Escolar Documentos
Profissional Documentos
Cultura Documentos
Rodrigo
Rennó
CNU - Ética e Integridade - 2024
(Pós-Edital)
Autor:
Antonio Daud, Equipe Informática
2 (Diego Carvalho), Rodrigo
Rennó, Stefan Fantini, Tiago
Zanolla
08 de Março de 2024
Índice
1) Gestão de Riscos - Conceitos Básicos
..............................................................................................................................................................................................3
GESTÃO DE RISCOS
Naturalmente, não sabemos como será o futuro, não é mesmo? Muitas coisas podem não
sair do jeito que imaginamos.
Os riscos existem em qualquer atividade humana, independentemente se sabemos da sua
existência ou se tomamos alguma atitude para nos prepararmos para eles ou para aproveitar
alguma oportunidade.
Um bom gerente deve mapear os principais riscos inerentes ao seu trabalho e gerenciá-los.
Um risco pode ser, por exemplo, a possibilidade de chover em algum evento que iremos
realizar ao ar livre, bem como a demora de algum órgão governamental em autorizar o início
de uma obra em uma hidrelétrica.
Se pensarmos bem, a causa do risco de chover é a realização de um evento ao ar livre, não é
mesmo? Como sabemos que existe a possibilidade de chuva, este é um risco que deve ser
monitorado. Se você estiver realizando o evento no deserto, o risco é baixo. Mas se estiver
realizando em uma cidade chuvosa, o risco é considerável.
Portanto, teríamos de avaliar a probabilidade de que este evento aconteça e qual seria nossa
resposta para o caso de o risco ocorrer. A reserva de um local coberto ou de coberturas
(tendas) para a chuva seriam respostas possíveis para este caso.
1
(Tribunal de Contas da União - TCU, 2018)
A cada escolha que fazemos, cada ação que realizamos ou deixamos de realizar, muda as
chances de diferentes acontecimentos futuros. Essas decisões afetam o nível de risco ao qual
estamos expostos, seja aumentando ou diminuindo essa exposição.
Imagine a vida como um jogo onde todos temos uma tolerância diferente ao risco. Algumas
pessoas são mais ousadas, aceitando riscos maiores porque acreditam nos benefícios que
podem vir dessas escolhas. Elas veem a possibilidade de ganhos superando os possíveis
prejuízos. Por outro lado, há quem prefira a segurança, evitando situações incertas que
possam comprometer seus objetivos.
Essas diferenças de atitude perante o risco vêm de vários fatores, como as experiências que
cada um já viveu, a capacidade de lidar com o risco (evitando, diminuindo ou até tirando
vantagem dele) e a habilidade em administrar as consequências.
Com o passar do tempo e o ganho de experiência, tendemos a entender melhor o mundo ao
nosso redor. Ficamos mais espertos na hora de perceber perigos e oportunidades,
conseguindo identificar situações que podem nos afetar positiva ou negativamente.
Ao analisarmos o ambiente e os nossos objetivos, podemos decidir quais ações tomar para
lidar com os riscos. Essas ações são como ferramentas que nos ajudam a manter os riscos em
um nível aceitável, de acordo com o quanto estamos dispostos a arriscar e o quanto somos
capazes de suportar.
De acordo com a norma ISO 31000/2018:
✓ Gerenciar riscos é iterativo e auxilia as organizações no estabelecimento de
estratégias, no alcance de objetivos e na tomada de decisões fundamentais;
✓ Gerenciar riscos é parte da governança e liderança, e é fundamental para a maneira
como a organização é gerenciada em todos os níveis. Isso contribui para a melhoria
dos sistemas de gestão;
✓ Gerenciar riscos é parte de todas as atividades associadas com uma organização e
inclui interação com as partes interessadas;
✓ Gerenciar riscos considera os contextos externo e interno da organização, incluindo
o comportamento humano e os fatores culturais.
2
(Tribunal de Contas da União - TCU, 2018)
(TCE-PA - ANALISTA) Com relação ao que dispõe a NBR ISO 31000:2009 acerca da
gestão de riscos, julgue o item subsecutivo.
A gestão de riscos é uma atividade autônoma e independente de outros processos da
organização.
Comentários
A Gestão de Riscos não funciona de maneira autônoma. Ela deve estar integrada às
demais atividades e processos da organização.
Gabarito: Errada
RESUMO
Evolução Histórica
O TCU faz uma boa análise da evolução histórica da gestão de riscos em seu Referencial básico
de gestão de riscos. Com isso, iremos utilizá-lo neste trecho1.
A gestão de riscos é uma prática que remonta aos tempos antigos, quando líderes de clãs
construíam muralhas, formavam alianças e estocavam recursos para proteger suas
comunidades. Esta prática evoluiu significativamente ao longo dos anos, especialmente no
contexto corporativo.
Em 1921, Frank Knight lançou a obra 'Risk, Uncertainty and Profit', estabelecendo uma base
teórica para a gestão de riscos. Este trabalho introduziu conceitos fundamentais e propôs
uma estrutura inicial para entender e abordar os riscos.
Cinquenta anos mais tarde, a revista Fortune destacou a 'Revolução da Gestão de Riscos'
em um artigo de 1975, enfatizando a importância do papel da alta administração na
coordenação e supervisão das políticas de gestão de riscos dentro das organizações.
A década de 90 foi marcante para a gestão de riscos, com a publicação de três documentos
fundamentais:
✓ COSO I (1992): Publicado pelo Committee of Sponsoring Organizations of the
Treadway Commission, este guia consolidou a ideia de gestão de risco corporativo,
oferecendo princípios e práticas para controle interno eficaz.
✓ Relatório Cadbury (1992): No Reino Unido, este documento enfatizou a
responsabilidade dos órgãos de governança corporativa na definição e supervisão da
gestão de riscos.
✓ AS/NZS 4360:1995: Esta norma, resultado da colaboração entre a Standards Australia
e a Standards New Zealand, foi o primeiro padrão oficial para a gestão de riscos,
influenciando a criação de normas semelhantes em outros países.
O início do século XXI viu a consolidação de práticas de gestão de riscos corporativos, com
várias publicações internacionais importantes, incluindo:
✓ The Orange Book (2001): Adotado pelo governo do Reino Unido, ofereceu uma
abordagem simples e abrangente à gestão de riscos, alinhada com padrões
internacionais.
✓ Lei Sarbanes-Oxley (2002): Nos EUA, após o escândalo da Enron, esta lei visou mitigar
riscos e evitar fraudes, estabelecendo requisitos rigorosos de governança corporativa.
1
(Tribunal de Contas da União - TCU, 2018)
diferentes setores.
RESUMO
As atividades de uma organização apresentam algum tipo de risco. Diante disso, cabe a ela o
gerenciamento, a identificação e a análise do risco para que, posteriormente, avaliem as
possibilidades de modificação do risco pelo seu tratamento.
A norma ABNT NBR ISO 31000 estabelece alguns princípios para tornar eficaz a gestão de
riscos. Além disso, ela recomenda que as organizações desenvolvam, implementem e
melhorem continuamente uma estrutura cuja finalidade é integrar o processo para
gerenciar riscos na governança, estratégia e planejamento, gestão, processos de reportar
dados e resultados, políticas, valores e cultura em toda a organização 1.
A norma em estudo pode ser utilizada por qualquer empresa pública, privada ou
comunitária, associação, grupo ou indivíduo, podendo ser aplicada ao longo da vida de uma
organização e a uma ampla gama de atividades, incluindo estratégias, decisões, operações,
processos, funções, projetos, produtos, serviços e ativos.
Uma importante característica desta norma é a inclusão do estabelecimento do contexto
como uma atividade no início do processo de gestão de riscos. E o que seria o
estabelecimento do contexto?
Seria a captura dos objetivos da organização, do ambiente em que ela persegue esses
objetivos, das suas partes interessadas e da diversidade de critérios de risco para que,
portanto, possa ajudar na revelação e na avaliação da natureza e da complexidade de seus
riscos. Isso será estudado mais a frente.
Logo de cara, a norma ABNT NBR ISO 31000 dispõe que a gestão de riscos, quando
implementada e mantida conforme seus preceitos, possibilita a uma organização, por
exemplo:
➢ Aumentar a probabilidade de atingir os objetivos e a resiliência da organização;
➢ Encorajar uma gestão proativa;
➢ Atentar para a necessidade de identificar e tratar os riscos através de toda a
organização,
➢ Melhorar a identificação de oportunidades e ameaças e a aprendizagem
organizacional.
➢ Atender às normas internacionais e aos requisitos legais e regulatórios pertinentes,
➢ Melhorar o reporte das informações financeiras e a governança;
➢ Melhorar a confiança das partes interessadas e os controles
➢ Estabelecer uma base confiável para a tomada de decisão e o planejamento;
➢ Alocar e utilizar eficazmente os recursos para o tratamento de riscos;
1
(Associação Brasileira de Notas Técnicas - ABNT, 2009)
Princípios
De acordo com a norma, para que a gestão de riscos seja eficaz, convém que todos os níveis
de uma organização atendam aos seguintes princípios2:
Princípios Descrição
2
(Associação Brasileira de Notas Técnicas, 2018)
Fatores
O comportamento humano e a cultura influenciam significativamente
humanos e
todos os aspectos da gestão de riscos em cada nível e estágio.
culturais
Estrutura
Componentes da
Descrição
Estrutura
3
(Associação Brasileira de Notas Técnicas, 2018)
O processo de gestão de riscos deve ser parte integrante da gestão, além de estar
incorporado na cultura e nas práticas, e adaptado aos processos de negócios da organização.
O processo de gestão de risco compreende diversas atividades iremos resumir abaixo:
Processo Descrição
Este processo não apenas ajuda a proteger contra perdas, como também possibilita a
identificação e exploração de novas oportunidades, contribuindo para o sucesso e a
resiliência organizacional.
Como estes processos são bastante cobrados em prova, irei aprofundar especificamente um
pouco mais essa parte, ok? O processo de avaliação de riscos é o processo global de
identificação de riscos, análise de riscos e avaliação de riscos.
Identificação de riscos
A organização deve identificar as fontes de risco, áreas de impactos, eventos (incluindo
mudanças nas circunstâncias) e suas causas e consequências potenciais.
A finalidade desta etapa é gerar uma lista abrangente de riscos baseada nestes eventos que
possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos.
A identificação deve incluir todos os riscos, estando suas fontes sob o controle da
organização ou não, mesmo que as fontes ou causas dos riscos possam não ser evidentes.
Além de identificar o que pode acontecer, é necessário considerar todas as possíveis causas
e cenários que mostrem quais consequências podem ocorrer.
Por fim, a organização deve aplicar ferramentas e técnicas de identificação de riscos
adequadas aos seus objetivos e capacidades e aos riscos enfrentados, além de envolver
pessoas com um conhecimento adequado na identificação dos riscos.
Análise de riscos
A análise de riscos envolve desenvolver a compreensão dos riscos, fornecendo uma entrada
para a avaliação de riscos e para as decisões sobre a necessidade de os riscos serem tratados,
e sobre as estratégias e métodos mais adequados de tratamento de riscos.
A análise de riscos também pode fornecer uma entrada para a tomada de decisões em que
escolhas precisam ser feitas e as opções envolvem diferentes tipos e níveis de risco.
A análise de riscos envolve a apreciação das causas e as fontes de risco, suas consequências
positivas e negativas, e a probabilidade de que essas consequências possam ocorrer.
Métodos Descrição
Definem o impacto, a probabilidade e o nível de risco por
Qualitativos qualificadores como “alto”, “médio” e “baixo”, com base na
percepção das pessoas.
Usam escalas numéricas previamente convencionadas para
mensurar a consequência e a probabilidade, os quais são
combinados, por meio de uma fórmula, para produzir o nível de
Semiquantitativos
risco. A escala pode ser linear, logarítmica ou de outro tipo. As
fórmulas também podem variar de acordo com a necessidade e o
contexto.
Estimam valores para as consequências e suas probabilidades a
Quantitativos partir de valores práticos e calculam o nível de risco a partir de
unidades específicas definidas no desenvolvimento do contexto.
4
(Tribunal de Contas da União - TCU, 2018)
5
(Tribunal de Contas da União - TCU, 2018)
Figure 1 - Matriz de riscos simples. Fonte: (Tribunal de Contas da União - TCU, 2018)
Avaliação de riscos
A finalidade da avaliação de riscos é auxiliar na tomada de decisões com base nos resultados
da análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a
implementação do tratamento.
A avaliação de riscos envolve comparar o nível de risco encontrado durante o processo de
análise com os critérios de risco estabelecidos quando o contexto foi considerado. Com base
nesta comparação, a necessidade do tratamento pode ser considerada.
É conveniente que as decisões sejam tomadas de acordo com os requisitos legais,
regulatórios e outros requisitos.
Em algumas circunstâncias, a avaliação de riscos pode levar:
✓ Fazer mais nada;
✓ Considerar as opções de tratamento de riscos;
✓ Reconsidera os objetivos.
✓ Manter os controles existentes.
Tratamento de riscos
O tratamento de riscos envolve a seleção de uma ou mais opções para modificar os riscos e
a implementação dessas opções. Uma vez implementado, o tratamento fornece novos
controles ou modifica os existentes.
Tratar riscos envolve um processo cíclico composto por:
Avaliação do tratamento
de riscos já realizado;
Decisão se os níveis de
Avaliação da eficácia desse
risco residual são
tratamento.
toleráveis;
6
(Tribunal de Contas da União - TCU, 2018)
de opções de tratamento.
Ao selecionar as opções de tratamento de riscos, convém que a organização considere os
valores e as percepções das partes interessadas, e as formas mais adequadas para se
comunicar com elas.
É importante lembrar-se que o plano de tratamento deve identificar claramente a ordem de
prioridade em que cada tratamento deva ser implementado.
Pessoal, o tratamento de riscos, por si só, pode introduzir riscos, pois um risco significativo
pode derivar do fracasso ou da ineficácia das medidas de tratamento de riscos. Dessa forma,
o monitoramento precisa fazer parte do plano de tratamento de forma a garantir que as
medidas permaneçam eficazes.
O tratamento de riscos também pode introduzir riscos secundários que necessitam ser
avaliados, tratados, monitorados e analisados criticamente. Logo, esses riscos secundários
devem ser incorporados no mesmo plano de tratamento do risco original e não tratados
como um novo risco. Por fim, a ligação entre estes riscos deve ser identificada e preservada.
são priorizados com base em sua gravidade, e decisões são tomadas sobre quais riscos
necessitam de tratamento.
Tratamento de Riscos: Finalmente, após a avaliação, o tratamento de riscos é
implementado. Esta etapa envolve escolher e aplicar opções de tratamento de riscos,
como evitar, transferir, mitigar ou aceitar os riscos, com base na avaliação anterior.
Portanto, a sequência correta, de acordo com a estrutura de gestão de riscos
mencionada na questão, inicia com a Identificação de Riscos e é seguida pela Análise
de Riscos (a etapa mencionada na questão), que então leva à Avaliação de Riscos e
finaliza com o Tratamento de Riscos.
Assim, o correto é que a análise de riscos é precedida pela identificação de riscos e
sucedida pela avaliação de riscos, correspondendo a letra E.
Gabarito: letra E
(TRF 3ª REGIÃO - ANALISTA) Uma das abordagens mais recentes sobre gestão de
riscos no âmbito das organizações está contida na norma técnica ABNT NBR ISO 31000
− Gestão de Risco, segundo a qual o denominado “tratamento de risco” consiste em
a) processo para modificar o risco, atuando sobre a probabilidade ou consequência do
risco.
b) estabelecer referências em face das quais a significância de um risco é avaliada.
c) identificar a natureza do risco, entre provável, possível ou remoto, e determinar a
sua alocação.
d) aferir o grau de probabilidade da materialização do risco, utilizando cenários de
comparabilidade.
e) avaliar a magnitude da consequência do risco para fins de explicitação e
quantificação nas demonstrações financeiras.
Comentários
A questão aborda o conceito de "tratamento de risco". A letra A está correta e é o nosso
gabarito. O tratamento de risco envolve a escolha de uma ou mais opções para
modificar o risco, o que pode incluir evitar o risco, diminuir a probabilidade de sua
ocorrência, minimizar suas consequências, transferir o risco (por exemplo, através de
seguros) ou aceitar o risco (total ou parcialmente).
O objetivo do tratamento de risco é reduzir o risco a um nível aceitável pela
organização, alinhado com seu apetite e tolerância a riscos.
As demais alternativas, embora possam estar relacionadas com o processo de gestão
de riscos de uma forma mais ampla, não definem precisamente o que é o "tratamento
de risco".
A letra B refere-se mais à avaliação de riscos do que ao seu tratamento. Já a letra C está
relacionada à identificação e avaliação do risco, não ao seu tratamento.
A letra D envolve a avaliação da probabilidade do risco, mas não aborda diretamente o
tratamento. Finalmente, a letra E foca na avaliação das consequências financeiras do
risco, o que é apenas uma parte da gestão de riscos.
Gabarito: Letra A.
(TRE-BA – ANALISTA) De acordo com a NBR ISO 31000:2009, no que diz respeito ao
processo de gestão de riscos, a etapa específica de apreciação das causas e fontes de
riscos, suas consequências positivas e negativas, e da probabilidade de ocorrência
dessas consequências denomina-se
a) identificação de riscos.
b) análise de riscos.
c) monitoramento e análise crítica.
d) avaliação de riscos.
e) estabelecimento do contexto interno.
Comentários
A questão refere-se a uma etapa específica dentro do processo de gestão de riscos. A
letra A está errada, pois a Identificação de riscos é o processo de encontrar, reconhecer
e descrever os riscos. É uma das etapas iniciais do processo de gestão de riscos, onde
os riscos são identificados antes de serem analisados.
Já a letra B está certa. A análise de riscos é o processo que se segue à identificação de
riscos e precede a avaliação de riscos. Durante a análise de riscos, uma organização
considera as causas e fontes de riscos identificados, as suas consequências (sejam elas
positivas ou negativas) e a probabilidade de essas consequências ocorrerem. Esta
etapa é fundamental para compreender a natureza do risco, sua magnitude e como ele
pode impactar os objetivos da organização.
A letra C está errada, pois o monitoramento e análise crítica referem-se à etapa
contínua de vigilância e revisão do processo de gestão de riscos e dos controles
existentes, para garantir sua eficácia e identificar oportunidades de melhoria.
A letra D está errada porque a avaliação de riscos envolve a comparação dos resultados
da análise de riscos com os critérios de risco estabelecidos para determinar quais riscos
precisam de tratamento. A avaliação pode incluir a consideração do equilíbrio entre
potenciais benefícios e prejuízos das opções de tratamento.
Finalmente, a letra E está incorreta, pois o estabelecimento do contexto interno faz
parte da fase inicial do processo de gestão de riscos, que define o ambiente externo e
interno no qual a organização busca atingir seus objetivos.
Gabarito: Letra B
RESUMO
MODELO COSO I E II
As bases da gestão de riscos moderna foram estabelecidas nos anos 90 com a publicação do
guia Internal Control - Integrated Framework (COSO I), pelo Committee of Sponsoring
Organizations of the Treadway Commission – COSO.
Ele consolidou a ideia de gestão de risco corporativo e apresentou um conjunto de
princípios e boas práticas de gestão e controle interno 1.
Para o COSO I2, o controle interno é um processo que tem por objetivo mitigar riscos, com
vistas ao alcance dos objetivos.
Esse modelo foi atualizado em 2004, quando o COSO publicou o Enterprise Risk Management
- Integrated Framework (conhecido como COSO-ERM ou COSO II), tendo como foco a gestão
de riscos corporativos.
O modelo é apresentado na forma de matriz tridimensional (cubo), demonstrando uma visão
integrada dos componentes que os gestores precisam adotar para gerenciar os riscos de
modo eficaz, no contexto dos objetivos e da estrutura de cada organização3.
1
(Tribunal de Contas da União - TCU, 2018)
2
Fonte: https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de-riscos/politica-de-
gestao-de-riscos/modelos-de-referencia.htm
3
(Tribunal de Contas da União - TCU, 2018)
Figure 1 - Modelo de Gestão de Riscos previsto no COSO II. Fonte: (Tribunal de Contas da União - TCU, 2018)
Vejam que a face superior do cubo descreve as categorias de objetivos que são comuns a
todas as instituições e que a gestão de riscos deve fornecer segurança razoável de seu
alcance.
Já a face lateral esquerda relaciona os componentes que devem estar presentes e
funcionando de modo integrado à rotina da organização para que a gestão de riscos seja
eficaz.
Finalmente, a face lateral direita representa a estrutura organizacional, os diversos níveis
e/ou funções da organização, incluindo projetos, processos e demais atividades que
concorrem para a realização dos seus objetivos.
Segundo o Manual de Gerenciamento de Riscos Corporativos - Estrutura Integrada (COSO II),
do Committee of Sponsoring Organization:
“O gerenciamento de riscos corporativos é constituído de oito componentes inter-
relacionados, que se originam com base na maneira como a administração gerencia a
organização, e que se integram ao processo de gestão. “
Componentes Descrição
Infelizmente, algumas bancas ainda cobram os objetivos estabelecidos no COSO I, que são os
seguintes:
Vale lembrar ainda a relação existente entre controle interno, gestão de riscos corporativos
e a governança corporativa, como bem definido no COSO II: o controle interno é parte da
gestão dos riscos corporativos, que por sua parte integra a estrutura de governança de uma
instituição.
Controle
Interno
Gestão de
Riscos
Corporativos
Governança
A nova versão, COSO ERM – Integrating with Strategy and Performance, também
denominado como Framework, destaca a importância de considerar os riscos tanto no
processo de estabelecimento da estratégia quanto na melhoria da performance 4.
4
Fonte:
https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de-riscos/politica-de-
gestao-de-riscos/modelos-de-referencia.htm
Este novo modelo aprimora o alinhamento da gestão de riscos com a gestão do desempenho,
explorando como as práticas de gestão de riscos apoiam a identificação e avaliação de
riscos que impactam o desempenho, elevando a necessidade de definir variações aceitáveis
no desempenho, também denominadas tolerâncias a risco, em nível de princípio5.
5
(Tribunal de Contas da União - TCU, 2018)
d) avaliação de conformidade.
e) avaliação de riscos.
Comentários
O princípio que se refere à demonstração de comprometimento com a integridade e os
valores éticos por parte da organização está diretamente relacionado ao componente
"ambiente de controle". O ambiente de controle é a base de todos os outros
componentes de controle interno, proporcionando a disciplina e a estrutura
necessárias para o desempenho do controle.
Este componente inclui a governança e a cultura da organização, definindo a norma
para a operação e comportamento da entidade, incluindo a ética e a integridade.
Este componente estabelece o tom da organização, influenciando a consciência de
controle dos seus membros. É fundamental para promover um ambiente
==2e7ead==
RESUMO
A NBR IEC 31010:2021 é o documento-chave que oferece diretrizes para a escolha e utilização
de diversas técnicas de gestão de riscos. Essas técnicas são empregadas nas fases de
identificação, análise e avaliação dos riscos dentro do processo de gestão de riscos,
especialmente úteis para compreender e administrar a incerteza e seus impactos.
A norma em questão enumera uma vasta gama de técnicas. É importante dedicar um tempo
para examinar cada uma delas cuidadosamente, aplicando seu método preferido de estudo
e memorização, sempre que possível.
Para auxiliar na absorção dessas informações, propomos a inclusão de diversas questões
relacionadas a essas técnicas que já apareceram em exames anteriores.
Brainstorming
A Análise Bow Tie (Gravata Borboleta, em tradução livre) é uma ferramenta visual e
analítica utilizada para avaliar o risco de eventos indesejados em processos, sistemas ou
operações.
O nome "Bow Tie" decorre da forma distintiva do diagrama usado nessa análise, que se
assemelha a uma gravata borboleta.
Este método é eficaz para visualizar e entender as relações entre as causas potenciais de um
evento indesejado (as fontes de risco), os controles existentes para prevenir ou mitigar esses
riscos, e as consequências potenciais do evento.
A Análise de Modos de Falha e Efeitos (AMFE) é uma técnica sistemática e estruturada que
visa identificar, avaliar e priorizar potenciais falhas em um produto, processo ou sistema,
bem como entender os possíveis efeitos dessas falhas. A principal finalidade da AMFE é
garantir que medidas preventivas sejam implementadas para mitigar o risco de falhas,
melhorando assim a confiabilidade e a segurança.
E como Funciona a AMFE? A técnica da AMFE envolve várias etapas-chave:
as relações entre eles, como "E" (AND) para eventos que devem ocorrer conjuntamente, e
"OU" (OR) para eventos onde a ocorrência de qualquer um pode levar à falha.
Vamos imaginar um exemplo prático?
Considere a aplicação da AAF para analisar o risco de um vazamento radioativo em uma usina
nuclear, um evento de falha crítico que deve ser evitado a todo custo.
✓ Evento Topo: Vazamento radioativo.
✓ Eventos Intermediários: Poderiam incluir falha no sistema de resfriamento, falha no
revestimento do reator, falha nos sistemas de controle etc.
✓ Eventos Básicos: Para cada evento intermediário, identificam-se as causas raízes ou
eventos básicos, como perda de energia elétrica, falha de bomba de resfriamento,
ruptura de tubulação, erro humano etc.
Ao mapear esses eventos e suas relações lógicas, a AAF pode revelar que o vazamento
radioativo pode ser causado por uma combinação de falha no sistema de resfriamento (E)
com a falha no revestimento do reator, ou pela falha nos sistemas de controle (OU) erro
humano.
Entretanto, enquanto a AAF é extremamente valiosa para dissecar as causas de uma falha
específica, ela possui limitações, especialmente no que diz respeito à identificação de
perigos e problemas de operabilidade em instalações de processo complexas.
A AAF foca em analisar as sequências de eventos que levam a um evento de falha conhecido,
mas pode não capturar adequadamente a gama completa de perigos ou condições
operacionais anormais que não se enquadram diretamente nas sequências definidas.
Assim, a Análise de Árvore de Falhas é uma ferramenta poderosa para entender as causas
de falhas específicas e para desenvolver estratégias de prevenção.
A Árvore de Eventos (ETA, do inglês "Event Tree Analysis") é uma técnica analítica usada para
explorar as possíveis consequências de um evento inicial, considerando a eficácia dos
controles (ou barreiras de segurança) existentes e a probabilidade de diferentes resultados.
Esta abordagem permite aos analistas visualizarem os caminhos através dos quais um
evento pode evoluir, levando a diversos finais possíveis, sejam eles benignos ou
catastróficos. A ETA é particularmente útil em setores como energia nuclear, petroquímico,
aviação e qualquer outro campo onde é crucial entender e mitigar riscos complexos.
E como funciona a Árvore de Eventos?
A construção de uma Árvore de Eventos começa com um evento inicial, que pode ser um
acidente, falha de equipamento, erro humano, ou qualquer outro incidente que tenha o
potencial de desencadear uma cadeia de eventos.
A partir desse ponto, a árvore se ramifica para representar diferentes sequências de eventos
que podem ocorrer, baseando-se na presença ou ausência de controles efetivos. Cada ramo
conduz a um resultado possível, permitindo a análise da probabilidade de cada cenário.
Vamos imaginar um exemplo prático: vamos considerar uma planta de processamento
químico onde o evento inicial é a falha de um sensor de temperatura em um reator químico,
o que poderia levar a uma reação descontrolada.
Evento Inicial: Falha do sensor de temperatura.
Ramo 1: O sistema de alarme é acionado (controle eficaz).
Resultado: A equipe de operações ajusta manualmente o processo, evitando a reação
descontrolada.
Ramo 2: O sistema de alarme falha em acionar.
Ramo 2.1: O sistema de backup detecta a falha (segundo controle eficaz).
Resultado: Ajuste automático do processo, prevenindo a reação descontrolada.
Ramo 2.2: O sistema de backup também falha.
Resultado: Ocorrência de uma reação descontrolada, levando a uma possível explosão.
Para cada ramo, a ETA consideraria a probabilidade do sistema de alarme falhar, a
probabilidade do sistema de backup funcionar corretamente e a probabilidade de diferentes
resultados, desde a prevenção do incidente até a ocorrência de uma explosão.
Os benefícios da Árvore de Eventos envolvem:
✓ Visualização de Cenários Complexos: A ETA ajuda a visualizar e entender como
diferentes fatores e controles interagem para produzir resultados variados a partir de
um único evento inicial.
✓ Avaliação de Probabilidades: Permite a quantificação da probabilidade de diferentes
resultados, ajudando na priorização de medidas de mitigação baseadas no risco.
Técnica Delphi
Suponha que uma empresa de tecnologia deseja desenvolver um novo produto de software
e utiliza a Técnica Delphi para prever as tendências futuras do mercado que poderiam
impactar o sucesso do produto.
✓ Primeira Rodada: Os especialistas são questionados sobre as tendências tecnológicas
emergentes, desafios potenciais na adoção de novas tecnologias e características
desejadas pelos usuários finais.
✓ Após a Primeira Rodada: O coordenador da pesquisa analisa as respostas,
identificando áreas de consenso (por exemplo, a importância da inteligência artificial)
e áreas de divergência (como a velocidade de adoção de tecnologias de realidade
aumentada).
✓ Rodadas Subsequentes: Nas rodadas seguintes, os especialistas revisam o resumo das
respostas e reavaliam suas opiniões anteriores, considerando as perspectivas dos
outros participantes. Eles podem ajustar suas previsões sobre quais tecnologias terão
o maior impacto nos próximos cinco anos e discutir os desafios de implementação.
✓ Conclusão: Após várias rodadas, há um consenso geral de que a inteligência artificial
integrada ao software será uma tendência dominante, e a empresa decide focar seus
recursos de desenvolvimento nesta área.
Concluindo, a Técnica Delphi é uma ferramenta valiosa para a tomada de decisões e o
planejamento estratégico, especialmente quando as questões em análise são complexas e
envolvem incertezas significativas.
Ao engajar especialistas em um processo de feedback iterativo, a técnica Delphi facilita a
construção de um consenso informado, fornecendo uma base sólida para decisões futuras.
Imagine uma planta industrial que realiza uma análise de risco para identificar e priorizar
riscos associados às suas operações. Dois riscos identificados são:
Risco A: Vazamento de gás tóxico.
Probabilidade: Média, considerando manutenção regular e sistemas de detecção de gás
instalados.
Consequência: Alta, pois a exposição ao gás tóxico pode resultar em lesões graves ou morte.
Risco B: Falha no sistema de iluminação.
Probabilidade: Alta, devido ao sistema antiquado.
Consequência: Baixa, pois a falha no sistema de iluminação pode causar interrupções
menores, mas não afeta diretamente a segurança dos trabalhadores.
Utilizando a matriz, o "Risco A" seria posicionado em um ponto que reflete uma probabilidade
média e uma consequência alta, indicando uma prioridade mais elevada para ações de
mitigação. Já o "Risco B" seria colocado em uma posição de alta probabilidade e baixa
consequência, sugerindo uma prioridade menor em comparação.
d) AAF
e) APR
Comentários
A técnica de Análise de Riscos mencionada na questão, indicada para identificar os
perigos e os problemas de operabilidade de uma instalação de processo, é a HAZOP
(Hazard and Operability Study).
A HAZOP é uma metodologia sistemática e detalhada para examinar processos e
operações potencialmente perigosas em instalações industriais. O objetivo é
identificar e avaliar problemas que possam representar riscos à saúde das pessoas, ao
meio ambiente, ou que possam comprometer a operação da planta.
Durante uma HAZOP, uma equipe multidisciplinar utiliza uma série de palavras-guia
(como "mais", "menos", "nenhum", "inverso", etc.) para questionar como o desvio do
design ou operação planejada pode levar a perigos ou problemas operacionais.
As outras opções são:
a) What-if/checklist: É uma técnica que faz perguntas hipotéticas (what-if) e utiliza
listas de verificação para identificar riscos, mas é menos estruturada que a HAZOP e
geralmente aplicada em estágios iniciais de design ou em processos menos complexos.
c) AMFE (Análise de Modos de Falha e Efeitos, ou FMEA em inglês): Foca na
identificação de modos de falha potenciais em produtos ou processos e os efeitos
dessas falhas, mas não se concentra especificamente nos problemas de operabilidade.
d) AAF (Análise de Árvore de Falhas): Utilizada para identificar as possíveis causas de
falhas nos sistemas, mas não é especificamente direcionada para operabilidade como
a HAZOP.
e) APR (Análise Preliminar de Riscos): É uma técnica mais generalista para identificar
riscos em estágios iniciais, mas não tem o mesmo foco detalhado na operabilidade e
nos processos que a HAZOP possui.
Portanto, a resposta correta é b) HAZOP, devido ao seu foco específico na identificação
de perigos e problemas de operabilidade em instalações de processo.
Gabarito: letra B
RESUMO
GESTÃO DE RISCOS
Naturalmente, não sabemos como será o futuro, não é mesmo? Muitas coisas podem não
sair do jeito que imaginamos.
Os riscos existem em qualquer atividade humana, independentemente se sabemos da sua
existência ou se tomamos alguma atitude para nos prepararmos para eles ou para aproveitar
alguma oportunidade.
Um bom gerente deve mapear os principais riscos inerentes ao seu trabalho e gerenciá-los.
Um risco pode ser, por exemplo, a possibilidade de chover em algum evento que iremos
realizar ao ar livre, bem como a demora de algum órgão governamental em autorizar o início
de uma obra em uma hidrelétrica.
Se pensarmos bem, a causa do risco de chover é a realização de um evento ao ar livre, não é
mesmo? Como sabemos que existe a possibilidade de chuva, este é um risco que deve ser
monitorado. Se você estiver realizando o evento no deserto, o risco é baixo. Mas se estiver
realizando em uma cidade chuvosa, o risco é considerável.
Portanto, teríamos de avaliar a probabilidade de que este evento aconteça e qual seria nossa
resposta para o caso de o risco ocorrer. A reserva de um local coberto ou de coberturas
(tendas) para a chuva seriam respostas possíveis para este caso.
1
(Tribunal de Contas da União - TCU, 2018)
A cada escolha que fazemos, cada ação que realizamos ou deixamos de realizar, muda as
chances de diferentes acontecimentos futuros. Essas decisões afetam o nível de risco ao qual
estamos expostos, seja aumentando ou diminuindo essa exposição.
Imagine a vida como um jogo onde todos temos uma tolerância diferente ao risco. Algumas
pessoas são mais ousadas, aceitando riscos maiores porque acreditam nos benefícios que
podem vir dessas escolhas. Elas veem a possibilidade de ganhos superando os possíveis
prejuízos. Por outro lado, há quem prefira a segurança, evitando situações incertas que
possam comprometer seus objetivos.
Essas diferenças de atitude perante o risco vêm de vários fatores, como as experiências que
cada um já viveu, a capacidade de lidar com o risco (evitando, diminuindo ou até tirando
vantagem dele) e a habilidade em administrar as consequências.
Com o passar do tempo e o ganho de experiência, tendemos a entender melhor o mundo ao
nosso redor. Ficamos mais espertos na hora de perceber perigos e oportunidades,
conseguindo identificar situações que podem nos afetar positiva ou negativamente.
Ao analisarmos o ambiente e os nossos objetivos, podemos decidir quais ações tomar para
lidar com os riscos. Essas ações são como ferramentas que nos ajudam a manter os riscos em
um nível aceitável, de acordo com o quanto estamos dispostos a arriscar e o quanto somos
capazes de suportar.
De acordo com a norma ISO 31000/2018:
✓ Gerenciar riscos é iterativo e auxilia as organizações no estabelecimento de
estratégias, no alcance de objetivos e na tomada de decisões fundamentais;
✓ Gerenciar riscos é parte da governança e liderança, e é fundamental para a maneira
como a organização é gerenciada em todos os níveis. Isso contribui para a melhoria
dos sistemas de gestão;
✓ Gerenciar riscos é parte de todas as atividades associadas com uma organização e
inclui interação com as partes interessadas;
✓ Gerenciar riscos considera os contextos externo e interno da organização, incluindo
o comportamento humano e os fatores culturais.
2
(Tribunal de Contas da União - TCU, 2018)
(TCE-PA - ANALISTA) Com relação ao que dispõe a NBR ISO 31000:2009 acerca da
gestão de riscos, julgue o item subsecutivo.
A gestão de riscos é uma atividade autônoma e independente de outros processos da
organização.
Comentários
A Gestão de Riscos não funciona de maneira autônoma. Ela deve estar integrada às
demais atividades e processos da organização.
Gabarito: Errada
RESUMO