenvolvimento de um plano apropriado, incluindo prazos e recursos;

• identificação de onde, quando e como diferentes tipos de decisões são tomadas pela
organização, e por quem;

• modificação dos processos de tomada de decisão aplicáveis, onde necessário;

• garantia de que os arranjos da organização para gerenciar riscos sejam claramente

compreendidos e praticados.
ABNT ISO 31000:2018 – Estrutura (Avaliação)

• Objetivo é avaliar a eficácia da estrutura da gestão de risco;

• Convém que a organização mensure o desempenho da estrutura;

Seu propósito, planos de implementação, indicadores e comportamentos esperado;

• Convém que a organização determine se permanece adequada a estrutura da gestão de

risco para apoiar o alcance dos objetivos da organização;
ABNT ISO 31000:2018 – Estrutura (Melhoria)

• Melhoria possui duas vertentes: adaptação e melhoria contínua;

GESTÃO DE RISCO – NBR ISSO
31000:2018 – PROCESSO
Prof. Felipe Canella
profcanelas
t.me/profcanelas
ABNT ISO 31000:2018 – Processo
ABNT ISO 31000:2018 – Processo
ABNT ISO 31000:2018 – Processo (Comunicação e consulta)
ABNT ISO 31000:2018 – Processo (Comunicação e consulta)
ABNT ISO 31000:2018 – Processo (Escopo, contexto e critérios)

• Propósito de estabelecer o escopo, contexto e critérios no que tange ao processo de gestão

de risco é de personalizá-lo;

Definindo o escopo

Considerações na definição do escopo:

• objetivos e decisões que precisam ser tomadas (ou seja, quais são eles?);
• resultados esperados das etapas a serem realizadas no processo;
• tempo, localização, inclusões e exclusões específicas;
• ferramentas e técnicas apropriadas para o processo de avaliação de riscos;
• recursos requeridos, responsabilidades e registros a serem mantidos;
• relacionamentos com outros projetos, processos e atividades.
ABNT ISO 31000:2018 – Processo (Escopo, contexto e critérios)

Contextos externo e interno

Motivos para compreender os contextos:

• A gestão de riscos ocorre no contexto dos objetivos e atividades da organização;

• Fatores organizacionais (aqueles do pilar da estrutura e concepção) podem ser uma fonte
de risco;
• Propósito e escopo do processo de gestão de riscos podem estar inter-relacionados com os
objetivos da organização como um todo;
ABNT ISO 31000:2018 – Processo (Escopo, contexto e critérios)

Definindo critérios de risco

• Convém que a organização consiga especificar a quantidade e o tipo risco;

• Para avaliar a significância do risco e para apoiar os processos de tomada de decisão;

• Alinhados à estrutura de gestão de riscos e sejam personalizados para o propósito específico e o

escopo da atividade em consideração;

• Reflitam os valores, objetivos e recursos da organização e sejam consistentes com as políticas e

declarações sobre gestão de riscos;

• Levem em consideração as obrigações da organização e os pontos de vista das partes interessadas;

• Apesar de ser conveniente que sejam estabelecidos no início do processo de avaliação de riscos, os
critérios são DINÂMICOS.
ABNT ISO 31000:2018 – Processo (Escopo, contexto e critérios)

Definindo critérios de risco

• Natureza e tipo de incertezas que podem afetar resultados e objetivos (tangíveis e intangíveis);

• Consequências (positivas e negativas) e suas probabilidades - como serão definidas e medidas;

• Fatores relacionados ao tempo;

• Consistência no uso de medidas;

• Como o nível de risco será determinado;

• Como as combinações e sequências de múltiplos riscos serão levadas em consideração;

• A capacidade da organização.
ABNT ISO 31000:2018 – Processo (Avaliação de riscos)

Importante que seja conduzida de forma sistemática, iterativa e colaborativa;

Identificação de riscos

Propósito: encontrar, reconhecer e descrever riscos que possam ajudar ou impedir que uma
organização alcance seus objetivos;

• Toda e qualquer informação que seja pertinente, apropriada e atualizada serão

importantes;
ABNT ISO 31000:2018 – Processo (Avaliação de riscos)

Identificação de riscos

Fatores que convém serem considerados:

• fontes tangíveis e intangíveis de risco;

• causas e eventos;
• ameaças e oportunidades;
• vulnerabilidades e capacidades
• mudanças nos contextos externo e interno;
• indicadores de riscos emergentes;
• natureza e valor dos ativos e recursos;
• consequências e seus impactos nos objetivos;
• limitações de conhecimento e de confiabilidade da informação;
• fatores temporais;
• vieses, hipóteses e crenças dos envolvidos;
ABNT ISO 31000:2018 – Processo (Avaliação de riscos)

Análise de riscos

Propósito: compreender a natureza do risco e suas características, incluindo o nível de

risco, onde apropriado, de acordo com a norma.

• A depender do propósito, disponibilidade e confiabilidade da informação e dos

recursos disponíveis, Estrategista, a análise de riscos pode ser realizada considerando
vários graus de detalhamento e complexidade;

• As técnicas para essa análise podem ser qualitativas ou quantitativas;

ABNT ISO 31000:2018 – Processo (Avaliação de riscos)

Análise de riscos

Fatores que convém serem considerados:

• a probabilidade de eventos e consequências;
• a natureza e magnitude das consequências;
• complexidade e conectividade;
• fatores temporais e volatilidade;
• a eficácia dos controles existentes;
Depois da análise de risco feita, são
geradas entradas para diferentes etapas
subsequentes, como para avaliação de
riscos, para decisões sobre se o rico
necessita ser tratado e como ser
tratado, além de estratégia e método
mais apropriado para o tratamento dos
riscos;

• sensibilidade e níveis de confiança.

ABNT ISO 31000:2018 – Processo (Avaliação de riscos)

Avaliação de riscos

Propósito: apoiar decisões.

Avaliação irá considerar a comparação de resultados;

O objetivo de determinar onde é necessária qualquer ação adicional;

• fazer mais nada;

• considerar as opções de tratamento de riscos;
• realizar análises adicionais para melhor compreender o risco;
• manter os controles existentes;
• reconsiderar os objetivos;

Convém que o resultado da avaliação seja registrado, comunicado e validado nos níveis
apropriados da organização;
 (Cesgranrio/Eletrobrás-Eletronuclear)

No contexto das diretrizes de gestão de riscos, apresentadas na norma ABNT NBR ISO 31000:2018, o
processo de avaliação de um risco engloba as três seguintes etapas:

a) escopo, contexto e critério; análise de risco; tratamento de riscos

b) escopo, contexto e critério; identificação de risco; análise de risco

c) identificação de risco; análise de risco; tratamento de risco

d) identificação de risco; análise de risco; avaliação de risco

e) análise de risco; avaliação de riscos; tratamento de risco.

 (FCC/TRF)
No que concerne ao tema de gestão de riscos, os conceitos correntes na literatura sobre o tema, incluída a
mais recente abordagem feita pela norma técnica ABNT NBR ISO 31000 - Gestão de Risco, definem
avaliação de riscos como:

a) adoção de medidas corretivas para neutralizar ou mitigar eventos que possam impactar os resultados da
organização.

b) elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco.

c) processo de comparar os resultados da análise de riscos com os critérios de risco para determinar se o
risco e/ou sua magnitude é aceitável ou tolerável.

d) conjunto de medidas preventivas para evitar ou reduzir a ocorrência de eventos que possam ensejar
riscos à organização.

e) processo de tomada de decisão, exclusivo da alta direção da organização, com base no qual são
assumidos alguns riscos inerentes ao negócio.
 (FCC/MPE-PE)

De acordo com a norma NBR ISO/IEC 31000:2018, a avaliação de riscos envolve a comparação dos
resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde é necessária
ação adicional que pode levar a uma decisão de:

a) calcular os prejuízos.

b) eliminar algum tipo de controle.

c) manter os objetivos.

d) modificar os controles existentes.

e) fazer mais nada.

ABNT ISO 31000:2018 – Processo (Tratamento de riscos)

Propósito: selecionar e implementar opções para abordar riscos.

O tratamento envolve um processo iterativo das seguintes ações:

• Formular e selecionar opções para tratamento do risco;

• Planejar e implementar o tratamento do risco;

• Avaliar a eficácia deste tratamento;

• Decidir se o risco remanescente é aceitável;

• Se não for aceitável, realizar tratamento adicional.

ABNT ISO 31000:2018 – Processo (Tratamento de riscos)

Propósito: selecionar e implementar opções para abordar riscos.

O tratamento envolve um processo iterativo das seguintes ações:

• Formular e selecionar opções para tratamento do risco;

• Planejar e implementar o tratamento do risco;

• Avaliar a eficácia deste tratamento;

• Decidir se o risco remanescente é aceitável;

• Se não for aceitável, realizar tratamento adicional.

ABNT ISO 31000:2018 – Processo (Tratamento de riscos)

Seleção de opções de tratamento de riscos

Foco na opção que balanceie entre o alcance dos objetivos e os custos, esforços ou
desvantagens de sua implementação;
Opções podem envolver:

• evitar o risco ao decidir não iniciar ou continuar com a atividade que dá origem ao risco;
• assumir ou aumentar o risco de maneira a perseguir uma oportunidade (lembre-se do aspecto
positivo que o risco pode ter);
• remover a fonte de risco;
• mudar a probabilidade;
• mudar as consequências (bem complicada de ser implementada);
• compartilhar o risco (por exemplo, por meio de contratos, compra de seguros - tem relação com a
terceirização do risco);
• reter o risco por decisão fundamentada;
ABNT ISO 31000:2018 – Processo (Tratamento de riscos)

Seleção de opções de tratamento de riscos

Foco na opção que balanceie entre o alcance dos objetivos e os custos, esforços ou
desvantagens de sua implementação;
Opções podem envolver:

• evitar o risco ao decidir não iniciar ou continuar com a atividade que dá origem ao risco;
• assumir ou aumentar o risco de maneira a perseguir uma oportunidade (lembre-se do aspecto
positivo que o risco pode ter);
• remover a fonte de risco;
• mudar a probabilidade;
• mudar as consequências (bem complicada de ser implementada);
• compartilhar o risco (por exemplo, por meio de contratos, compra de seguros - tem relação com a
terceirização do risco);
• reter o risco por decisão fundamentada;
ABNT ISO 31000:2018 – Processo (Tratamento de riscos)

Preparando e implementando planos de tratamento de riscos

Propósito dos planos é especificar como as opções de tratamento escolhidas serão
implementadas de maneira que os arranjos sejam compreendidos pelos envolvidos, além de
como o progresso em relação ao plano pode ser monitorado;
Informações incluídas ao plano são convenientes

• a justificativa para a seleção das opções de tratamento, incluindo os benefícios esperados a serem
obtidos;
• aqueles que são responsabilizáveis e responsáveis por aprovar e implementar o plano;
• as ações propostas;
• os recursos requeridos, incluindo contingências;
• as medidas de desempenho;
• as restrições;
• os relatos e monitoramento requeridos;
• quando se espera que ações sejam tomadas e concluídas;
 (FCC/TRF)

Uma das abordagens mais recentes sobre gestão de riscos no âmbito das organizações está contida na
norma técnica ABNT NBR ISO 31000 - Gestão de Risco, segundo a qual o denominado “tratamento de
risco” consiste em:

a) processo para modificar o risco, atuando sobre a probabilidade ou consequência do risco.

b) estabelecer referências em face das quais a significância de um risco é avaliada.

c) identificar a natureza do risco, entre provável, possível ou remoto, e determinar a sua alocação.

d) aferir o grau de probabilidade da materialização do risco, utilizando cenários de comparabilidade.

e) avaliar a magnitude da consequência do risco para fins de explicitação e quantificação nas

demonstrações financeiras.
ABNT ISO 31000:2018 – Processo (Monitoramento e Análise Crítica)

Propósito : assegurar e melhorar a qualidade e eficácia da concepção, implementação e

resultados do processo.

Convém que ocorram em todos os estágios do processo;

ABNT ISO 31000:2018 – Processo (Registro e relato)

Depois do tratamento, é conveniente que a organização tenha os resultados documentados até

para que eventos futuros usem esse conhecimento e como a gestão de risco foi executada;
Registro e o relato, visam: Fatores que o relato pode considerar:

• comunicar atividades e resultados de gestão • diferentes partes interessadas e suas

de riscos em toda a organização; necessidades específicas de informação e
requisitos;
• fornecer informações para a tomada de
decisão; • custo, frequência e pontualidade do relato;

• melhorar as atividades de gestão de riscos; • método de relato;

• auxiliar a interação com as partes • pertinência da informação para os objetivos

interessadas, incluindo aquelas com organizacionais e para a tomada de decisão.
responsabilidade e com responsabilização por
atividades de gestão de riscos.
 (QUADRIX/SESC-DF)

A propósito da ISO 31.000, é correto afirmar que:

a) é uma norma específica para o Brasil.

b) é uma norma destinada à padronização de terminologia e conceitos sobre gestão de risco.

c) tem por finalidade a certificação.

d) é específica para o setor privado.

e) se aplica a situações específicas de uma entidade.

.
 (FUNDATEC/PREFEITURA DE PORTO ALEGRE-RS)

ISO 31000/2018 descreve princípios que são a base para o gerenciamento de riscos e fornece orientações sobre as
características da gestão de riscos eficaz e eficiente. O documento também salienta que esses princípios devem
ser considerados quando da estruturação da gestão de riscos. De acordo com os termos da referida norma,
analise as assertivas a seguir:

l. Gestão Integrada: a gestão de riscos é parte de todas as atividades organizacionais.

II. Gestão Inclusiva: o processo de gestão de riscos envolve modelos padronizados abordando áreas estratégicas
com foco no desempenho.

III. Gestão Personalizada: a estrutura e o processo de gestão de riscos são personalizados e proporcionais aos
contextos interno e externo da organização relacionados aos seus objetivos.

Quais estão corretas?

a) Apenas I. b) Apenas II c) Apenas III d) Apenas I e II. e) Apenas I e III.

OBRIGADO!
Prof. Felipe Canella

Prof. Felipe Canella

profcanelas

t.me/profcanelas