Curso 274729 Aula 13 Prof Rodrigo Renno 61d8 Completo

Aula 13 - Prof.
Rodrigo
Rennó
CNU - Ética e Integridade - 2024
(Pós-Edital)
Autor:
Antonio Daud, Equipe Informática
2 (Diego Carvalho), Rodrigo
Rennó, Stefan Fantini, Tiago
Zanolla
08 de Março de 2024
60507787366 - Wilton venicio dos Santos coelho

Antonio Daud, Equipe Informática 2 (Diego Carvalho), Rodrigo Rennó, Stefan Fantini, Tiago Zanolla
Aula 13 - Prof. Rodrigo Rennó
Índice
1) Gestão de Riscos - Conceitos Básicos
..............................................................................................................................................................................................3
2) Gestão de Riscos - Modelos Nacionais e Internacionais

..............................................................................................................................................................................................8
3) Gestão de Riscos - ISO 31000

..............................................................................................................................................................................................
11
4) Gestão de Riscos - COSO I e II

..............................................................................................................................................................................................
29
5) Gestão de Riscos - Técnicas

..............................................................................................................................................................................................
37
6) Gestão de Riscos - Boas Práticas

..............................................................................................................................................................................................
54
CNU - Ética e Integridade - 2024 (Pós-Edital) 2

www.estrategiaconcursos.com.br 59

GESTÃO DE RISCOS
A gestão dos riscos de um projeto é parte fundamental do trabalho de um gestor. E o que

afinal podemos chamar de riscos? Um risco é um aspecto futuro que apresenta algum grau
de incerteza e que pode afetar positiva ou negativamente a organização.
De acordo com o TCU1,
“Risco é o efeito da incerteza sobre objetivos estabelecidos. É a possibilidade de ocorrência
de eventos que afetem a realização ou alcance dos objetivos, combinada com o impacto
dessa ocorrência sobre os resultados pretendidos. ”
Naturalmente, não sabemos como será o futuro, não é mesmo? Muitas coisas podem não
sair do jeito que imaginamos.
Os riscos existem em qualquer atividade humana, independentemente se sabemos da sua
existência ou se tomamos alguma atitude para nos prepararmos para eles ou para aproveitar
alguma oportunidade.
Um bom gerente deve mapear os principais riscos inerentes ao seu trabalho e gerenciá-los.
• Um risco pode ser

Lembre-se positivo ou negativo
Um risco pode ser, por exemplo, a possibilidade de chover em algum evento que iremos
realizar ao ar livre, bem como a demora de algum órgão governamental em autorizar o início
de uma obra em uma hidrelétrica.
Se pensarmos bem, a causa do risco de chover é a realização de um evento ao ar livre, não é
mesmo? Como sabemos que existe a possibilidade de chuva, este é um risco que deve ser
monitorado. Se você estiver realizando o evento no deserto, o risco é baixo. Mas se estiver
realizando em uma cidade chuvosa, o risco é considerável.
Portanto, teríamos de avaliar a probabilidade de que este evento aconteça e qual seria nossa
resposta para o caso de o risco ocorrer. A reserva de um local coberto ou de coberturas
(tendas) para a chuva seriam respostas possíveis para este caso.
1
(Tribunal de Contas da União - TCU, 2018)


A gestão de riscos corporativos, para o TCU2,

“Consiste em um conjunto de atividades coordenadas para identificar, analisar, avaliar,
tratar e monitorar riscos. É o processo que visa conferir razoável segurança quanto ao
alcance dos objetivos”
A cada escolha que fazemos, cada ação que realizamos ou deixamos de realizar, muda as
chances de diferentes acontecimentos futuros. Essas decisões afetam o nível de risco ao qual
estamos expostos, seja aumentando ou diminuindo essa exposição.
Imagine a vida como um jogo onde todos temos uma tolerância diferente ao risco. Algumas
pessoas são mais ousadas, aceitando riscos maiores porque acreditam nos benefícios que
podem vir dessas escolhas. Elas veem a possibilidade de ganhos superando os possíveis
prejuízos. Por outro lado, há quem prefira a segurança, evitando situações incertas que
possam comprometer seus objetivos.
Essas diferenças de atitude perante o risco vêm de vários fatores, como as experiências que
cada um já viveu, a capacidade de lidar com o risco (evitando, diminuindo ou até tirando
vantagem dele) e a habilidade em administrar as consequências.
Com o passar do tempo e o ganho de experiência, tendemos a entender melhor o mundo ao
nosso redor. Ficamos mais espertos na hora de perceber perigos e oportunidades,
conseguindo identificar situações que podem nos afetar positiva ou negativamente.
Ao analisarmos o ambiente e os nossos objetivos, podemos decidir quais ações tomar para
lidar com os riscos. Essas ações são como ferramentas que nos ajudam a manter os riscos em
um nível aceitável, de acordo com o quanto estamos dispostos a arriscar e o quanto somos
capazes de suportar.
De acordo com a norma ISO 31000/2018:
✓ Gerenciar riscos é iterativo e auxilia as organizações no estabelecimento de
estratégias, no alcance de objetivos e na tomada de decisões fundamentais;
✓ Gerenciar riscos é parte da governança e liderança, e é fundamental para a maneira
como a organização é gerenciada em todos os níveis. Isso contribui para a melhoria
dos sistemas de gestão;
✓ Gerenciar riscos é parte de todas as atividades associadas com uma organização e
inclui interação com as partes interessadas;
✓ Gerenciar riscos considera os contextos externo e interno da organização, incluindo
o comportamento humano e os fatores culturais.
2


(CGE-CE – AUDITOR) As entidades enfrentam vários riscos de origem interna e

externa. Define-se risco como
a) a possibilidade de um evento ocorrer e afetar adversamente a realização dos
objetivos.
b) a base para determinar a maneira como os objetivos serão alcançados.
c) as metas de desempenho financeiro e a salvaguarda de perdas de ativos.
==2e7ead==
d) um processo conduzido pela administração para garantir a realização dos objetivos.

e) os requisitos de transparência estabelecidos pelas autoridades normativas.
Comentários
De acordo com o TCU,
“Risco é o efeito da incerteza sobre objetivos estabelecidos. É a possibilidade de
ocorrência de eventos que afetem a realização ou alcance dos objetivos, combinada
com o impacto dessa ocorrência sobre os resultados pretendidos.”
Gabarito: Letra A
(TCE-PA - ANALISTA) Com relação ao que dispõe a NBR ISO 31000:2009 acerca da
gestão de riscos, julgue o item subsecutivo.
A gestão de riscos é uma atividade autônoma e independente de outros processos da
organização.
Comentários
A Gestão de Riscos não funciona de maneira autônoma. Ela deve estar integrada às
demais atividades e processos da organização.
Gabarito: Errada
(CESGRANRIO – TRANSPETRO – ENGENHEIRO) Segundo a NBR ISO 31000:2009

(Gestão de Riscos – Princípios e Diretrizes), constata-se que gestão de risco é(são)
a) a identificação dos perigos, a avaliação e o controle das perdas humanas, materiais
e ambientais.
b) o controle do prejuízo sofrido por uma organização, com garantia de ressarcimento
por seguro.


c) um processo que garante que situações causadoras de danos nunca ocorrerão.

d) atividades coordenadas para dirigir e controlar uma organização no que se refere a
riscos.
e) atividades que devem ser implementadas para eliminar e transferir os perigos ou
reduzi-los a níveis os mais baixos possíveis.
Comentários
A gestão de riscos corporativos, para o TCU,
Podemos ver que as letras A e B estão muito restritas. A gestão de riscos é muito mais
abrangente. A letra C está errada também. A gestão de riscos não pode garantir que
situações danosas nunca ocorram.
A letra D está certa e é o nosso gabarito. Finalmente, a letra E trata somente dos
tratamentos possíveis dos riscos e ainda não menciona a aceitação dos riscos, um dos
tratamentos possíveis.
Gabarito: Letra D


RESUMO


MODELOS NACIONAIS E INTERNACIONAIS
Evolução Histórica
O TCU faz uma boa análise da evolução histórica da gestão de riscos em seu Referencial básico
de gestão de riscos. Com isso, iremos utilizá-lo neste trecho1.
A gestão de riscos é uma prática que remonta aos tempos antigos, quando líderes de clãs
construíam muralhas, formavam alianças e estocavam recursos para proteger suas
comunidades. Esta prática evoluiu significativamente ao longo dos anos, especialmente no
contexto corporativo.
Em 1921, Frank Knight lançou a obra 'Risk, Uncertainty and Profit', estabelecendo uma base
teórica para a gestão de riscos. Este trabalho introduziu conceitos fundamentais e propôs
uma estrutura inicial para entender e abordar os riscos.
Cinquenta anos mais tarde, a revista Fortune destacou a 'Revolução da Gestão de Riscos'
em um artigo de 1975, enfatizando a importância do papel da alta administração na
coordenação e supervisão das políticas de gestão de riscos dentro das organizações.
A década de 90 foi marcante para a gestão de riscos, com a publicação de três documentos
fundamentais:
✓ COSO I (1992): Publicado pelo Committee of Sponsoring Organizations of the
Treadway Commission, este guia consolidou a ideia de gestão de risco corporativo,
oferecendo princípios e práticas para controle interno eficaz.
✓ Relatório Cadbury (1992): No Reino Unido, este documento enfatizou a
responsabilidade dos órgãos de governança corporativa na definição e supervisão da
gestão de riscos.
✓ AS/NZS 4360:1995: Esta norma, resultado da colaboração entre a Standards Australia
e a Standards New Zealand, foi o primeiro padrão oficial para a gestão de riscos,
influenciando a criação de normas semelhantes em outros países.
O início do século XXI viu a consolidação de práticas de gestão de riscos corporativos, com
várias publicações internacionais importantes, incluindo:
✓ The Orange Book (2001): Adotado pelo governo do Reino Unido, ofereceu uma
abordagem simples e abrangente à gestão de riscos, alinhada com padrões
internacionais.
✓ Lei Sarbanes-Oxley (2002): Nos EUA, após o escândalo da Enron, esta lei visou mitigar
riscos e evitar fraudes, estabelecendo requisitos rigorosos de governança corporativa.
1


✓ COSO-ERM (2004): Este modelo ampliou o COSO I, focando na gestão de riscos

corporativos de forma integrada.
✓ Acordo de Basileia II (2004): Estabeleceu requisitos para gestão de riscos operacionais
em bancos a nível mundial.
✓ AS/NZS 4360:2004: Uma atualização da norma anterior, expandindo seus princípios e
aplicabilidade.
✓ ISO 31000 (2009): A publicação da ISO 31000 trouxe princípios e diretrizes globais para
a gestão de riscos, aplicáveis a qualquer organização. Este documento é uma das
referências mais importantes no campo da gestão de riscos, aprimorando e
expandindo as práticas recomendadas por normas anteriores.
A gestão de riscos evoluiu de práticas antigas para uma disciplina complexa e crucial nas
organizações modernas. A ISO 31000 de 2018 (segunda edição) representa o ápice dessa
evolução, oferecendo um guia abrangente para identificar, analisar e mitigar riscos em
==2e7ead==
diferentes setores.


RESUMO


GESTÃO DE RISCOS BASEADA NA ISO 31000
As atividades de uma organização apresentam algum tipo de risco. Diante disso, cabe a ela o
gerenciamento, a identificação e a análise do risco para que, posteriormente, avaliem as
possibilidades de modificação do risco pelo seu tratamento.
A norma ABNT NBR ISO 31000 estabelece alguns princípios para tornar eficaz a gestão de
riscos. Além disso, ela recomenda que as organizações desenvolvam, implementem e
melhorem continuamente uma estrutura cuja finalidade é integrar o processo para
gerenciar riscos na governança, estratégia e planejamento, gestão, processos de reportar
dados e resultados, políticas, valores e cultura em toda a organização 1.
A norma em estudo pode ser utilizada por qualquer empresa pública, privada ou
comunitária, associação, grupo ou indivíduo, podendo ser aplicada ao longo da vida de uma
organização e a uma ampla gama de atividades, incluindo estratégias, decisões, operações,
processos, funções, projetos, produtos, serviços e ativos.
Uma importante característica desta norma é a inclusão do estabelecimento do contexto
como uma atividade no início do processo de gestão de riscos. E o que seria o
estabelecimento do contexto?
Seria a captura dos objetivos da organização, do ambiente em que ela persegue esses
objetivos, das suas partes interessadas e da diversidade de critérios de risco para que,
portanto, possa ajudar na revelação e na avaliação da natureza e da complexidade de seus
riscos. Isso será estudado mais a frente.
Logo de cara, a norma ABNT NBR ISO 31000 dispõe que a gestão de riscos, quando
implementada e mantida conforme seus preceitos, possibilita a uma organização, por
exemplo:
➢ Aumentar a probabilidade de atingir os objetivos e a resiliência da organização;
➢ Encorajar uma gestão proativa;
➢ Atentar para a necessidade de identificar e tratar os riscos através de toda a
organização,
➢ Melhorar a identificação de oportunidades e ameaças e a aprendizagem
organizacional.
➢ Atender às normas internacionais e aos requisitos legais e regulatórios pertinentes,
➢ Melhorar o reporte das informações financeiras e a governança;
➢ Melhorar a confiança das partes interessadas e os controles
➢ Estabelecer uma base confiável para a tomada de decisão e o planejamento;
➢ Alocar e utilizar eficazmente os recursos para o tratamento de riscos;
1
(Associação Brasileira de Notas Técnicas - ABNT, 2009)


➢ Melhorar a eficácia e a eficiência operacional, o desempenho em saúde e segurança,

bem como a proteção do meio ambiente e a prevenção de perdas e a gestão de
incidentes;
➢ Minimizar perdas.
Princípios
De acordo com a norma, para que a gestão de riscos seja eficaz, convém que todos os níveis
de uma organização atendam aos seguintes princípios2:
Princípios Descrição
A gestão de riscos é parte integrante de todas as atividades

Integrada
organizacionais.
Estruturada e Uma abordagem estruturada e abrangente para a gestão de riscos

abrangente contribui para resultados consistentes e comparáveis.
A estrutura e o processo de gestão de riscos são personalizados e

Personalizada proporcionais aos contextos externo e interno da organização
relacionados aos seus objetivos.
O envolvimento apropriado e oportuno das partes interessadas

possibilita que seus conhecimentos, pontos de vista e percepções sejam
Inclusiva
considerados. Isto resulta em melhor conscientização e gestão de riscos
fundamentada.
Riscos podem emergir, mudar ou desaparecer à medida que os

contextos externo e interno de uma organização mudem. A gestão de
Dinâmica
riscos antecipa, detecta, reconhece e responde a estas mudanças e
eventos de uma maneira apropriada e oportuna.
As entradas para a gestão de riscos são baseadas em informações

históricas e atuais, bem como em expectativas futuras. A gestão de
Melhor
riscos explicitamente leva em consideração quaisquer limitações e
informação
incertezas associadas a estas informações e expectativas. Convém que a
disponível
informação seja oportuna, clara e disponível para as partes interessadas
pertinentes.
2
(Associação Brasileira de Notas Técnicas, 2018)


Fatores
O comportamento humano e a cultura influenciam significativamente
humanos e
todos os aspectos da gestão de riscos em cada nível e estágio.
culturais
Melhoria A gestão de riscos é melhorada continuamente por meio do aprendizado

contínua e experiências.
Estrutura
A estrutura de gestão oferece os fundamentos e os arranjos que irão incorporá-la através

de toda a organização, em todos os níveis.
Dessa forma, a estrutura ajuda no gerenciamento eficaz dos riscos por meio da aplicação do
processo de gestão de riscos em diferentes níveis e dentro de contextos específicos da
organização.
A estrutura, portanto, garante que a informação sobre riscos proveniente desse processo
seja reportada e utilizada como base para a tomada de decisões e a responsabilização em
todos os níveis organizacionais aplicáveis.
Vejamos, na figura abaixo, os componentes necessários da estrutura para gerenciar riscos 3:
Componentes da
Descrição
Estrutura
Este elemento destaca a importância do compromisso da liderança

e da alta direção com a gestão de riscos. É crucial que os líderes
Liderança e estabeleçam uma cultura de risco positiva e forneçam os recursos
Comprometimento necessários para a implementação eficaz da gestão de riscos. Eles
devem assegurar que a política de gestão de riscos seja compatível
com os objetivos da organização e integrada em todos os níveis.
A gestão de riscos deve ser integrada em todos os aspectos da

organização, incluindo sua governança, estratégias, planejamento,
Integração gestão, práticas de relatório, políticas, valores e cultura. A
integração assegura que a gestão de riscos seja considerada em
todas as decisões, processos e atividades.
3
(Associação Brasileira de Notas Técnicas, 2018)


Este tópico envolve o design de um framework para gestão de

riscos que seja específico para o contexto da organização. Isso
inclui entender e articular os objetivos da organização, os riscos
Concepção internos e externos que podem afetar esses objetivos, e a estrutura
organizacional em si. A concepção adequada do framework é
fundamental para garantir que a gestão de riscos seja eficaz e
eficiente.
A implementação do framework de gestão de riscos requer um

planejamento cuidadoso e a execução de ações específicas para
tratar, monitorar e comunicar riscos. Isso pode incluir o
Implementação desenvolvimento de políticas, a alocação de recursos, o
estabelecimento de processos para identificação e avaliação de
riscos, e a integração desses processos nas práticas operacionais da
organização.
Avaliar a eficácia do sistema de gestão de riscos é vital para

entender se os riscos estão sendo gerenciados de forma adequada
e se o sistema está alcançando seus objetivos pretendidos. Isso
Avaliação
pode envolver revisões periódicas e avaliações para identificar
oportunidades de melhoria e ajustar estratégias de gestão de riscos
conforme necessário.
A norma enfatiza a importância da melhoria contínua do sistema

de gestão de riscos. Com base nas avaliações, as organizações
Melhoria devem buscar oportunidades para aprimorar os processos de
gestão de riscos, adaptar-se a novos riscos e mudanças no ambiente
externo, e melhorar a eficácia geral do framework.
Processo de gestão de riscos
O processo de gestão de riscos deve ser parte integrante da gestão, além de estar
incorporado na cultura e nas práticas, e adaptado aos processos de negócios da organização.
O processo de gestão de risco compreende diversas atividades iremos resumir abaixo:
Processo Descrição
Comunicação e Antes de iniciar o processo de gestão de riscos e durante todo o seu

Consulta desenvolvimento, é essencial envolver as partes interessadas. A
comunicação e consulta permitem a troca de informações sobre os


riscos e as decisões a serem tomadas, garantindo transparência e

inclusão das perspectivas de diferentes stakeholders.
Escopo: Define o limite e o foco da gestão de riscos na organização.

Contexto: Envolve a compreensão do ambiente interno e externo em
Escopo,
que a organização opera. Isso inclui fatores legais, culturais, financeiros
Contexto e
e ambientais que podem influenciar a gestão de riscos.
Critérios
Critérios: Estabelece os parâmetros para avaliar a significância dos
riscos, ajudando a determinar a necessidade de tratamento.
Esta fase é o coração da gestão de riscos, compreendendo três etapas

principais:
Identificação de Riscos: Localizar e descrever os riscos que podem afetar
Processo de a organização.
Avaliação de Análise de Riscos: Entender a natureza dos riscos identificados e
Riscos determinar o nível de risco, considerando a probabilidade de ocorrência
e o impacto.
Avaliação de Riscos: Comparar os riscos analisados com os critérios de
risco para priorizar quais necessitam de tratamento.
Define as opções para lidar com os riscos identificados e avaliados,

buscando mitigar, transferir, evitar ou aceitar riscos, dependendo de
Tratamento de
sua prioridade e impacto. O tratamento de riscos inclui a implementação
Riscos
de medidas específicas e a alocação de recursos necessários para
gerenciar esses riscos.
Essencial para a eficácia do processo de gestão de riscos, esta etapa

envolve a revisão contínua do contexto e dos critérios de risco, bem
Monitoramento
como a avaliação da eficácia das medidas de tratamento. O
e Análise Crítica
monitoramento e análise crítica garantem que as mudanças sejam
identificadas e que as ações sejam ajustadas conforme necessário.
Manter registros adequados e relatar o processo de gestão de riscos e

seus resultados é vital para a transparência e para a tomada de decisões
Registro e
informadas. Os registros devem incluir informações sobre os riscos
Relato
identificados, suas análises, avaliações e os tratamentos aplicados, além
de qualquer mudança significativa no perfil de risco da organização.
Adotando essa estrutura detalhada e sistemática da ABNT ISO 31000:2018, as organizações

podem gerir seus riscos de forma mais eficiente, promovendo a segurança, a inovação e a
sustentabilidade em suas operações.


Este processo não apenas ajuda a proteger contra perdas, como também possibilita a
identificação e exploração de novas oportunidades, contribuindo para o sucesso e a
resiliência organizacional.
Aprofundando a Análise da Avaliação e Tratamento de Riscos
Como estes processos são bastante cobrados em prova, irei aprofundar especificamente um
pouco mais essa parte, ok? O processo de avaliação de riscos é o processo global de
identificação de riscos, análise de riscos e avaliação de riscos.
Identificação de riscos
A organização deve identificar as fontes de risco, áreas de impactos, eventos (incluindo
mudanças nas circunstâncias) e suas causas e consequências potenciais.
A finalidade desta etapa é gerar uma lista abrangente de riscos baseada nestes eventos que
possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos.
A identificação deve incluir todos os riscos, estando suas fontes sob o controle da
organização ou não, mesmo que as fontes ou causas dos riscos possam não ser evidentes.
Além de identificar o que pode acontecer, é necessário considerar todas as possíveis causas
e cenários que mostrem quais consequências podem ocorrer.
Por fim, a organização deve aplicar ferramentas e técnicas de identificação de riscos
adequadas aos seus objetivos e capacidades e aos riscos enfrentados, além de envolver
pessoas com um conhecimento adequado na identificação dos riscos.
Análise de riscos
A análise de riscos envolve desenvolver a compreensão dos riscos, fornecendo uma entrada
para a avaliação de riscos e para as decisões sobre a necessidade de os riscos serem tratados,
e sobre as estratégias e métodos mais adequados de tratamento de riscos.
A análise de riscos também pode fornecer uma entrada para a tomada de decisões em que
escolhas precisam ser feitas e as opções envolvem diferentes tipos e níveis de risco.
A análise de riscos envolve a apreciação das causas e as fontes de risco, suas consequências
positivas e negativas, e a probabilidade de que essas consequências possam ocorrer.
Risco = Probabilidade x Impacto


O risco é analisado determinando–se as consequências e sua probabilidade, e outros

atributos do risco. Convém que os controles existentes e sua eficácia e eficiência também
sejam levados em consideração.
Convém que fatores como a divergência de opinião entre especialistas, a incerteza, a
disponibilidade, a qualidade, a quantidade e a contínua pertinência das informações, ou as
limitações sobre a modelagem sejam estabelecidos e ressaltados.
A análise de riscos pode ser realizada com diversos graus de detalhe, dependendo do risco,
da finalidade da análise e das informações, dados e recursos disponíveis. Dependendo das
circunstâncias, a análise pode ser qualitativa, semiquantitativa ou quantitativa, ou uma
combinação destas.
Estes métodos são descritos abaixo4:
Métodos Descrição
Definem o impacto, a probabilidade e o nível de risco por
Qualitativos qualificadores como “alto”, “médio” e “baixo”, com base na
percepção das pessoas.
Usam escalas numéricas previamente convencionadas para
mensurar a consequência e a probabilidade, os quais são
combinados, por meio de uma fórmula, para produzir o nível de
Semiquantitativos
risco. A escala pode ser linear, logarítmica ou de outro tipo. As
fórmulas também podem variar de acordo com a necessidade e o
contexto.
Estimam valores para as consequências e suas probabilidades a
Quantitativos partir de valores práticos e calculam o nível de risco a partir de
unidades específicas definidas no desenvolvimento do contexto.
As consequências e suas probabilidades podem ser determinadas por modelagem dos

resultados de um evento ou conjunto de eventos, ou por extrapolação a partir de estudos
experimentais ou a partir dos dados disponíveis.
As consequências podem ser expressas em termos de impactos tangíveis e intangíveis. Em
alguns casos, é necessário mais que um valor numérico ou descritor para especificar as
consequências e suas probabilidades em diferentes períodos, locais, grupos ou situações.
A relação entre os riscos e os seus componentes pode ser mostrada por uma matriz simples 5:
4
5


Figure 1 - Matriz de riscos simples. Fonte: (Tribunal de Contas da União - TCU, 2018)
Avaliação de riscos
A finalidade da avaliação de riscos é auxiliar na tomada de decisões com base nos resultados
da análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a
implementação do tratamento.
A avaliação de riscos envolve comparar o nível de risco encontrado durante o processo de
análise com os critérios de risco estabelecidos quando o contexto foi considerado. Com base
nesta comparação, a necessidade do tratamento pode ser considerada.
É conveniente que as decisões sejam tomadas de acordo com os requisitos legais,
regulatórios e outros requisitos.
Em algumas circunstâncias, a avaliação de riscos pode levar:
✓ Fazer mais nada;
✓ Considerar as opções de tratamento de riscos;
✓ Reconsidera os objetivos.
✓ Manter os controles existentes.
Tratamento de riscos
O tratamento de riscos envolve a seleção de uma ou mais opções para modificar os riscos e
a implementação dessas opções. Uma vez implementado, o tratamento fornece novos
controles ou modifica os existentes.
Tratar riscos envolve um processo cíclico composto por:


Avaliação do tratamento
de riscos já realizado;
Decisão se os níveis de
Avaliação da eficácia desse
risco residual são
tratamento.
toleráveis;
Se não forem toleráveis, a

definição e implementação
de um novo tratamento
para os riscos; e
As opções de tratamento de riscos incluem evitar, reduzir (mitigar), transferir (compartilhar)

e aceitar (tolerar) o risco, devendo-se observar que elas não são mutuamente exclusivas6.
Opções de Tratamento Descrição

do Risco
Evitar Decisão de não iniciar ou de descontinuar a atividade, ou ainda

desfazer-se do objeto sujeito ao risco.
Consiste em adotar medidas para reduzir a probabilidade ou a

consequência dos riscos ou até mesmo ambos.
Reduzir ou mitigar
Os procedimentos que uma organização estabelece para tratar
riscos são denominados de atividades de controle interno.
É o caso especial de se mitigar a consequência ou probabilidade

de ocorrência do risco por meio da transferência ou
Compartilhar ou
compartilhamento de uma parte do risco, mediante
transferir
contratação de seguros ou terceirização de atividades nas quais
a organização não tem suficiente domínio.
É não tomar, deliberadamente, nenhuma medida para alterar a

Aceitar ou tolerar probabilidade ou a consequência do risco. Ocorre quando o
risco está dentro do nível de tolerância da organização (e.g.
6


quando o risco é considerado baixo), a capacidade para fazer

qualquer coisa sobre o risco é limitada ou, ainda, o custo de
tomar qualquer medida é desproporcional em relação ao
benefício potencial (e.g. gastar mais recursos financeiros para
proteger um ativo do que o próprio valor do ativo).
Para selecionar a opção mais adequada de tratamento de riscos deve-se equilibrar, de um

lado, os custos e os esforços de implementação e, de outro, os benefícios decorrentes,
relativos a requisitos legais, regulatórios ou quaisquer outros, tais como o da
responsabilidade social e o da proteção do ambiente natural.
Várias opções de tratamento podem ser consideradas e aplicadas individualmente ou
combinadas. A organização, normalmente, beneficia-se com a adoção de uma combinação
==2e7ead==
de opções de tratamento.
Ao selecionar as opções de tratamento de riscos, convém que a organização considere os
valores e as percepções das partes interessadas, e as formas mais adequadas para se
comunicar com elas.
É importante lembrar-se que o plano de tratamento deve identificar claramente a ordem de
prioridade em que cada tratamento deva ser implementado.
Pessoal, o tratamento de riscos, por si só, pode introduzir riscos, pois um risco significativo
pode derivar do fracasso ou da ineficácia das medidas de tratamento de riscos. Dessa forma,
o monitoramento precisa fazer parte do plano de tratamento de forma a garantir que as
medidas permaneçam eficazes.
O tratamento de riscos também pode introduzir riscos secundários que necessitam ser
avaliados, tratados, monitorados e analisados criticamente. Logo, esses riscos secundários
devem ser incorporados no mesmo plano de tratamento do risco original e não tratados
como um novo risco. Por fim, a ligação entre estes riscos deve ser identificada e preservada.
Planos para tratamento de riscos: têm finalidade de documentar como as opções de

tratamento escolhidas serão implementadas.
Nesse documento, deve haver informações como:


Informações contidas nos planos para tratamento de

riscos:
• as razões para a seleção das opções de tratamento, incluindo os
benefícios que se espera obter;
• os responsáveis pela aprovação do plano e os responsáveis pela
implementação do plano;
• ações propostas;
• os recursos requeridos, incluindo contingências;
• medidas de desempenho e restrições;
• requisitos para a apresentação de informações e de
monitoramento; e
• cronograma e programação.
Os planos de tratamento devem estar integrados com os processos de gestão da organização

e discutidos com as partes interessadas apropriadas.
É importante que os tomadores de decisão e as outras partes interessadas estejam cientes
da natureza e da extensão do risco residual após o tratamento do risco. Pessoal, o risco
residual também deve ser documentado e submetido a monitoramento, análise crítica e,
quando apropriado, a tratamento adicional.
E o que é o risco residual?
Antes de qualquer tratamento de riscos, temos o que se chama de risco inerente. Este risco
é o risco normal do negócio ou da atividade. Depois de termos identificado e tratado o risco,
ele poderá ser reduzido.
O risco que “sobrar” depois desse tratamento é o que se chama de “risco residual”.


Risco Inerente Tratamento Risco Residual
(PREF SP – AUDITOR) O processo de análise de riscos, em conformidade com a

estrutura de gestão de riscos, é precedido e sucedido, respectivamente,
a) pelo tratamento de riscos e pela avaliação de riscos.
b) pela avaliação de riscos e pelo tratamento de riscos.
c) pela identificação de riscos e pelo tratamento de riscos.
d) pela avaliação de riscos e pela identificação de riscos.
e) pela identificação de riscos e pela avaliação de riscos.
Comentários
A sequência correta das etapas no processo de gestão de riscos geralmente segue esta
ordem:
Identificação de Riscos: O primeiro passo é identificar os riscos que podem impactar o
projeto, processo ou organização. Este é um passo crucial que precede qualquer
análise, pois sem identificar os riscos, não é possível analisá-los.
Análise de Riscos: Após os riscos serem identificados, a próxima etapa é analisá-los
para entender sua natureza, impactos potenciais e a probabilidade de ocorrerem. Esta
etapa permite avaliar a magnitude dos riscos.
Avaliação de Riscos: Esta etapa envolve a comparação do risco analisado contra
critérios de risco predefinidos para determinar a prioridade dos riscos. Aqui, os riscos


são priorizados com base em sua gravidade, e decisões são tomadas sobre quais riscos
necessitam de tratamento.
Tratamento de Riscos: Finalmente, após a avaliação, o tratamento de riscos é
implementado. Esta etapa envolve escolher e aplicar opções de tratamento de riscos,
como evitar, transferir, mitigar ou aceitar os riscos, com base na avaliação anterior.
Portanto, a sequência correta, de acordo com a estrutura de gestão de riscos
mencionada na questão, inicia com a Identificação de Riscos e é seguida pela Análise
de Riscos (a etapa mencionada na questão), que então leva à Avaliação de Riscos e
finaliza com o Tratamento de Riscos.
Assim, o correto é que a análise de riscos é precedida pela identificação de riscos e
sucedida pela avaliação de riscos, correspondendo a letra E.
Gabarito: letra E
(TRF 3ª REGIÃO - ANALISTA) Uma das abordagens mais recentes sobre gestão de
riscos no âmbito das organizações está contida na norma técnica ABNT NBR ISO 31000
− Gestão de Risco, segundo a qual o denominado “tratamento de risco” consiste em
a) processo para modificar o risco, atuando sobre a probabilidade ou consequência do
risco.
b) estabelecer referências em face das quais a significância de um risco é avaliada.
c) identificar a natureza do risco, entre provável, possível ou remoto, e determinar a
sua alocação.
d) aferir o grau de probabilidade da materialização do risco, utilizando cenários de
comparabilidade.
e) avaliar a magnitude da consequência do risco para fins de explicitação e
quantificação nas demonstrações financeiras.
Comentários
A questão aborda o conceito de "tratamento de risco". A letra A está correta e é o nosso
gabarito. O tratamento de risco envolve a escolha de uma ou mais opções para
modificar o risco, o que pode incluir evitar o risco, diminuir a probabilidade de sua
ocorrência, minimizar suas consequências, transferir o risco (por exemplo, através de
seguros) ou aceitar o risco (total ou parcialmente).
O objetivo do tratamento de risco é reduzir o risco a um nível aceitável pela
organização, alinhado com seu apetite e tolerância a riscos.
As demais alternativas, embora possam estar relacionadas com o processo de gestão
de riscos de uma forma mais ampla, não definem precisamente o que é o "tratamento
de risco".


A letra B refere-se mais à avaliação de riscos do que ao seu tratamento. Já a letra C está
relacionada à identificação e avaliação do risco, não ao seu tratamento.
A letra D envolve a avaliação da probabilidade do risco, mas não aborda diretamente o
tratamento. Finalmente, a letra E foca na avaliação das consequências financeiras do
risco, o que é apenas uma parte da gestão de riscos.
Gabarito: Letra A.
(TRE-BA – ANALISTA) De acordo com a NBR ISO 31000:2009, no que diz respeito ao
processo de gestão de riscos, a etapa específica de apreciação das causas e fontes de
riscos, suas consequências positivas e negativas, e da probabilidade de ocorrência
dessas consequências denomina-se
a) identificação de riscos.
b) análise de riscos.
c) monitoramento e análise crítica.
d) avaliação de riscos.
e) estabelecimento do contexto interno.
Comentários
A questão refere-se a uma etapa específica dentro do processo de gestão de riscos. A
letra A está errada, pois a Identificação de riscos é o processo de encontrar, reconhecer
e descrever os riscos. É uma das etapas iniciais do processo de gestão de riscos, onde
os riscos são identificados antes de serem analisados.
Já a letra B está certa. A análise de riscos é o processo que se segue à identificação de
riscos e precede a avaliação de riscos. Durante a análise de riscos, uma organização
considera as causas e fontes de riscos identificados, as suas consequências (sejam elas
positivas ou negativas) e a probabilidade de essas consequências ocorrerem. Esta
etapa é fundamental para compreender a natureza do risco, sua magnitude e como ele
pode impactar os objetivos da organização.
A letra C está errada, pois o monitoramento e análise crítica referem-se à etapa
contínua de vigilância e revisão do processo de gestão de riscos e dos controles
existentes, para garantir sua eficácia e identificar oportunidades de melhoria.
A letra D está errada porque a avaliação de riscos envolve a comparação dos resultados
da análise de riscos com os critérios de risco estabelecidos para determinar quais riscos
precisam de tratamento. A avaliação pode incluir a consideração do equilíbrio entre
potenciais benefícios e prejuízos das opções de tratamento.
Finalmente, a letra E está incorreta, pois o estabelecimento do contexto interno faz
parte da fase inicial do processo de gestão de riscos, que define o ambiente externo e
interno no qual a organização busca atingir seus objetivos.


Gabarito: Letra B


RESUMO






MODELO COSO I E II
As bases da gestão de riscos moderna foram estabelecidas nos anos 90 com a publicação do
guia Internal Control - Integrated Framework (COSO I), pelo Committee of Sponsoring
Organizations of the Treadway Commission – COSO.
Ele consolidou a ideia de gestão de risco corporativo e apresentou um conjunto de
princípios e boas práticas de gestão e controle interno 1.
Para o COSO I2, o controle interno é um processo que tem por objetivo mitigar riscos, com
vistas ao alcance dos objetivos.
Esse modelo foi atualizado em 2004, quando o COSO publicou o Enterprise Risk Management
- Integrated Framework (conhecido como COSO-ERM ou COSO II), tendo como foco a gestão
de riscos corporativos.
O modelo é apresentado na forma de matriz tridimensional (cubo), demonstrando uma visão
integrada dos componentes que os gestores precisam adotar para gerenciar os riscos de
modo eficaz, no contexto dos objetivos e da estrutura de cada organização3.
1
2
Fonte: https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de-riscos/politica-de-
gestao-de-riscos/modelos-de-referencia.htm
3


Figure 1 - Modelo de Gestão de Riscos previsto no COSO II. Fonte: (Tribunal de Contas da União - TCU, 2018)
Vejam que a face superior do cubo descreve as categorias de objetivos que são comuns a
todas as instituições e que a gestão de riscos deve fornecer segurança razoável de seu
alcance.
Já a face lateral esquerda relaciona os componentes que devem estar presentes e
funcionando de modo integrado à rotina da organização para que a gestão de riscos seja
eficaz.
Finalmente, a face lateral direita representa a estrutura organizacional, os diversos níveis
e/ou funções da organização, incluindo projetos, processos e demais atividades que
concorrem para a realização dos seus objetivos.
Segundo o Manual de Gerenciamento de Riscos Corporativos - Estrutura Integrada (COSO II),
do Committee of Sponsoring Organization:
“O gerenciamento de riscos corporativos é constituído de oito componentes inter-
relacionados, que se originam com base na maneira como a administração gerencia a
organização, e que se integram ao processo de gestão. “
De acordo com o COSO II, os oito componentes inter-relacionados são os seguintes:
Componentes Descrição
A administração estabelece uma filosofia quanto ao tratamento

Ambiente Interno de riscos e estabelece um limite de apetite a risco. O ambiente
interno determina os conceitos básicos sobre a forma como os


riscos e os controles serão vistos e abordados pelos

empregados da organização.
Os objetivos devem existir antes que a administração

Fixação de Objetivos identifique as situações em potencial que poderão afetar a
realização destes.
Os eventos em potencial que podem impactar a organização

devem ser identificados, uma vez que possíveis eventos,
Identificação de Eventos
gerados por fontes internas ou externas, afetem à realização
dos objetivos.
Os riscos identificados são analisados com a finalidade de

Avaliação de Riscos determinar a forma como serão administrados e, depois, serão
associados aos objetivos que podem influenciar.
Os empregados identificam e avaliam as possíveis respostas e

os riscos, assim como busca evitar, aceitar, reduzir ou
Resposta a Risco compartilhar eles. Já a administração estratégica seleciona o
conjunto de ações destinadas a alinhar os riscos às respectivas
tolerâncias ao risco.
São políticas e procedimentos pré-estabelecidos e

implementados para assegurar as respostas aos riscos
Atividades de Controle
selecionados pela administração e, assim sejam executadas
com plena eficácia.
São determinadas pela forma e prazo no qual essas

Informações e informações relevantes são identificadas, colhidas e
Comunicações comunicadas de modo que permita as pessoas a cumprir com
suas atribuições.
Ocorre pela integridade do processo de gerenciamento de

riscos corporativos, sendo monitorada as modificações
necessárias para serem realizadas de maneira adequada. Assim,
a organização poderá reagir ativamente e mudar segundo cada
Monitoramento
circunstância encontrada no ambiente organizacional.
Inclusive, veja que o monitoramento é realizado por meio de
atividades gerenciais permanentes e avaliações independentes
ou ambas atividades concomitantes.


Essa estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os

objetivos de uma organização e são classificados em quatro categorias:
Objetivos – COSO II Descrição
Estratégicos São as metas gerais, alinhadas com o que suportem à sua

missão.
Operações utilização eficaz e eficiente dos recursos.
Comunicação confiabilidade de relatórios.
Conformidade (compliance) cumprimento de leis e regulamentos aplicáveis.
Infelizmente, algumas bancas ainda cobram os objetivos estabelecidos no COSO I, que são os
seguintes:
Objetivos – COSO I Descrição
Esses objetivos relacionam-se à eficácia e à eficiência das operações

Operacional da entidade, inclusive as metas de desempenho financeiro e
operacional e a salvaguarda de perdas de ativos.
Esses objetivos relacionam-se a divulgações financeiras e não

financeiras, internas e externas, podendo abranger os requisitos de
Divulgação confiabilidade, oportunidade, transparência ou outros termos
estabelecidos pelas autoridades normativas, órgãos
normatizadores reconhecidos, ou às políticas da entidade..
Esses objetivos relacionam-se ao cumprimento de leis e

Conformidade
regulamentações às quais a entidade está sujeita.
Vale lembrar ainda a relação existente entre controle interno, gestão de riscos corporativos
e a governança corporativa, como bem definido no COSO II: o controle interno é parte da
gestão dos riscos corporativos, que por sua parte integra a estrutura de governança de uma
instituição.


Controle
Interno
Gestão de
Riscos
Corporativos
Governança
COSO ERM 2016 – Alinhando com Estratégia e Performance
A nova versão, COSO ERM – Integrating with Strategy and Performance, também
denominado como Framework, destaca a importância de considerar os riscos tanto no
processo de estabelecimento da estratégia quanto na melhoria da performance 4.
4
Fonte:
https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de-riscos/politica-de-
gestao-de-riscos/modelos-de-referencia.htm


Figure 2 - Modelo COSO - ERM
Este novo modelo aprimora o alinhamento da gestão de riscos com a gestão do desempenho,
explorando como as práticas de gestão de riscos apoiam a identificação e avaliação de
riscos que impactam o desempenho, elevando a necessidade de definir variações aceitáveis
no desempenho, também denominadas tolerâncias a risco, em nível de princípio5.
(CESGRANRIO – ELETRONUCLEAR – CONTADOR) A Estrutura Integrada de

Controle Interno elaborada pelo Committee of Sponsoring Organizations of the
Treadway Commission (COSO) tem sido uma referência no cenário corporativo. Essa
estrutura se apresenta a partir de categorias de objetivos, componentes de controle
interno e estrutura organizacional da entidade. Um dos princípios estabelecidos nessa
estrutura se refere à demonstração de comprometimento com a integridade e os
valores éticos por parte da organização.
Esse princípio está relacionado ao seguinte componente de controle:
a) ambiente de controle.
b) atividades de monitoramento.
c) atividades de controle.
5


d) avaliação de conformidade.
e) avaliação de riscos.
Comentários
O princípio que se refere à demonstração de comprometimento com a integridade e os
valores éticos por parte da organização está diretamente relacionado ao componente
"ambiente de controle". O ambiente de controle é a base de todos os outros
componentes de controle interno, proporcionando a disciplina e a estrutura
necessárias para o desempenho do controle.
Este componente inclui a governança e a cultura da organização, definindo a norma
para a operação e comportamento da entidade, incluindo a ética e a integridade.
Este componente estabelece o tom da organização, influenciando a consciência de
controle dos seus membros. É fundamental para promover um ambiente
==2e7ead==
organizacional que valorize a integridade e a ética, estabelecendo a importância de tais

valores através de políticas claras, comunicação eficaz, e liderança pelo exemplo.
Gabarito: Letra A
(COREN-SP – AUDITOR) Segundo a metodologia COSO II (Committee of Sponsoring

Organizations of the Treadway Commission), os objetivos que deverão ser tratados
como objetos de gerenciamento de risco, conforme modelo (framework) apresentado
por aquela entidade são:
a) estratégico, operacional, de comunicação e de conformidade.
b) estratégico, financeiro, patrimonial e de monitoramento.
c) operacional, financeiro, de patrimônio e de monitoramento.
d) estratégico, operacional, financeiro e de observância.
e) operacional, de comunicação, de conformidade e de observância.
Comentários
Conforme vimos antes, a parte superior do cubo ilustra as categorias de metas
universais para todas as organizações, nas quais a administração de riscos deve
assegurar uma confiança aceitável em sua realização: estratégicas, operacionais,
comunicacionais e de conformidade.
Gabarito: letra A


RESUMO


TÉCNICAS DE GESTÃO DE RISCOS
A NBR IEC 31010:2021 é o documento-chave que oferece diretrizes para a escolha e utilização
de diversas técnicas de gestão de riscos. Essas técnicas são empregadas nas fases de
identificação, análise e avaliação dos riscos dentro do processo de gestão de riscos,
especialmente úteis para compreender e administrar a incerteza e seus impactos.
A norma em questão enumera uma vasta gama de técnicas. É importante dedicar um tempo
para examinar cada uma delas cuidadosamente, aplicando seu método preferido de estudo
e memorização, sempre que possível.
Para auxiliar na absorção dessas informações, propomos a inclusão de diversas questões
relacionadas a essas técnicas que já apareceram em exames anteriores.
Análise de Perigos e Operabilidade (HAZOP)
A Análise de Perigos e Operabilidade (HAZOP) é uma ferramenta de avaliação de risco

reconhecida e amplamente adotada na indústria, especialmente útil em instalações
industriais complexas, como plantas químicas, refinarias e unidades de produção de energia.
Esta metodologia detalhada e sistemática é projetada para identificar e avaliar potenciais
perigos e problemas operacionais que possam afetar pessoas, meio ambiente, ou a
continuidade da operação da planta.
A HAZOP é conduzida por uma equipe multidisciplinar, composta por profissionais de
diferentes áreas, como engenharia, operações, segurança e meio ambiente. Esta equipe
realiza sessões de análise nas quais o processo ou sistema é examinado em detalhes,
utilizando-se de palavras-guia para estimular o pensamento crítico e a identificação de
desvios potenciais.
As palavras-guia são o coração da metodologia HAZOP. Elas são usadas para questionar como
cada parte do sistema ou processo poderia falhar ou desviar do seu design ou operação
planejada. Algumas das palavras-guia mais comuns incluem:
✓ Mais: O que aconteceria se houvesse mais de alguma coisa (pressão, temperatura,
fluxo etc.) do que o previsto?
✓ Menos: E se houvesse menos de alguma coisa (pressão, temperatura, fluxo etc.)?
✓ Nenhum: O que ocorreria se não houvesse fluxo, reação etc.?
✓ Inverso: E se o fluxo ou processo ocorresse na direção inversa?
Imagine uma planta química onde um processo envolve o aquecimento de uma substância
química em um reator. Durante uma HAZOP, a equipe poderia usar as palavras-guia para
identificar riscos potenciais:


✓ Mais (Temperatura): O que aconteceria se a temperatura no reator fosse mais alta

que o planejado? Isso poderia levar a uma reação descontrolada, possivelmente
resultando em uma explosão ou liberação de produtos químicos perigosos.
✓ Menos (Fluxo): E se o fluxo de resfriamento para o reator fosse insuficiente? A falta
de resfriamento adequado poderia também resultar em uma reação descontrolada ou
em um aumento de temperatura, comprometendo a segurança da operação.
✓ Nenhum (Reação): O que aconteceria se não houvesse reação química? Isso poderia
indicar um problema com as matérias-primas ou com o próprio reator, possivelmente
levando à produção de um lote de produto inadequado.
✓ Inverso (Fluxo): E se o fluxo de material no sistema operasse na direção inversa? Isso
poderia resultar em contaminação de produtos, danos ao equipamento ou outras
condições inseguras.
Após a identificação de potenciais desvios e perigos, a equipe de HAZOP avalia os riscos
associados a esses desvios, considerando tanto a probabilidade de ocorrência quanto o
impacto potencial.
Com base nessa avaliação, são recomendadas medidas para mitigar ou eliminar os riscos,
como modificações no design, melhorias nos procedimentos operacionais ou a
implementação de sistemas de segurança adicionais.
Portanto, por meio de uma abordagem sistemática e do uso de palavras-guia, a HAZOP
facilita a identificação de desvios potenciais antes que eles resultem em incidentes,
promovendo um ambiente de trabalho mais seguro e eficiente.
Brainstorming
O "Brainstorming", ou "tempestade de ideias", é uma técnica amplamente utilizada em

oficinas e reuniões de equipe com o objetivo de gerar um grande volume de ideias para
resolver um problema específico, inovar ou identificar novas oportunidades.
A essência dessa técnica está em encorajar os participantes a compartilharem suas ideias
mais criativas e inovadoras, sem julgamentos ou críticas imediatas, promovendo assim um
ambiente livre e aberto que favorece o pensamento imaginativo.
A técnica pode ser aplicada em diversos contextos, desde sessões de planejamento
estratégico até reuniões de design de produtos. Um facilitador geralmente conduz a sessão
de brainstorming, definindo claramente o problema ou tópico em discussão e incentivando
a participação ativa de todos.
Os benefícios do Brainstorming são:
✓ Promove a Criatividade: Ao permitir que as pessoas expressem livremente suas ideias,
o brainstorming pode levar à descoberta de soluções inovadoras e criativas.


✓ Inclusão: Todos têm a chance de contribuir, o que pode aumentar o engajamento e a

satisfação da equipe.
✓ Diversidade de Ideias: Reunir pessoas com diferentes habilidades e perspectivas pode
gerar uma ampla variedade de ideias e soluções.
O brainstorming é uma ferramenta poderosa para estimular o pensamento criativo e
inovador em equipes, permitindo a exploração de soluções únicas para desafios complexos.
Ao criar um ambiente onde todas as ideias são valorizadas e consideradas, as equipes podem
descobrir soluções extraordinárias que de outra forma poderiam permanecer inexploradas.
Análise Bow Tie
A Análise Bow Tie (Gravata Borboleta, em tradução livre) é uma ferramenta visual e
analítica utilizada para avaliar o risco de eventos indesejados em processos, sistemas ou
operações.
O nome "Bow Tie" decorre da forma distintiva do diagrama usado nessa análise, que se
assemelha a uma gravata borboleta.
Figura 1 - Análise Bow-Tie. Fonte: (Tribunal de Contas da União - TCU, 2018)
Este método é eficaz para visualizar e entender as relações entre as causas potenciais de um
evento indesejado (as fontes de risco), os controles existentes para prevenir ou mitigar esses
riscos, e as consequências potenciais do evento.


Vamos ver um exemplo prático?

Considere uma planta química onde um dos riscos identificados é o vazamento de um
produto químico tóxico devido a uma falha no tanque de armazenamento. O evento central
é o vazamento de produto químico tóxico.
Ameaças (Lado Esquerdo):
• Corrosão do tanque.
• Falha mecânica nos equipamentos de monitoramento.
• Erro operacional.
Consequências (Lado Direito):
• Exposição dos trabalhadores a produtos químicos.
• Contaminação ambiental.
• Interrupção da produção.
Controles Preventivos:
• Inspeção e manutenção regulares do tanque para prevenir corrosão.
• Sistemas de monitoramento redundantes para detectar falhas mecânicas.
• Treinamento contínuo dos operadores.
Controles Mitigativos:
• Equipamento de proteção individual (EPI) para trabalhadores.
• Planos de resposta a emergências para limitar a contaminação ambiental.
• Procedimentos de contingência para minimizar a interrupção da produção.
Como podem ver, os benefícios da Análise Bow Tie são:
✓ Visualização Clara: O diagrama Bow Tie fornece uma visão clara e imediata das
relações entre ameaças, eventos e consequências, facilitando a compreensão dos
riscos.
✓ Foco nos Controles: Ao destacar os controles existentes, a análise ajuda a identificar
áreas onde os controles podem ser fortalecidos ou onde novos controles são
necessários.
✓ Comunicação Efetiva: O formato visual do diagrama facilita a comunicação dos riscos
e dos controles para todas as partes interessadas, desde a equipe de operações até a
alta administração.
Portanto, a Análise Bow Tie é uma ferramenta valiosa para a gestão de riscos, oferecendo
uma maneira estruturada e visual de entender e controlar os riscos em qualquer tipo de
operação ou processo.
Ao mapear as ameaças, os eventos e as consequências, juntamente com os controles
existentes, as organizações podem tomar decisões mais informadas sobre como melhor
prevenir e responder a eventos indesejados, melhorando assim a segurança e a eficiência
operacional.


Técnica "What-if / checklist", ou "E se? / checklist"
A técnica "What-if/checklist", ou "E se?/checklist", é uma ferramenta de análise de risco

amplamente utilizada em diversas indústrias e projetos para ajudar a identificar e mitigar
riscos potenciais antes que eles se tornem problemas reais.
Essa técnica é particularmente valiosa durante as fases de planejamento e análise de um
projeto ou sistema operacional. Vamos explorar mais detalhadamente essa técnica,
incluindo exemplos práticos para tornar o conceito mais claro e didático.
E como Funciona a Técnica "What-if/checklist"?
A essência da técnica "What-if/checklist" é bastante simples: ela envolve a criação e o uso
de uma série de perguntas hipotéticas do tipo "E se?" ou "O que aconteceria se...?",
acompanhadas por uma lista de verificação (checklist) que guia os participantes na avaliação
de potenciais cenários de risco.
A ideia é estimular o pensamento crítico e a previsão de eventos que poderiam levar a
resultados indesejáveis, permitindo que medidas preventivas sejam identificadas e
implementadas.
Vamos imaginar um exemplo prático? Uma fábrica de produtos químicos planeja introduzir
uma nova linha de produção. Algumas perguntas do Tipo "E se?" seriam:
✓ E se houver um vazamento de produto químico durante o processo de produção?
✓ O que aconteceria se houvesse uma falha de energia durante as operações críticas?
✓ E se o sistema de ventilação falhar em um dia de operação plena?
A técnica "What-if/checklist" é uma ferramenta valiosa para estimular o pensamento crítico
e identificar proativamente riscos e medidas preventivas em projetos e processos. No
entanto, para garantir uma análise de risco completa, especialmente em sistemas complexos,
é recomendável utilizar essa técnica em conjunto com outras metodologias de análise de
risco.
Análise de Modos de Falha e Efeitos (AMFE ou FMEA)
A Análise de Modos de Falha e Efeitos (AMFE) é uma técnica sistemática e estruturada que
visa identificar, avaliar e priorizar potenciais falhas em um produto, processo ou sistema,
bem como entender os possíveis efeitos dessas falhas. A principal finalidade da AMFE é
garantir que medidas preventivas sejam implementadas para mitigar o risco de falhas,
melhorando assim a confiabilidade e a segurança.
E como Funciona a AMFE? A técnica da AMFE envolve várias etapas-chave:


✓ Identificação de Componentes ou Processos: Inicia-se com a enumeração dos vários

componentes de um produto ou etapas de um processo.
✓ Identificação dos Modos de Falha: Para cada componente ou etapa, identificam-se os
modos pelos quais pode falhar. Um modo de falha é uma maneira específica na qual
uma falha pode ocorrer e levar a um estado de não conformidade.
✓ Determinação dos Efeitos das Falhas: Avalia-se o impacto de cada modo de falha,
considerando-se os efeitos no sistema total, no usuário final ou no meio ambiente.
✓ Cálculo da Prioridade de Risco (RPN): O Risco Prioritário de Número (RPN) é calculado
com base na severidade da falha, na probabilidade de sua ocorrência e na capacidade
de detecção da falha antes que ela afete o cliente. O RPN ajuda a priorizar quais modos
de falha requerem atenção imediata.
Imagine a aplicação da AMFE em um carro. O objetivo é identificar potenciais falhas e seus
efeitos para garantir a segurança e a confiabilidade do veículo.
✓ Componente: Sistema de freio.
✓ Modo de Falha: Desgaste excessivo das pastilhas de freio.
✓ Efeito da Falha: Redução da eficiência de frenagem, aumentando o risco de acidentes.
✓ RPN: Calculado com base na severidade (alta, pois compromete a segurança), na
probabilidade (média, dependendo do uso e da manutenção) e na detecção (alta, pois
a maioria dos veículos modernos possui indicadores de desgaste de pastilha).
A partir da identificação dessa falha, medidas preventivas podem incluir a recomendação de
inspeções regulares das pastilhas de freio e a inclusão de sistemas de alerta precoce para os
usuários sobre o desgaste das pastilhas.
Análise de Árvore de Falhas (AAF ou FTA)
A Análise de Árvore de Falhas (AAF) é uma técnica de engenharia de segurança e análise de

sistemas que se dedica a identificar e mapear todas as possíveis sequências de eventos e
condições que podem levar a um tipo específico de falha ou evento indesejado.
O objetivo principal da AAF é compreender como diferentes fatores e eventos podem se
combinar ou interagir para causar uma falha, permitindo assim a implementação de medidas
preventivas ou corretivas.
A técnica se baseia na construção de um diagrama, chamado de "árvore de falhas", que
representa graficamente as relações lógicas entre os eventos que contribuem para a falha.
Mas como funciona a AAF, exatamente?
A AAF inicia com a definição do evento topo, que é o evento de falha ou condição indesejada
que se quer analisar. A partir deste ponto, a análise segue identificando os eventos e
condições que podem levar a esse evento topo, utilizando símbolos lógicos para representar


as relações entre eles, como "E" (AND) para eventos que devem ocorrer conjuntamente, e
"OU" (OR) para eventos onde a ocorrência de qualquer um pode levar à falha.
Vamos imaginar um exemplo prático?
Considere a aplicação da AAF para analisar o risco de um vazamento radioativo em uma usina
nuclear, um evento de falha crítico que deve ser evitado a todo custo.
✓ Evento Topo: Vazamento radioativo.
✓ Eventos Intermediários: Poderiam incluir falha no sistema de resfriamento, falha no
revestimento do reator, falha nos sistemas de controle etc.
✓ Eventos Básicos: Para cada evento intermediário, identificam-se as causas raízes ou
eventos básicos, como perda de energia elétrica, falha de bomba de resfriamento,
ruptura de tubulação, erro humano etc.
Ao mapear esses eventos e suas relações lógicas, a AAF pode revelar que o vazamento
radioativo pode ser causado por uma combinação de falha no sistema de resfriamento (E)
com a falha no revestimento do reator, ou pela falha nos sistemas de controle (OU) erro
humano.
Entretanto, enquanto a AAF é extremamente valiosa para dissecar as causas de uma falha
específica, ela possui limitações, especialmente no que diz respeito à identificação de
perigos e problemas de operabilidade em instalações de processo complexas.
A AAF foca em analisar as sequências de eventos que levam a um evento de falha conhecido,
mas pode não capturar adequadamente a gama completa de perigos ou condições
operacionais anormais que não se enquadram diretamente nas sequências definidas.
Assim, a Análise de Árvore de Falhas é uma ferramenta poderosa para entender as causas
de falhas específicas e para desenvolver estratégias de prevenção.
Análise Preliminar de Riscos (APR)
A Análise Preliminar de Riscos (APR) é uma ferramenta fundamental no campo da gestão de

riscos, utilizada para identificar e avaliar os riscos potenciais associados a um sistema,
projeto, processo ou atividade em seus estágios iniciais.
Esta técnica é projetada para fornecer uma visão geral rápida dos riscos principais,
permitindo que organizações e equipes de projeto tomem decisões informadas sobre
medidas de mitigação e priorização de riscos desde o início.
Como Funciona a APR? A APR envolve uma série de passos sistemáticos:
✓ Identificação de Riscos: A equipe revisa o sistema ou processo em questão,
identificando possíveis riscos. Isso pode incluir riscos técnicos, operacionais,
financeiros, legais, entre outros.


✓ Avaliação de Riscos: Após a identificação, os riscos são avaliados em termos de sua

probabilidade de ocorrência e potencial impacto. Essa avaliação ajuda a determinar
quais riscos são mais críticos.
✓ Documentação: Todos os riscos identificados e suas avaliações são documentados,
criando um registro que pode ser utilizado para monitoramento e revisão contínua.
Vamos ver como isso se dá na prática?
Considere a aplicação da APR no início de um novo projeto de construção. O objetivo é
identificar riscos preliminares que possam afetar o projeto, de modo a planejar ações
preventivas. Os riscos identificados são:
✓ Risco Técnico: Descoberta de condições do solo inadequadas para a fundação.
✓ Risco Operacional: Atrasos na entrega de materiais.
✓ Risco Financeiro: Exceder o orçamento devido a custos imprevistos.
✓ Risco Legal: Não conformidade com regulamentações ambientais.
Já na avaliação de riscos, temos a seguinte situação:
✓ Condições do solo inadequadas são avaliadas como de alta probabilidade e alto

impacto, requerendo estudos geotécnicos adicionais.
✓ Atrasos na entrega são considerados de média probabilidade e impacto, sugerindo a
necessidade de contratos com cláusulas de penalidade para fornecedores.
✓ Exceder o orçamento é visto como de alta probabilidade e alto impacto, indicando a
importância de uma reserva de contingência.
✓ Não conformidade com regulamentações ambientais é avaliada como de baixa
probabilidade, mas alto impacto, necessitando consultoria legal especializada.
Embora a APR seja uma ferramenta valiosa para o reconhecimento inicial de riscos, ela possui
limitações, especialmente em contextos complexos como instalações de processo.
A técnica fornece uma visão geral dos riscos, mas pode não capturar a totalidade dos
perigos específicos ou problemas de operabilidade que requerem análises mais detalhadas.
Isso se deve, em parte, à natureza preliminar da APR, que visa a uma rápida identificação de
riscos em alto nível, sem aprofundar-se em análises técnicas detalhadas.
Assim sendo, a APR é uma etapa crucial no gerenciamento de riscos, oferecendo uma visão
geral eficaz dos riscos associados a um sistema ou processo em seus estágios iniciais.
No entanto, para garantir uma compreensão abrangente dos riscos em ambientes
complexos, é recomendável complementar a APR com outras técnicas de análise de riscos,
adequadas à natureza específica dos perigos e problemas de operabilidade enfrentados.
Árvore de Eventos (ETA)


A Árvore de Eventos (ETA, do inglês "Event Tree Analysis") é uma técnica analítica usada para
explorar as possíveis consequências de um evento inicial, considerando a eficácia dos
controles (ou barreiras de segurança) existentes e a probabilidade de diferentes resultados.
Esta abordagem permite aos analistas visualizarem os caminhos através dos quais um
evento pode evoluir, levando a diversos finais possíveis, sejam eles benignos ou
catastróficos. A ETA é particularmente útil em setores como energia nuclear, petroquímico,
aviação e qualquer outro campo onde é crucial entender e mitigar riscos complexos.
E como funciona a Árvore de Eventos?
A construção de uma Árvore de Eventos começa com um evento inicial, que pode ser um
acidente, falha de equipamento, erro humano, ou qualquer outro incidente que tenha o
potencial de desencadear uma cadeia de eventos.
A partir desse ponto, a árvore se ramifica para representar diferentes sequências de eventos
que podem ocorrer, baseando-se na presença ou ausência de controles efetivos. Cada ramo
conduz a um resultado possível, permitindo a análise da probabilidade de cada cenário.
Vamos imaginar um exemplo prático: vamos considerar uma planta de processamento
químico onde o evento inicial é a falha de um sensor de temperatura em um reator químico,
o que poderia levar a uma reação descontrolada.
Evento Inicial: Falha do sensor de temperatura.
Ramo 1: O sistema de alarme é acionado (controle eficaz).
Resultado: A equipe de operações ajusta manualmente o processo, evitando a reação
descontrolada.
Ramo 2: O sistema de alarme falha em acionar.
Ramo 2.1: O sistema de backup detecta a falha (segundo controle eficaz).
Resultado: Ajuste automático do processo, prevenindo a reação descontrolada.
Ramo 2.2: O sistema de backup também falha.
Resultado: Ocorrência de uma reação descontrolada, levando a uma possível explosão.
Para cada ramo, a ETA consideraria a probabilidade do sistema de alarme falhar, a
probabilidade do sistema de backup funcionar corretamente e a probabilidade de diferentes
resultados, desde a prevenção do incidente até a ocorrência de uma explosão.
Os benefícios da Árvore de Eventos envolvem:
✓ Visualização de Cenários Complexos: A ETA ajuda a visualizar e entender como
diferentes fatores e controles interagem para produzir resultados variados a partir de
um único evento inicial.
✓ Avaliação de Probabilidades: Permite a quantificação da probabilidade de diferentes
resultados, ajudando na priorização de medidas de mitigação baseadas no risco.


✓ Identificação de Falhas nos Controles: Ao analisar os ramos onde os controles falham

em prevenir consequências indesejadas, a ETA destaca áreas onde melhorias na
segurança são necessárias.
A Árvore de Eventos é uma ferramenta valiosa na análise de riscos, oferecendo uma
maneira estruturada de avaliar as consequências potenciais de eventos iniciais e a eficácia
dos controles implementados.
Ao mapear diferentes cenários e suas probabilidades, a ETA permite aos gestores de risco
tomarem decisões informadas sobre onde concentrar esforços de mitigação para melhorar a
segurança e a resiliência de operações complexas.
Técnica Delphi
A Técnica Delphi é um método de pesquisa estruturado, projetado para obter consenso

entre um grupo de especialistas sobre questões específicas ou previsões sobre o futuro.
Este método é distinto por sua abordagem iterativa, utilizando rodadas sequenciais de
questionários, com o objetivo de refinar as respostas e aproximar os participantes de um
entendimento comum. Vamos explorar mais detalhadamente como essa técnica funciona e
fornecer um exemplo prático para ilustrar sua aplicação.
✓ Seleção de Participantes: O primeiro passo é selecionar um grupo de especialistas
com conhecimento relevante sobre o tema em questão. Importante ressaltar que os
participantes não precisam se encontrar fisicamente, fazendo da Delphi uma técnica
ideal para consultas remotas.
✓ Primeira Rodada de Questionários: Os especialistas recebem um questionário,
geralmente contendo perguntas abertas, destinadas a coletar uma ampla gama de
opiniões e insights sobre o problema.
✓ Análise e Síntese das Respostas: Após a primeira rodada, as respostas são compiladas
e analisadas pelo coordenador da pesquisa. Esta análise é usada para construir um
resumo que destaca as principais ideias, padrões e divergências nas respostas.
✓ Rodadas Subsequentes: O resumo é enviado aos participantes junto com um novo
questionário, que pode incluir solicitações de esclarecimento, reavaliação de certas
estimativas ou opiniões, e perguntas adicionais surgidas a partir das respostas
anteriores. Este processo é repetido em várias rodadas até que se atinja um nível
aceitável de consenso.
✓ Conclusão: O processo termina quando a convergência das respostas indica que um
consenso foi alcançado ou quando as rodadas adicionais não produzem mudanças
significativas nas respostas.


Suponha que uma empresa de tecnologia deseja desenvolver um novo produto de software
e utiliza a Técnica Delphi para prever as tendências futuras do mercado que poderiam
impactar o sucesso do produto.
✓ Primeira Rodada: Os especialistas são questionados sobre as tendências tecnológicas
emergentes, desafios potenciais na adoção de novas tecnologias e características
desejadas pelos usuários finais.
✓ Após a Primeira Rodada: O coordenador da pesquisa analisa as respostas,
identificando áreas de consenso (por exemplo, a importância da inteligência artificial)
e áreas de divergência (como a velocidade de adoção de tecnologias de realidade
aumentada).
✓ Rodadas Subsequentes: Nas rodadas seguintes, os especialistas revisam o resumo das
respostas e reavaliam suas opiniões anteriores, considerando as perspectivas dos
outros participantes. Eles podem ajustar suas previsões sobre quais tecnologias terão
o maior impacto nos próximos cinco anos e discutir os desafios de implementação.
✓ Conclusão: Após várias rodadas, há um consenso geral de que a inteligência artificial
integrada ao software será uma tendência dominante, e a empresa decide focar seus
recursos de desenvolvimento nesta área.
Concluindo, a Técnica Delphi é uma ferramenta valiosa para a tomada de decisões e o
planejamento estratégico, especialmente quando as questões em análise são complexas e
envolvem incertezas significativas.
Ao engajar especialistas em um processo de feedback iterativo, a técnica Delphi facilita a
construção de um consenso informado, fornecendo uma base sólida para decisões futuras.
Matriz de Probabilidade ou Consequência
A "Matriz de Probabilidade ou Consequência" é uma ferramenta de gestão de riscos utilizada

para avaliar e priorizar riscos, combinando duas dimensões fundamentais: a probabilidade
de ocorrência de um evento de risco e a gravidade de suas consequências.
Essa ferramenta ajuda a visualizar e determinar quais riscos requerem atenção imediata ou
estratégias de mitigação, facilitando a tomada de decisões na gestão de projetos, operações
industriais, ou em qualquer ambiente sujeito a riscos.
Mas como funciona?
A matriz é geralmente estruturada em um formato de tabela, com a probabilidade de
ocorrência dos eventos de risco em um eixo (por exemplo, de "Muito Baixa" a "Muito Alta")
e a gravidade das consequências no outro eixo (de "Insignificante" a "Catastrófica"). Cada
risco identificado é então posicionado na matriz, com base em sua avaliação de probabilidade
e consequência.


Imagine uma planta industrial que realiza uma análise de risco para identificar e priorizar
riscos associados às suas operações. Dois riscos identificados são:
Risco A: Vazamento de gás tóxico.
Probabilidade: Média, considerando manutenção regular e sistemas de detecção de gás
instalados.
Consequência: Alta, pois a exposição ao gás tóxico pode resultar em lesões graves ou morte.
Risco B: Falha no sistema de iluminação.
Probabilidade: Alta, devido ao sistema antiquado.
Consequência: Baixa, pois a falha no sistema de iluminação pode causar interrupções
menores, mas não afeta diretamente a segurança dos trabalhadores.
Utilizando a matriz, o "Risco A" seria posicionado em um ponto que reflete uma probabilidade
média e uma consequência alta, indicando uma prioridade mais elevada para ações de
mitigação. Já o "Risco B" seria colocado em uma posição de alta probabilidade e baixa
consequência, sugerindo uma prioridade menor em comparação.
Como benefícios da utilização da Matriz, temos:

✓ Priorização de Riscos: A matriz ajuda a identificar quais riscos precisam de atenção
prioritária com base na combinação de sua probabilidade e impacto.
✓ Tomada de Decisão: Facilita a alocação de recursos para a mitigação de riscos de
maneira eficiente, focando nos riscos mais críticos.
✓ Comunicação Efetiva: Oferece uma representação visual clara dos riscos para todas as
partes interessadas, melhorando a comunicação e o entendimento dos riscos.
Portanto, a Matriz de Probabilidade ou Consequência é uma ferramenta valiosa para a gestão
de riscos, proporcionando uma maneira clara e objetiva de avaliar, comparar e priorizar
riscos. Ao visualizar riscos de forma estruturada, organizações podem focar esforços onde
eles são mais necessários, otimizando a segurança e a eficiência operacional.
(CESGRANRIO - PETROBRÁS - PROFISSIONAL DE NÍVEL TÉCNICO) A técnica de

Análise de Riscos indicada para identificar os perigos e os problemas de operabilidade
de uma instalação de processo é a
a) What-if/checklist
b) HAZOP
c) AMFE


d) AAF
e) APR
Comentários
A técnica de Análise de Riscos mencionada na questão, indicada para identificar os
perigos e os problemas de operabilidade de uma instalação de processo, é a HAZOP
(Hazard and Operability Study).
A HAZOP é uma metodologia sistemática e detalhada para examinar processos e
operações potencialmente perigosas em instalações industriais. O objetivo é
identificar e avaliar problemas que possam representar riscos à saúde das pessoas, ao
meio ambiente, ou que possam comprometer a operação da planta.
Durante uma HAZOP, uma equipe multidisciplinar utiliza uma série de palavras-guia
(como "mais", "menos", "nenhum", "inverso", etc.) para questionar como o desvio do
design ou operação planejada pode levar a perigos ou problemas operacionais.
As outras opções são:
a) What-if/checklist: É uma técnica que faz perguntas hipotéticas (what-if) e utiliza
listas de verificação para identificar riscos, mas é menos estruturada que a HAZOP e
geralmente aplicada em estágios iniciais de design ou em processos menos complexos.
c) AMFE (Análise de Modos de Falha e Efeitos, ou FMEA em inglês): Foca na
identificação de modos de falha potenciais em produtos ou processos e os efeitos
dessas falhas, mas não se concentra especificamente nos problemas de operabilidade.
d) AAF (Análise de Árvore de Falhas): Utilizada para identificar as possíveis causas de
falhas nos sistemas, mas não é especificamente direcionada para operabilidade como
a HAZOP.
e) APR (Análise Preliminar de Riscos): É uma técnica mais generalista para identificar
riscos em estágios iniciais, mas não tem o mesmo foco detalhado na operabilidade e
nos processos que a HAZOP possui.
Portanto, a resposta correta é b) HAZOP, devido ao seu foco específico na identificação
de perigos e problemas de operabilidade em instalações de processo.
Gabarito: letra B
(CESGRANRIO - PETROBRÁS - ENGENHEIRO) Há uma técnica de gerenciamento de

risco que possibilita uma identificação da lógica de associação dos eventos
intermediários que pode resultar na ocorrência do evento de topo. Isso é possível
através da utilização de “portões lógicos”, que condicionam o tipo de associação que
deve existir entre os eventos intermediários, para que ocorra o evento de topo. As
associações lógicas utilizadas são a adição dos eventos ou a sua alternância. No
primeiro caso, é necessário que todos os eventos intermediários de uma mesma linha
se realizem, para que o evento subsequente ocorra. No segundo caso, basta que um


dos eventos identificados na linha se realize, para determinar a ocorrência do evento

subsequente.
Essa técnica é conhecida como
a) APR
b) HAZOP
c) Checklist
d) ETA
e) FTA
Comentários
Esta questão descreve uma técnica de gerenciamento de risco que utiliza "portões
lógicos" para determinar a associação entre eventos intermediários, levando à
ocorrência de um evento de topo. As "associações lógicas" mencionadas, incluindo a
adição de eventos (todos os eventos intermediários de uma linha devem ocorrer) e a
alternância (basta que um evento ocorra), são características da FTA (Árvore de
Falhas).
A Árvore de Falhas (FTA, do inglês Fault Tree Analysis) é uma técnica analítica que
modela as várias combinações de falhas de hardware e/ou erros de software, condições
ambientais, e/ou erros humanos que podem resultar em um evento indesejado (evento
de topo).
Os "portões lógicos", como os de AND (e) e OR (ou), são usados para modelar como as
falhas combinadas ou individuais contribuem para o evento de topo. A FTA é
amplamente utilizada em análises de segurança de sistemas para identificar potenciais
vulnerabilidades e avaliar a probabilidade de ocorrência de eventos adversos.
As outras opções têm focos diferentes:
a) APR (Análise Preliminar de Riscos): Uma técnica qualitativa para identificar riscos em
fases iniciais de projetos.
b) HAZOP (Análise de Perigos e Operabilidade): Foca na identificação de desvios
potenciais do processo projetado, utilizando palavras-guia.
c) Checklist: Um método simples baseado em listas para verificar a presença de fatores
ou condições específicas.
d) ETA (Árvore de Eventos): Similar à FTA, mas em vez de modelar falhas para chegar
a um evento de topo, modela a progressão de eventos a partir de um evento inicial.
Gabarito: letra E
(CESGRANRIO - PETROBRÁS - ENGENHEIRO) Em uma indústria química, a equipe

de gerenciamento de risco que irá estudar um fluxo de processo contínuo escolhe uma


determinada técnica de gerenciamento de risco para avaliar as condições de segurança

da instalação.
Sabendo-se que a técnica escolhida relaciona parâmetros a palavras-guias, e estas a
desvios, constata-se que a técnica de gerenciamento de risco escolhida é a(o)
a) APR
b) HAZOP
c) FMEA
d) FTA
e) ETA
Comentários
A técnica de gerenciamento de risco descrita na questão, que utiliza parâmetros
==2e7ead==
relacionados a palavras-guias e estas a desvios para avaliar as condições de segurança

de uma instalação, é característica da HAZOP (Análise de Perigos e Operabilidade).
A HAZOP é uma metodologia sistemática projetada para realizar análises de segurança
e operabilidade em processos químicos e industriais. Ela se concentra em identificar
potenciais desvios de processo através da aplicação de um conjunto de palavras-guias
(como "mais", "menos", "nenhum", "também", etc.) a cada parâmetro de processo
(como pressão, temperatura, fluxo etc.).
Essa técnica é particularmente útil para examinar processos contínuos em indústrias
químicas, onde pequenos desvios nas condições operacionais podem levar a situações
perigosas.
As outras opções apresentam focos diferentes:
a) APR (Análise Preliminar de Riscos): Uma abordagem mais generalista para
identificar riscos em estágios iniciais de um projeto ou sistema.
c) FMEA (Análise de Modos de Falha e Efeitos): Foca na identificação de modos de falha
potenciais, suas causas e efeitos sobre o sistema.
d) FTA (Árvore de Falhas): Utiliza um diagrama de árvore para modelar as várias causas
de falhas de um sistema que podem levar a um evento indesejado.
e) ETA (Árvore de Eventos): Semelhante à FTA, mas foca na sequência de eventos que
levam a um resultado específico.
Gabarito: letra B


RESUMO




GESTÃO DE RISCOS
A gestão dos riscos de um projeto é parte fundamental do trabalho de um gestor. E o que

afinal podemos chamar de riscos? Um risco é um aspecto futuro que apresenta algum grau
de incerteza e que pode afetar positiva ou negativamente a organização.
De acordo com o TCU1,
“Risco é o efeito da incerteza sobre objetivos estabelecidos. É a possibilidade de ocorrência
de eventos que afetem a realização ou alcance dos objetivos, combinada com o impacto
dessa ocorrência sobre os resultados pretendidos. ”
Naturalmente, não sabemos como será o futuro, não é mesmo? Muitas coisas podem não
sair do jeito que imaginamos.
Os riscos existem em qualquer atividade humana, independentemente se sabemos da sua
existência ou se tomamos alguma atitude para nos prepararmos para eles ou para aproveitar
alguma oportunidade.
Um bom gerente deve mapear os principais riscos inerentes ao seu trabalho e gerenciá-los.
• Um risco pode ser

Lembre-se positivo ou negativo
Um risco pode ser, por exemplo, a possibilidade de chover em algum evento que iremos
realizar ao ar livre, bem como a demora de algum órgão governamental em autorizar o início
de uma obra em uma hidrelétrica.
Se pensarmos bem, a causa do risco de chover é a realização de um evento ao ar livre, não é
mesmo? Como sabemos que existe a possibilidade de chuva, este é um risco que deve ser
monitorado. Se você estiver realizando o evento no deserto, o risco é baixo. Mas se estiver
realizando em uma cidade chuvosa, o risco é considerável.
Portanto, teríamos de avaliar a probabilidade de que este evento aconteça e qual seria nossa
resposta para o caso de o risco ocorrer. A reserva de um local coberto ou de coberturas
(tendas) para a chuva seriam respostas possíveis para este caso.
1


A gestão de riscos corporativos, para o TCU2,

A cada escolha que fazemos, cada ação que realizamos ou deixamos de realizar, muda as
chances de diferentes acontecimentos futuros. Essas decisões afetam o nível de risco ao qual
estamos expostos, seja aumentando ou diminuindo essa exposição.
Imagine a vida como um jogo onde todos temos uma tolerância diferente ao risco. Algumas
pessoas são mais ousadas, aceitando riscos maiores porque acreditam nos benefícios que
podem vir dessas escolhas. Elas veem a possibilidade de ganhos superando os possíveis
prejuízos. Por outro lado, há quem prefira a segurança, evitando situações incertas que
possam comprometer seus objetivos.
Essas diferenças de atitude perante o risco vêm de vários fatores, como as experiências que
cada um já viveu, a capacidade de lidar com o risco (evitando, diminuindo ou até tirando
vantagem dele) e a habilidade em administrar as consequências.
Com o passar do tempo e o ganho de experiência, tendemos a entender melhor o mundo ao
nosso redor. Ficamos mais espertos na hora de perceber perigos e oportunidades,
conseguindo identificar situações que podem nos afetar positiva ou negativamente.
Ao analisarmos o ambiente e os nossos objetivos, podemos decidir quais ações tomar para
lidar com os riscos. Essas ações são como ferramentas que nos ajudam a manter os riscos em
um nível aceitável, de acordo com o quanto estamos dispostos a arriscar e o quanto somos
capazes de suportar.
De acordo com a norma ISO 31000/2018:
✓ Gerenciar riscos é iterativo e auxilia as organizações no estabelecimento de
estratégias, no alcance de objetivos e na tomada de decisões fundamentais;
✓ Gerenciar riscos é parte da governança e liderança, e é fundamental para a maneira
como a organização é gerenciada em todos os níveis. Isso contribui para a melhoria
dos sistemas de gestão;
✓ Gerenciar riscos é parte de todas as atividades associadas com uma organização e
inclui interação com as partes interessadas;
✓ Gerenciar riscos considera os contextos externo e interno da organização, incluindo
o comportamento humano e os fatores culturais.
2


(CGE-CE – AUDITOR) As entidades enfrentam vários riscos de origem interna e

externa. Define-se risco como
a) a possibilidade de um evento ocorrer e afetar adversamente a realização dos
objetivos.
b) a base para determinar a maneira como os objetivos serão alcançados.
c) as metas de desempenho financeiro e a salvaguarda de perdas de ativos.
==2e7ead==
d) um processo conduzido pela administração para garantir a realização dos objetivos.

e) os requisitos de transparência estabelecidos pelas autoridades normativas.
Comentários
De acordo com o TCU,
“Risco é o efeito da incerteza sobre objetivos estabelecidos. É a possibilidade de
ocorrência de eventos que afetem a realização ou alcance dos objetivos, combinada
com o impacto dessa ocorrência sobre os resultados pretendidos.”
Gabarito: Letra A
(TCE-PA - ANALISTA) Com relação ao que dispõe a NBR ISO 31000:2009 acerca da
gestão de riscos, julgue o item subsecutivo.
A gestão de riscos é uma atividade autônoma e independente de outros processos da
organização.
Comentários
A Gestão de Riscos não funciona de maneira autônoma. Ela deve estar integrada às
demais atividades e processos da organização.
Gabarito: Errada
(CESGRANRIO – TRANSPETRO – ENGENHEIRO) Segundo a NBR ISO 31000:2009

(Gestão de Riscos – Princípios e Diretrizes), constata-se que gestão de risco é(são)
a) a identificação dos perigos, a avaliação e o controle das perdas humanas, materiais
e ambientais.
b) o controle do prejuízo sofrido por uma organização, com garantia de ressarcimento
por seguro.


c) um processo que garante que situações causadoras de danos nunca ocorrerão.

d) atividades coordenadas para dirigir e controlar uma organização no que se refere a
riscos.
e) atividades que devem ser implementadas para eliminar e transferir os perigos ou
reduzi-los a níveis os mais baixos possíveis.
Comentários
A gestão de riscos corporativos, para o TCU,
Podemos ver que as letras A e B estão muito restritas. A gestão de riscos é muito mais
abrangente. A letra C está errada também. A gestão de riscos não pode garantir que
situações danosas nunca ocorram.
A letra D está certa e é o nosso gabarito. Finalmente, a letra E trata somente dos
tratamentos possíveis dos riscos e ainda não menciona a aceitação dos riscos, um dos
tratamentos possíveis.
Gabarito: Letra D


RESUMO


Curso 274729 Aula 13 Prof Rodrigo Renno 61d8 Completo

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Curso 274729 Aula 13 Prof Rodrigo Renno 61d8 Completo

Enviado por

Direitos autorais:

Formatos disponíveis

Aula 13 - Prof.

60507787366 - Wilton venicio dos Santos coelho

2) Gestão de Riscos - Modelos Nacionais e Internacionais

3) Gestão de Riscos - ISO 31000

4) Gestão de Riscos - COSO I e II

5) Gestão de Riscos - Técnicas

6) Gestão de Riscos - Boas Práticas

CNU - Ética e Integridade - 2024 (Pós-Edital) 2

60507787366 - Wilton venicio dos Santos coelho

A gestão dos riscos de um projeto é parte fundamental do trabalho de um gestor. E o que

• Um risco pode ser

CNU - Ética e Integridade - 2024 (Pós-Edital) 3

60507787366 - Wilton venicio dos Santos coelho

A gestão de riscos corporativos, para o TCU2,

CNU - Ética e Integridade - 2024 (Pós-Edital) 4

60507787366 - Wilton venicio dos Santos coelho

(CGE-CE – AUDITOR) As entidades enfrentam vários riscos de origem interna e

d) um processo conduzido pela administração para garantir a realização dos objetivos.

(CESGRANRIO – TRANSPETRO – ENGENHEIRO) Segundo a NBR ISO 31000:2009

CNU - Ética e Integridade - 2024 (Pós-Edital) 5

60507787366 - Wilton venicio dos Santos coelho

c) um processo que garante que situações causadoras de danos nunca ocorrerão.

CNU - Ética e Integridade - 2024 (Pós-Edital) 6

60507787366 - Wilton venicio dos Santos coelho

CNU - Ética e Integridade - 2024 (Pós-Edital) 7

60507787366 - Wilton venicio dos Santos coelho

MODELOS NACIONAIS E INTERNACIONAIS

CNU - Ética e Integridade - 2024 (Pós-Edital) 8

60507787366 - Wilton venicio dos Santos coelho

✓ COSO-ERM (2004): Este modelo ampliou o COSO I, focando na gestão de riscos

CNU - Ética e Integridade - 2024 (Pós-Edital) 9

60507787366 - Wilton venicio dos Santos coelho

CNU - Ética e Integridade - 2024 (Pós-Edital) 10

60507787366 - Wilton venicio dos Santos coelho

GESTÃO DE RISCOS BASEADA NA ISO 31000

CNU - Ética e Integridade - 2024 (Pós-Edital) 11

60507787366 - Wilton venicio dos Santos coelho

➢ Melhorar a eficácia e a eficiência operacional, o desempenho em saúde e segurança,

A gestão de riscos é parte integrante de todas as atividades

Estruturada e Uma abordagem estruturada e abrangente para a gestão de riscos

A estrutura e o processo de gestão de riscos são personalizados e

O envolvimento apropriado e oportuno das partes interessadas

Riscos podem emergir, mudar ou desaparecer à medida que os

As entradas para a gestão de riscos são baseadas em informações

CNU - Ética e Integridade - 2024 (Pós-Edital) 12

60507787366 - Wilton venicio dos Santos coelho

Melhoria A gestão de riscos é melhorada continuamente por meio do aprendizado

A estrutura de gestão oferece os fundamentos e os arranjos que irão incorporá-la através

Este elemento destaca a importância do compromisso da liderança

A gestão de riscos deve ser integrada em todos os aspectos da

CNU - Ética e Integridade - 2024 (Pós-Edital) 13

60507787366 - Wilton venicio dos Santos coelho

Este tópico envolve o design de um framework para gestão de

A implementação do framework de gestão de riscos requer um

Avaliar a eficácia do sistema de gestão de riscos é vital para

A norma enfatiza a importância da melhoria contínua do sistema

Processo de gestão de riscos

Comunicação e Antes de iniciar o processo de gestão de riscos e durante todo o seu

CNU - Ética e Integridade - 2024 (Pós-Edital) 14

60507787366 - Wilton venicio dos Santos coelho

riscos e as decisões a serem tomadas, garantindo transparência e

Escopo: Define o limite e o foco da gestão de riscos na organização.

Esta fase é o coração da gestão de riscos, compreendendo três etapas

Define as opções para lidar com os riscos identificados e avaliados,