Gestão de riscos corporativos

Livro Eletrônico
Aula 03 (Prof. Rodrigo Rennó)
Governança Corporativa e Compliance p/ BRB (Escriturário) Com

Videoaulas - Pós-Edital
Herbert Almeida, Rodrigo Rennó, Time Herbert Almeida
06381076607 - TATIANA F MACIEL

Aula 3: Gestão de Riscos
Olá pessoal, tudo bem?

Nessa aula, iremos cobrir o seguinte tópico:
 Gestão de riscos.
Espero que gostem da aula!
91068
Quer receber dicas de estudo e conteúdo gratuito de

Administração em seu e-mail?
Cadastre-se na nossa lista exclusiva, no link a seguir:
http://goo.gl/EUKHHs
Governança Corporativa e Compliance p/ BRB (Escriturário) Com Videoaulas - Pós-Edital 1

www.estrategiaconcursos.com.br 68
91068
Sumário
Gestão de Riscos ................................................................................................................ 3
Gestão de riscos baseada na ISO 31000 ........................................................................................... 5
Princípios .......................................................................................................................................................................... 6
Estrutura ........................................................................................................................................................................... 8
Processo de gestão de riscos .......................................................................................................................................... 11
Comunicação e consulta ................................................................................................................................................. 12
Estabelecimento do contexto ......................................................................................................................................... 13
Processo de avaliação de riscos ...................................................................................................................................... 16
Tratamento de riscos ...................................................................................................................................................... 19
Monitoramento e análise crítica .................................................................................................................................... 22
Modelo COSO I e II ........................................................................................................................... 26

COSO ERM ...................................................................................................................................................................... 30
Gestão de Riscos em Projetos ......................................................................................................... 31

Planejar o Gerenciamento dos Riscos ............................................................................................................................ 32
Identificação dos Riscos .................................................................................................................................................. 33
Análises Quantitativas e Qualitativas ............................................................................................................................. 34
Respostas aos Riscos ...................................................................................................................................................... 35
Questões Comentadas ..................................................................................................... 36
Lista de Questões Comentadas na Aula ........................................................................... 58
Gabarito .......................................................................................................................... 67
Bibliografia ...................................................................................................................... 67

91068
GESTÃO DE RISCOS
A gestão dos riscos de um projeto é parte fundamental do trabalho de um gestor. E o que afinal
podemos chamar de riscos? Um risco é um aspecto futuro que apresenta algum grau de incerteza
e que pode afetar positiva ou negativamente a organização.
De acordo com o TCU1,
“Risco é o efeito da incerteza sobre objetivos estabelecidos. É a possibilidade de ocorrência de
eventos que afetem a realização ou alcance dos objetivos, combinada com o impacto dessa
ocorrência sobre os resultados pretendidos. ”
Naturalmente, não sabemos como será o futuro, não é mesmo? Muitas coisas podem não sair do
jeito que imaginamos.
Os riscos existem em qualquer atividade humana, independentemente se sabemos da sua existência
ou se tomamos alguma atitude para nos prepararmos para eles ou para aproveitar alguma
oportunidade.
Um bom gerente deve mapear os principais riscos inerentes ao seu trabalho e gerenciá-los.
• Um risco pode ser

Lembre-se positivo ou negativo
Um risco pode ser, por exemplo, a possibilidade de chover em algum evento que iremos realizar ao
ar livre, bem como a demora de algum órgão governamental em autorizar o início de uma obra em
uma hidrelétrica.
Se pensarmos bem, a causa do risco de chover é a realização de um evento ao ar livre, não é mesmo?
Como sabemos que existe a possibilidade de chuva, este é um risco que deve ser monitorado. Se
você estiver realizando o evento no deserto, o risco é baixo. Mas se estiver realizando em uma cidade
chuvosa, o risco é considerável.
Portanto, teríamos de avaliar a probabilidade de que este evento aconteça e qual seria nossa
resposta para o caso de o risco ocorrer. A reserva de um local coberto ou de coberturas (tendas)
para a chuva seriam respostas possíveis para este caso.
1
(Tribunal de Contas da União - TCU, 2018)

91068
A gestão de riscos corporativos, para o TCU2,

“Consiste em um conjunto de atividades coordenadas para identificar, analisar, avaliar, tratar e
monitorar riscos. É o processo que visa conferir razoável segurança quanto ao alcance dos
objetivos”
O processo de gestão de riscos tem as seguintes principais fases 3:
Figure 1 - processo de gestão dos riscos. Fonte: (Tribunal de Contas da União, 2018)
Resumidamente, seriam os seguintes:
Fases Descrição
Consiste em compreender o ambiente externo e interno no qual o objeto de gestão de riscos
Estabelecimento do se encontra inserido e em identificar parâmetros e critérios a serem considerados no processo
Contexto de gestão de riscos.
Compreende o reconhecimento e a descrição dos riscos relacionados aos
Identificação dos objetivos/resultados de um objeto de gestão de riscos, envolvendo a identificação de
riscos possíveis fontes de riscos.
Refere-se ao desenvolvimento da compreensão sobre o risco e à determinação do nível do
Análise dos riscos risco. Envolve a apreciação das causas e as fontes de risco, suas consequências positivas
e negativas, e a probabilidade de que essas consequências possam ocorrer.
A avaliação do risco envolve a comparação do seu nível com o limite de exposição a riscos, a
Avaliação dos riscos fim de determinar se o risco é aceitável.
O limite de exposição a riscos representa o nível de risco acima do qual é desejável o
tratamento do risco. Espera-se que, com os resultados do tratamento, o nível de risco residual
fique abaixo do limite de exposição.
Compreende o planejamento e a realização de ações para modificar o nível do risco.
Tratamento dos riscos O nível do risco pode ser modificado por meio de medidas de resposta ao risco que mitiguem,
transfiram ou evitem esses riscos.
Refere-se à identificação das partes interessadas e ao compartilhamento de informações
Comunicação e relativas à gestão de riscos sobre determinado objeto, observada a classificação da
consulta com as partes informação quanto ao sigilo.
interessadas
2
3
(Tribunal de Contas da União, 2018)

91068
Comunicar riscos é fornecer as informações relativas ao risco e ao seu tratamento para todos
aqueles que possam influenciar ou ser influenciados por esse risco, sob pena de ele se
materializar plenamente.
Compreende o acompanhamento e a verificação do desempenho ou da situação de
Monitoramento e elementos da gestão de riscos, podendo abranger a política, as atividades, os riscos, os planos
melhoria contínua de tratamento de riscos, os controles e outros assuntos de interesse.
GESTÃO DE RISCOS BASEADA NA ISO 31000
As atividades de uma organização apresentam algum tipo de risco. Diante disso, cabe a ela o
gerenciamento, a identificação e a análise do risco para que, posteriormente, avaliem as
possibilidades de modificação do risco pelo seu tratamento.
A norma ABNT NBR ISO 31000 estabelece alguns princípios para tornar eficaz a gestão de riscos.
Além disso, ela recomenda que as organizações desenvolvam, implementem e melhorem
continuamente uma estrutura cuja finalidade é integrar o processo para gerenciar riscos na
governança, estratégia e planejamento, gestão, processos de reportar dados e resultados, políticas,
valores e cultura em toda a organização4.
A norma em estudo pode ser utilizada por qualquer empresa pública, privada ou comunitária,
associação, grupo ou indivíduo, podendo ser aplicada ao longo da vida de uma organização e a uma
ampla gama de atividades, incluindo estratégias, decisões, operações, processos, funções, projetos,
produtos, serviços e ativos.
Uma importante característica desta norma é a inclusão do estabelecimento do contexto como uma
atividade no início do processo de gestão de riscos. E o que seria o estabelecimento do contexto?
Seria a captura dos objetivos da organização, do ambiente em que ela persegue esses objetivos, das
suas partes interessadas e da diversidade de critérios de risco para que, portanto, possa ajudar na
revelação e na avaliação da natureza e da complexidade de seus riscos. Isso será estudado mais a
frente.
Logo de cara, a norma ABNT NBR ISO 31000 dispõe que a gestão de riscos, quando implementada e
mantida conforme seus preceitos, possibilita a uma organização, por exemplo:
 Aumentar a probabilidade de atingir os objetivos e a resiliência da organização;
 Encorajar uma gestão proativa;
 Atentar para a necessidade de identificar e tratar os riscos através de toda a organização,
 Melhorar a identificação de oportunidades e ameaças e a aprendizagem organizacional.
 Atender às normas internacionais e aos requisitos legais e regulatórios pertinentes,
 Melhorar o reporte das informações financeiras e a governança;
4
Fonte bibliográfica inválida especificada.

91068
 Melhorar a confiança das partes interessadas e os controles

 Estabelecer uma base confiável para a tomada de decisão e o planejamento;
 Alocar e utilizar eficazmente os recursos para o tratamento de riscos;
 Melhorar a eficácia e a eficiência operacional, o desempenho em saúde e segurança, bem
como a proteção do meio ambiente e a prevenção de perdas e a gestão de incidentes;
 Minimizar perdas.
Princípios
De acordo com a norma, para que a gestão de riscos seja eficaz, convém que todos os níveis de uma
organização atendam aos seguintes princípios:
Princípio Descrição
A gestão de riscos contribui para a realização demonstrável dos objetivos e

A gestão de para a melhoria do desempenho referente, por exemplo, à segurança e saúde
riscos cria e das pessoas, à segurança, à conformidade legal e regulatória, à aceitação
protege valor. pública, à proteção do meio ambiente, à qualidade do produto, ao
gerenciamento de projetos, à eficiência nas operações, à governança e à
reputação.
A gestão de
A gestão de riscos não é uma atividade autônoma separada das principais
riscos é parte
atividades e processos da organização. A gestão de riscos faz parte das
integrante de
responsabilidades da administração e é parte integrante de todos os
todos os
processos organizacionais, incluindo o planejamento estratégico e todos os
processos
processos de gestão de projetos e gestão de mudanças.
organizacionais.
A gestão de
riscos é parte A gestão de riscos auxilia os tomadores de decisão a fazer escolhas
da tomada de conscientes, priorizar ações e distinguir entre formas alternativas de ação.
decisões.
A gestão de
riscos aborda A gestão de riscos explicitamente leva em consideração a incerteza, a
explicitamente natureza dessa incerteza, e como ela pode ser tratada.
a incerteza.
A gestão de Uma abordagem sistemática, oportuna e estruturada para a gestão de riscos

riscos é contribui para a eficiência e para os resultados consistentes, comparáveis e
sistemática, confiáveis.

91068
estruturada e
oportuna.
As entradas para o processo de gerenciar riscos são baseadas em fontes de

A gestão de
informação, tais como dados históricos, experiências, retroalimentação das
riscos baseia-se
partes interessadas, observações, previsões, e opiniões de especialistas.
nas melhores
Entretanto, convém que os tomadores de decisão se informem e levem em
informações
consideração quaisquer limitações dos dados ou modelagem utilizados, ou a
disponíveis.
possibilidade de divergências entre especialistas.
A gestão de
A gestão de riscos está alinhada com o contexto interno e externo da
riscos é feita
organização e com o perfil do risco.
sob medida.
A gestão de
riscos considera A gestão de riscos reconhece as capacidades, percepções e intenções do
fatores pessoal interno e externo que podem facilitar ou dificultar a realização dos
humanos e objetivos da organização.
culturais.
O envolvimento apropriado e oportuno de partes interessadas e, em

A gestão de particular, dos tomadores de decisão em todos os níveis da organização
riscos é assegura que a gestão de riscos permaneça pertinente e atualizada.
transparente e O envolvimento também permite que as partes interessadas sejam
inclusiva. devidamente representadas e terem suas opiniões levadas em consideração
na determinação dos critérios de risco.
A gestão de
riscos é A gestão de riscos continuamente percebe e reage às mudanças. Na medida
dinâmica, em que acontecem eventos externos e internos, o contexto e o conhecimento
iterativa e modificam-se, o monitoramento e a análise crítica de riscos são realizados,
capaz de reagir novos riscos surgem, alguns se modificam e outros desaparecem.
a mudanças.
A gestão de
riscos facilita a Convém que as organizações desenvolvam e implementem estratégias para
melhoria melhorar a sua maturidade na gestão de riscos juntamente com todos os
contínua da demais aspectos da sua organização.
organização.

91068
Estrutura
A estrutura de gestão oferece os fundamentos e os arranjos que irão incorporá-la através de toda a
organização, em todos os níveis.
Dessa forma, a estrutura ajuda no gerenciamento eficaz dos riscos por meio da aplicação do
processo de gestão de riscos em diferentes níveis e dentro de contextos específicos da organização.
A estrutura, portanto, garante que a informação sobre riscos proveniente desse processo seja
reportada e utilizada como base para a tomada de decisões e a responsabilização em todos os níveis
organizacionais aplicáveis.
Vejamos, na figura abaixo, os componentes necessários da estrutura para gerenciar riscos e a forma
como eles se relacionam. Em seguida, falaremos sobre cada um.
Figura 1. Relacionamento entre os componentes da estrutura para gerenciar riscos.

91068
Mandato e comprometimento
A gestão de riscos eficaz requer comprometimento forte e sustentado a ser assumido pela
administração da organização, bem como um planejamento rigoroso e estratégico para obter-se
esse comprometimento em todos os níveis. Dessa forma, cabe à administração:
 Definir e aprovar a política de gestão de riscos e definir os indicadores de desempenho para
a gestão de riscos que estejam alinhados com os indicadores de desempenho da organização;
 Assegurar a conformidade legal e regulatória e que a cultura da organização e a política de
gestão de riscos estejam alinhadas;
 Alinhar os objetivos da gestão de riscos com os objetivos e estratégias da organização;
 Atribuir responsabilidades nos níveis apropriados dentro da organização;
 Assegurar que os recursos necessários sejam alocados para a gestão de riscos e que a
estrutura para gerenciar riscos continue a ser apropriada.
 Comunicar os benefícios da gestão de riscos a todas as partes interessadas;
Concepção da estrutura para gerenciar riscos
A concepção e a implementação da estrutura para gerenciar riscos deriva das seguintes etapas:
 Entendimento da organização e seu contexto;
 Estabelecimento da política de gestão de riscos;
 Responsabilização;
 Integração de processos organizacionais;
 Alocação de recursos apropriados para a gestão de riscos;
 Estabelecimento dos mecanismos de comunicação e reporte internos;
 Estabelecimento dos mecanismos de comunicação e reporte externos.
Implementação da gestão de riscos
Vejamos no quadro abaixo como a organização deve agir para implementar a gestão de risco.
Observem que essa implementação se dá em duas partes: na estrutura e no processo.

91068
Implementação da estrutura para gerenciar riscos:

• Definir a estratégia e o momento apropriado para implementação da estrutura;
• Aplicar a política e o processo de gestão de riscos aos processos organizacionais;
• Atender aos requisitos legais e regulatórios;
• Assegurar que a tomada de decisões, incluindo o desenvolvimento e o estabelecimento
de objetivos, esteja alinhada com os resultados dos processos de gestão de riscos;
• Manter sessões de informação e treinamento; e
• Consultar e comunicar-se com as partes interessadas para assegurar que a estrutura da
gestão de riscos continue apropriada.
Implementação do processo de gestão de riscos:

• conveniente que seja assegurado a aplicação do processo de gestão de riscos através de
um plano de gestão de riscos, em todos os níveis e funções pertinentes da organização,
como parte de suas práticas e processos.
Monitoramento e análise crítica da estrutura
Para que a gestão de riscos seja eficaz e apoie o desempenho organizacional, a organização deve:
Monitoramento e análise crítica da estrutura
Analisar
Medir o
criticamente de
desempenho da Reportar sobre os
forma periódica
gestão de riscos Medir riscos, sobre o
se a política, o
utilizando periodicamente o progresso do Analisar
plano e a
indicadores, os progresso obtido, plano de gestão criticamente a
estrutura da
quais devem ser ou o desvio, em de riscos e como eficácia da
gestão de riscos
analisados relação ao plano a política de estrutura da
ainda são
criticamente, de de gestão de gestão de riscos gestão de riscos.
apropriados, dado
forma periódica, riscos; está sendo
o contexto
para garantir sua seguida; e
externo e interno
adequação;
das organizações;

91068
Melhoria contínua da estrutura
Com base nos resultados do monitoramento e das análises críticas, as decisões devem ser tomadas
sobre como a política, o plano e a estrutura da gestão de riscos podem ser melhorados.
Dessa forma, essas decisões devem visar melhorias na capacidade de gerenciar riscos da organização
e em sua cultura de gestão de riscos.
Processo de gestão de riscos
O processo de gestão de riscos deve ser parte integrante da gestão, além de estar incorporado na
cultura e nas práticas, e adaptado aos processos de negócios da organização.
O processo de gestão de risco compreende diversas atividades e está representado na figura abaixo.
Figura 2. Processo de gestão de riscos

91068
Comunicação e consulta
A comunicação e a consulta às partes interessadas internas e externas aconteçam durante todas as

fases do processo de gestão de riscos, porém, os planos de comunicação e consulta devem ser
desenvolvidos em um estágio inicial, abordando questões relacionadas com o risco propriamente
dito, suas causas, suas consequências (se conhecidas) e as medidas que estão sendo tomadas para
tratá-los.
A comunicação e consulta interna e externa eficazes são realizadas a fim de assegurar que os
responsáveis pela implementação do processo de gestão de riscos e as partes interessadas
compreendam os fundamentos sobre os quais as decisões são tomadas e as razões pelas quais ações
específicas são requeridas.
Uma abordagem de equipe consultiva pode:
• Auxiliar a estabelecer o contexto apropriadamente;

• Assegurar que os interesses das partes interessadas sejam compreendidos
e considerados;
• Auxiliar a assegurar que os riscos sejam identificados adequadamente;
• Reunir diferentes áreas de especialização em conjunto para análise dos
riscos;
• Assegurar que diferentes pontos de vista sejam devidamente considerados
quando da definição dos critérios de risco e na avaliação dos riscos;
• Garantir o aval e o apoio para um plano de tratamento;
• Aprimorar a gestão de mudanças durante o processo de gestão de riscos; e
• Desenvolver um plano apropriado para comunicação e consulta interna e
externa.
A comunicação e consulta às partes interessadas são importantes na medida em que elas fazem
julgamentos sobre riscos com base em suas percepções.
Essas percepções podem variar devido às diferenças de valores, necessidades, suposições, conceitos
e preocupações das partes interessadas.
Como os seus pontos de vista podem ter um impacto significativo sobre as decisões tomadas,
convém que as percepções das partes interessadas sejam identificadas, registradas e levadas em
consideração no processo de tomada de decisão.

91068
Por fim, a comunicação e a consulta devem facilitar a troca de informações verdadeiras, pertinentes,
exatas e compreensíveis, levando em consideração os aspectos de confidencialidade e integridade
das pessoas.
Estabelecimento do contexto
É importante que nós saibamos “onde estamos pisando”, não é mesmo? É disso que estamos falando
quando mencionamos o “contexto”: é o ambiente em que iremos atuar.
“Um dos primeiros passos da atividade de estabelecimento do contexto é identificar os fatores do
ambiente, interno e externo, no qual a organização persegue seus objetivos. Não menos importante
é a identificação das partes interessadas, bem como a identificação e a apreciação das suas
necessidades, expectativas legítimas e preocupações”
Ao estabelecer o contexto, a organização articula seus objetivos, define os parâmetros externos e

internos a serem levados em consideração ao gerenciar riscos, e estabelece o escopo e os critérios
de risco para o restante do processo.
Estabelecimento do contexto externo
O contexto externo é importante para assegurar que os objetivos e as preocupações das partes
interessadas externas sejam considerados no desenvolvimento dos critérios de risco.
O contexto externo é baseado no contexto de toda a organização, porém com detalhes específicos
sobre requisitos legais e regulatórios, percepções de partes interessadas e outros aspectos dos riscos
específicos para o escopo do processo de gestão de riscos.
Estabelecimento do contexto interno
O contexto interno é o ambiente interno no qual a organização busca atingir seus objetivos. Diante
disso, o processo de gestão de riscos deve estar alinhado com a cultura, processos, estrutura e
estratégia da organização.
Dessa forma, o contexto interno é algo dentro da organização que pode influenciar a maneira pela
qual uma organização gerenciará os riscos. O estabelecimento do contexto interno é conveniente
porque:
 A gestão de riscos ocorre no contexto dos objetivos da organização;
5

91068
 Convém que os objetivos e os critérios de um determinado projeto, processo ou atividade

sejam considerados tendo como base os objetivos da organização como um todo; e
 Algumas organizações deixam de reconhecer oportunidades para atingir seus objetivos
estratégicos, de projeto ou de negócios, o que afeta o comprometimento, a credibilidade, a
confiança e o valor organizacional.
Vejam, no quadro abaixo, um breve resumo sobre o estabelecimento do contexto, que é a definição
dos parâmetros externos e internos a serem levados em consideração ao gerenciar riscos, e
estabelecimento do escopo e dos critérios de risco para a política de gestão de riscos.
Contexto o ambiente cultural, social, político, legal, regulatório, financeiro,

externo: tecnológico, econômico, natural e competitivo, seja internacional,
nacional, regional ou local;
os fatores–chave e as tendências que tenham impacto sobre os

objetivos da organização;
as relações com partes interessadas externas e suas percepções e

valores.
Contexto governança, estrutura organizacional, funções e responsabilidades;

interno:
políticas, objetivos e estratégias implementadas para atingi-los;
capacidades compreendidas em termos de recursos e conhecimento.
sistemas de informação, fluxos de informação e processos de tomada de

decisão
relações com partes interessadas internas, e suas percepções e valores;
cultura da organização;
normas, diretrizes e modelos adotados pela organização; e
forma e extensão das relações contratuais.

91068
Estabelecimento do contexto no processo de gestão de riscos
O contexto do processo de gestão de riscos irá variar de acordo com as necessidades de uma
organização. Ele pode envolver:
 Definição das metas e objetivos das atividades de gestão de riscos;
 Definição das responsabilidades pelo processo e dentro da gestão de riscos;
 Definição do escopo, bem como da profundidade e da amplitude das atividades da gestão de
riscos a serem realizadas, englobando inclusões e exclusões específicas;
 Definição da atividade, processo, função, projeto, produto, serviço ou ativo em termos de
tempo e localização;
 Definição das relações entre um projeto, processo ou atividade específicos e outros projetos,
processos ou atividades da organização;
 Definição das metodologias de processo de avaliação de riscos;
 Definição da forma como são avaliados o desempenho e a eficácia na gestão dos riscos;
 Identificação e especificação das decisões que têm que ser tomadas; e;
 Identificação, definição ou elaboração dos estudos necessários, de sua extensão e objetivos,
e dos recursos requeridos para tais estudos.
Definição dos critérios de risco
A organização deve definir quais critérios devam ser utilizados para avaliar o risco. Vale salientar que
alguns critérios podem ser derivados de leis ou regulamentos da organização, mas devem sempre
refletir os valores, objetivos e recursos desta, ou seja, devem ser compatíveis com a sua política de
gestão de riscos.
Ao definir os critérios de risco, convém que os fatores a serem considerados incluam os seguintes
aspectos:

91068
Aspectos considerados ao definir os critérios de risco:
• a natureza e os tipos de causas e de consequências que podem

ocorrer e como elas serão medidas;
• como a probabilidade será definida;
• a evolução no tempo da probabilidade e/ou consequência(s);
• como o nível de risco deve ser determinado;
• os pontos de vista das partes interessadas;
• o nível em que o risco se torna aceitável ou tolerável; e
• se convém que combinações de múltiplos riscos sejam levadas
em consideração e, em caso afirmativo, como e quais
combinações convém que sejam consideradas.
Processo de avaliação de riscos
O processo de avaliação de riscos é o processo global de identificação de riscos, análise de riscos e

avaliação de riscos.
1 - Identificação de riscos:
A organização deve identificar as fontes de risco, áreas de impactos, eventos (incluindo mudanças
nas circunstâncias) e suas causas e consequências potenciais.
A finalidade desta etapa é gerar uma lista abrangente de riscos baseada nestes eventos que possam
criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos.
A identificação deve incluir todos os riscos, estando suas fontes sob o controle da organização ou
não, mesmo que as fontes ou causas dos riscos possam não ser evidentes.
Além de identificar o que pode acontecer, é necessário considerar todas as possíveis causas e
cenários que mostrem quais consequências podem ocorrer.
Por fim, a organização deve aplicar ferramentas e técnicas de identificação de riscos adequadas aos
seus objetivos e capacidades e aos riscos enfrentados, além de envolver pessoas com um
conhecimento adequado na identificação dos riscos.
2 - Análise de riscos:

91068
A análise de riscos envolve desenvolver a compreensão dos riscos, fornecendo uma entrada para a
avaliação de riscos e para as decisões sobre a necessidade de os riscos serem tratados, e sobre as
estratégias e métodos mais adequados de tratamento de riscos.
A análise de riscos também pode fornecer uma entrada para a tomada de decisões em que escolhas
precisam ser feitas e as opções envolvem diferentes tipos e níveis de risco.
A análise de riscos envolve a apreciação das causas e as fontes de risco, suas consequências
positivas e negativas, e a probabilidade de que essas consequências possam ocorrer.
Risco = Probabilidade x Impacto
O risco é analisado determinando–se as consequências e sua probabilidade, e outros atributos do

risco. Convém que os controles existentes e sua eficácia e eficiência também sejam levados em
consideração.
Convém que fatores como a divergência de opinião entre especialistas, a incerteza, a
disponibilidade, a qualidade, a quantidade e a contínua pertinência das informações, ou as
limitações sobre a modelagem sejam estabelecidos e ressaltados.
A análise de riscos pode ser realizada com diversos graus de detalhe, dependendo do risco, da
finalidade da análise e das informações, dados e recursos disponíveis. Dependendo das
circunstâncias, a análise pode ser qualitativa, semiquantitativa ou quantitativa, ou uma
combinação destas.
Estes métodos são descritos abaixo6:
Métodos Descrição
Definem o impacto, a probabilidade e o nível de risco por qualificadores
Qualitativos
como “alto”, “médio” e “baixo”, com base na percepção das pessoas.
Usam escalas numéricas previamente convencionadas para mensurar a
consequência e a probabilidade, os quais são combinados, por meio de
Semiquantitativos uma fórmula, para produzir o nível de risco. A escala pode ser linear,
logarítmica ou de outro tipo. As fórmulas também podem variar de acordo
com a necessidade e o contexto.
Estimam valores para as consequências e suas probabilidades a partir de
Quantitativos valores práticos e calculam o nível de risco a partir de unidades específicas
definidas no desenvolvimento do contexto.
6

91068
As consequências e suas probabilidades podem ser determinadas por modelagem dos resultados de
um evento ou conjunto de eventos, ou por extrapolação a partir de estudos experimentais ou a
partir dos dados disponíveis.
As consequências podem ser expressas em termos de impactos tangíveis e intangíveis. Em alguns
casos, é necessário mais que um valor numérico ou descritor para especificar as consequências e
suas probabilidades em diferentes períodos, locais, grupos ou situações.
A relação entre os riscos e os seus componentes pode ser mostrada por uma matriz simples7:
Figure 2 - Matriz de riscos simples. Fonte: (Tribunal de Contas da União - TCU, 2018)
3 - Avaliação de riscos:
A finalidade da avaliação de riscos é auxiliar na tomada de decisões com base nos resultados da
análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a implementação
do tratamento.
A avaliação de riscos envolve comparar o nível de risco encontrado durante o processo de análise
com os critérios de risco estabelecidos quando o contexto foi considerado. Com base nesta
comparação, a necessidade do tratamento pode ser considerada.
É conveniente que as decisões sejam tomadas de acordo com os requisitos legais, regulatórios e
outros requisitos.
Em algumas circunstâncias, a avaliação de riscos pode levar:
 Fazer mais nada;
7

91068
 Considerar as opções de tratamento de riscos;

 Reconsidera os objetivos.
 Manter os controles existentes.
Tratamento de riscos
O tratamento de riscos envolve a seleção de uma ou mais opções para modificar os riscos e a
implementação dessas opções. Uma vez implementado, o tratamento fornece novos controles ou
modifica os existentes.
Tratar riscos envolve um processo cíclico composto por:
Avaliação do tratamento
de riscos já realizado;
Decisão se os níveis de
Avaliação da eficácia desse
risco residual são
tratamento.
toleráveis;
Se não forem toleráveis, a

definição e implementação
de um novo tratamento
para os riscos; e
As opções de tratamento de riscos incluem evitar, reduzir (mitigar), transferir (compartilhar) e

aceitar (tolerar) o risco, devendo-se observar que elas não são mutuamente exclusivas8.
Opções de Tratamento Descrição

do Risco
Evitar Decisão de não iniciar ou de descontinuar a atividade, ou ainda

desfazer-se do objeto sujeito ao risco.
8

91068
Consiste em adotar medidas para reduzir a probabilidade ou a

consequência dos riscos ou até mesmo ambos.
Reduzir ou mitigar
Os procedimentos que uma organização estabelece para tratar riscos
são denominados de atividades de controle interno.
É o caso especial de se mitigar a consequência ou probabilidade de

ocorrência do risco por meio da transferência ou compartilhamento
Compartilhar ou
de uma parte do risco, mediante contratação de seguros ou
transferir
terceirização de atividades nas quais a organização não tem suficiente
domínio.
É não tomar, deliberadamente, nenhuma medida para alterar a

probabilidade ou a consequência do risco. Ocorre quando o risco está
dentro do nível de tolerância da organização (e.g. quando o risco é
considerado baixo), a capacidade para fazer qualquer coisa sobre o
Aceitar ou tolerar
risco é limitada ou, ainda, o custo de tomar qualquer medida é
desproporcional em relação ao benefício potencial (e.g. gastar mais
recursos financeiros para proteger um ativo do que o próprio valor do
ativo).
De acordo com a ISO 31000, as opções podem incluir os seguintes aspectos9:
Aspectos a) ação de evitar o risco ao se decidir não iniciar ou descontinuar a

considerados atividade que dá origem ao risco;
nas opções b) tomada ou aumento do risco na tentativa de tirar proveito de
de uma oportunidade;
tratamento
c) remoção da fonte de risco;
de riscos:
d) alteração da probabilidade;
e) alteração das consequências;
f) compartilhamento do risco com outra parte ou partes (incluindo

contratos e financiamento do risco); e
g) retenção do risco por uma decisão consciente e bem embasada.
9
(Associação Brasileira de Notas Técnicas - ABNT, 2009)

91068
Para selecionar a opção mais adequada de tratamento de riscos deve-se equilibrar, de um lado, os
custos e os esforços de implementação e, de outro, os benefícios decorrentes, relativos a requisitos
legais, regulatórios ou quaisquer outros, tais como o da responsabilidade social e o da proteção do
ambiente natural.
Várias opções de tratamento podem ser consideradas e aplicadas individualmente ou combinadas.
A organização, normalmente, beneficia-se com a adoção de uma combinação de opções de
tratamento.
Ao selecionar as opções de tratamento de riscos, convém que a organização considere os valores
e as percepções das partes interessadas, e as formas mais adequadas para se comunicar com elas.
É importante lembrar-se que o plano de tratamento deve identificar claramente a ordem de
prioridade em que cada tratamento deva ser implementado.
Pessoal, o tratamento de riscos, por si só, pode introduzir riscos, pois um risco significativo pode
derivar do fracasso ou da ineficácia das medidas de tratamento de riscos. Dessa forma, o
monitoramento precisa fazer parte do plano de tratamento de forma a garantir que as medidas
permaneçam eficazes.
O tratamento de riscos também pode introduzir riscos secundários que necessitam ser avaliados,
tratados, monitorados e analisados criticamente. Logo, esses riscos secundários devem ser
incorporados no mesmo plano de tratamento do risco original e não tratados como um novo risco.
Por fim, a ligação entre estes riscos deve ser identificada e preservada.
Planos para tratamento de riscos: têm finalidade de documentar como as opções de tratamento
escolhidas serão implementadas.
Nesse documento, deve haver informações como:
Informações contidas nos planos para tratamento de

riscos:
• as razões para a seleção das opções de tratamento, incluindo os
benefícios que se espera obter;
• os responsáveis pela aprovação do plano e os responsáveis pela
implementação do plano;
• ações propostas;
• os recursos requeridos, incluindo contingências;
• medidas de desempenho e restrições;
• requisitos para a apresentação de informações e de
monitoramento; e
• cronograma e programação.

91068
Os planos de tratamento devem estar integrados com os processos de gestão da organização e

discutidos com as partes interessadas apropriadas.
É importante que os tomadores de decisão e as outras partes interessadas estejam cientes da
natureza e da extensão do risco residual após o tratamento do risco. Pessoal, o risco residual
também deve ser documentado e submetido a monitoramento, análise crítica e, quando apropriado,
a tratamento adicional.
E o que é o risco residual?
Antes de qualquer tratamento de riscos, temos o que se chama de risco inerente. Este risco é o risco
normal do negócio ou da atividade. Depois de termos identificado e tratado o risco, ele poderá ser
reduzido.
O risco que “sobrar” depois desse tratamento é o que se chama de “risco residual”.
Risco Inerente Tratamento Risco Residual
Monitoramento e análise crítica
O monitoramento e a análise crítica devem ser planejados como parte do processo de gestão de
riscos. Nessa etapa, deve ocorrer regularmente checagem ou vigilância. O monitoramento e a
análise crítica podem ser periódicos ou acontecer em resposta a um fato específico.
As responsabilidades relativas ao monitoramento e à análise crítica são claramente definidas e a
abrangência se dá em todos os aspectos do processo da gestão de riscos com a finalidade de:
 Garantir que os controles sejam eficazes e eficientes no projeto e na operação;
 Obter informações adicionais para melhorar o processo de avaliação dos riscos;
 Analisar os eventos (incluindo os “quase incidentes”), mudanças, tendências, sucessos e
fracassos e aprender com eles;

91068
 Detectar mudanças no contexto externo e interno, incluindo alterações nos critérios de risco
e no próprio risco, as quais podem requerer revisão dos tratamentos dos riscos e suas
prioridades; e
 Identificar os riscos emergentes.
O progresso na implementação dos planos de tratamento de riscos proporciona uma medida de

desempenho.
Os resultados podem ser incorporados na gestão, na mensuração e na apresentação de informações
(tanto externa quanto internamente) a respeito do desempenho global da organização.
E o que fazer com os resultados do monitoramento e da análise crítica? Eles devem ser:
Utilizados como entrada

Registrados e reportados
para a análise crítica da
externa e internamente
estrutura de gestão de
conforme apropriado;
riscos.
Os registros do processo de gestão de riscos são importantes, pois as atividades de gestão de riscos
devem ser rastreáveis. Tais registros fornecem os fundamentos para a melhoria dos métodos e
ferramentas, bem como de todo o processo.
Pessoal, e o que deve ser levado em consideração nas decisões relativas à criação de registros?
Vejamos no quadro abaixo:

91068
Decisões a a necessidade da organização de aprendizado contínuo;

serem
consideradas os benefícios da reutilização de informações para fins de gestão;
nas criações
de registros.
os custos e os esforços envolvidos na criação e manutenção de
registros;
as necessidades de registros legais, regulatórios e operacionais;
o método de acesso, facilidade de recuperação e meios de

armazenamento;
o período de retenção; e
a sensibilidade das informações
Atributos
A Norma ABNT NBR ISO 31000 traz, em um anexo, uma lista de atributos de uma gestão de risco
avançada. Essa lista representa um nível alto de desempenho para gerenciar riscos. Vejamos quais
são esses atributos:
1 - Melhoria contínua
A ênfase é colocada sobre a melhoria contínua na gestão de riscos através do estabelecimento de

metas de desempenho organizacional, através da mensuração e de análises críticas, além das
subsequentes mudanças de processos, sistemas, recursos, capacidade e habilidades.
Isso pode ser indicado pela existência de metas explícitas de desempenho contra as quais o
desempenho da gerência individual e da organização é medido. O desempenho da organização pode
ser publicado e comunicado.
Normalmente, haverá pelo menos uma análise crítica anual de desempenho e, em seguida, uma
revisão de processos e o estabelecimento de objetivos de desempenho revisados para o período
seguinte.
Esta avaliação de desempenho da gestão dos riscos é parte integrante do sistema corporativo de
avaliação e mensuração do desempenho de departamentos e indivíduos.

91068
2 - Responsabilização integral pelos riscos
Formas avançadas de gestão de riscos incluem uma forma de responsabilização abrangente,

integralmente aceita e muito bem definida, relativa aos riscos, controles e tarefas do tratamento
dos riscos. Indivíduos designados aceitam suas responsabilidades, são adequadamente qualificados,
e possuem recursos adequados para verificar controles, monitorar riscos, melhorar os controles, e
comunicar-se eficazmente com as partes interessadas internas e externas sobre os riscos e sua
gestão.
Isto pode ser indicado quando todos os membros de uma organização estão totalmente conscientes
dos riscos, controles e tarefas para os quais são responsáveis. Normalmente, isso estará registrado
em descrições de cargo/posição, em bancos de dados ou sistemas de informação. Convém que a
definição das funções e responsabilidades relativas à gestão dos riscos faça parte de todos os
programas de formação da organização.
A organização assegura que aqueles responsáveis estão equipados para desempenhar
completamente as suas funções, fornecendo-lhes a autoridade, tempo, treinamento, recursos e
habilidades suficientes para assumirem suas responsabilidades.
3 - Aplicação da gestão de riscos em todas as tomadas de decisão
O processo de tomada de decisão dentro da organização, seja qual for o nível de sua importância e
significância, envolve explicitamente a consideração dos riscos e aplicação da gestão de riscos em
algum grau apropriado.
Isto pode ser indicado por registros de reuniões e decisões que demonstrem que discussões
explícitas sobre os riscos ocorreram. Além disso, convém que seja possível ver que todos os
componentes da gestão de riscos estão representados dentro dos processos-chave para a tomada
de decisão na organização, por exemplo, para as decisões sobre a alocação de capital, sobre grandes
projetos e sobre reestruturação e mudanças organizacionais.
Por estas razões, uma base sólida de gestão de riscos é vista dentro da organização como fornecendo
a base para a governança eficaz.
4 - Comunicação contínua
Formas avançadas de gestão de riscos incluem comunicações contínuas com partes interessadas
internas e externas, incluindo informativos ou relatórios abrangentes e frequentes a respeito do
desempenho da gestão de riscos, como parte da boa governança.
Isto pode ser indicado pela comunicação com as partes interessadas como parte integrante e
essencial da gestão de riscos. A comunicação é corretamente vista como um processo bidirecional,

91068
de tal forma que decisões bem informadas possam ser tomadas sobre o nível de riscos e sobre a
necessidade de tratamento, de acordo com critérios de risco abrangentes e adequadamente
estabelecidos.
Reportes externos e internos, abrangentes e frequentes, sobre os riscos significativos e sobre o
desempenho da gestão de riscos, contribuem substancialmente para uma governança eficaz dentro
de uma organização.
5 - Integração total na estrutura de governança da organização
A gestão de riscos é vista como central nos processos de gestão da organização, de tal forma que os
riscos sejam considerados em termos do efeito da incerteza sobre os objetivos. O processo e a
estrutura de governança são baseados na gestão de riscos. A gestão de riscos eficaz é considerada
por gestores como sendo essencial para a realização dos objetivos da organização.
Isto é indicado pela linguagem dos gestores e por importantes materiais escritos na organização que
utilizam o termo "incerteza" em conexão com riscos. Esse atributo normalmente também aparece
refletido nas declarações de política da organização, em especial as relativas à gestão de riscos.
Normalmente, esse atributo é verificado por meio de entrevistas com gestores e da evidência de
suas ações e declarações.
MODELO COSO I E II
As bases da gestão de riscos moderna foram estabelecidas nos anos 90 com a publicação do guia
Internal Control - Integrated Framework (COSO I), pelo Committee of Sponsoring Organizations of
the Treadway Commission – COSO.
Ele consolidou a ideia de gestão de risco corporativo e apresentou um conjunto de princípios e boas
práticas de gestão e controle interno10.
Para o COSO I11, o controle interno é um processo que tem por objetivo mitigar riscos, com vistas
ao alcance dos objetivos.
10
11
Fonte: https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de-riscos/politica-de-
gestao-de-riscos/modelos-de-referencia.htm

91068
Esse modelo foi atualizado em 2004, quando o COSO publicou o Enterprise Risk Management -
Integrated Framework (conhecido como COSO-ERM ou COSO II), tendo como foco a gestão de riscos
corporativos.
O modelo é apresentado na forma de matriz tridimensional (cubo), demonstrando uma visão
integrada dos componentes que os gestores precisam adotar para gerenciar os riscos de modo
eficaz, no contexto dos objetivos e da estrutura de cada organização12.
Figure 3 - Modelo de Gestão de Riscos previsto no COSO II. Fonte: (Tribunal de Contas da União - TCU, 2018)
Vejam que a face superior do cubo descreve as categorias de objetivos que são comuns a todas as
instituições e que a gestão de riscos deve fornecer segurança razoável de seu alcance.
Já a face lateral esquerda relaciona os componentes que devem estar presentes e funcionando de
modo integrado à rotina da organização para que a gestão de riscos seja eficaz.
Finalmente, a face lateral direita representa a estrutura organizacional, os diversos níveis e/ou
funções da organização, incluindo projetos, processos e demais atividades que concorrem para a
realização dos seus objetivos.
Segundo o Manual de Gerenciamento de Riscos Corporativos - Estrutura Integrada (COSO II), do
Committee of Sponsoring Organization:
12

91068
“O gerenciamento de riscos corporativos é constituído de oito componentes inter-relacionados, que

se originam com base na maneira como a administração gerencia a organização, e que se integram
ao processo de gestão. “
De acordo com o COSO II, os oito componentes inter-relacionados são os seguintes:
Componentes Descrição
A administração estabelece uma filosofia quanto ao tratamento de

riscos e estabelece um limite de apetite a risco. O ambiente interno
Ambiente Interno determina os conceitos básicos sobre a forma como os riscos e os
controles serão vistos e abordados pelos empregados da
organização.
Os objetivos devem existir antes que a administração identifique as

Fixação de Objetivos
situações em potencial que poderão afetar a realização destes.
Os eventos em potencial que podem impactar a organização devem

Identificação de Eventos ser identificados, uma vez que possíveis eventos, gerados por fontes
internas ou externas, afetem à realização dos objetivos.
Os riscos identificados são analisados com a finalidade de determinar

Avaliação de Riscos a forma como serão administrados e, depois, serão associados aos
objetivos que podem influenciar.
Os empregados identificam e avaliam as possíveis respostas e os

riscos, assim como busca evitar, aceitar, reduzir ou compartilhar eles.
Resposta a Risco
Já a administração estratégica seleciona o conjunto de ações
destinadas a alinhar os riscos às respectivas tolerâncias ao risco.
São políticas e procedimentos pré-estabelecidos e implementados

Atividades de Controle para assegurar as respostas aos riscos selecionados pela
administração e, assim sejam executadas com plena eficácia.
São determinadas pela forma e prazo no qual essas informações

Informações e
relevantes são identificadas, colhidas e comunicadas de modo que
Comunicações
permita as pessoas a cumprir com suas atribuições.
Ocorre pela integridade do processo de gerenciamento de riscos

corporativos, sendo monitorada as modificações necessárias para
Monitoramento serem realizadas de maneira adequada. Assim, a organização poderá
reagir ativamente e mudar segundo cada circunstância encontrada
no ambiente organizacional. Inclusive, veja que o monitoramento é

91068
realizado por meio de atividades gerenciais permanentes e avaliações

independentes ou ambas atividades concomitantes.
Essa estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os objetivos

de uma organização e são classificados em quatro categorias:
Objetivos – COSO II Descrição
Estratégicos São as metas gerais, alinhadas com o que suportem à sua missão.
Operações utilização eficaz e eficiente dos recursos.
Comunicação confiabilidade de relatórios.
Conformidade (compliance) cumprimento de leis e regulamentos aplicáveis.
Infelizmente, algumas bancas ainda cobram os objetivos estabelecidos no COSO I, que são os
seguintes:
Objetivos – COSO I Descrição
Esses objetivos relacionam-se à eficácia e à eficiência das operações da

Operacional entidade, inclusive as metas de desempenho financeiro e operacional e a
salvaguarda de perdas de ativos.
Esses objetivos relacionam-se a divulgações financeiras e não financeiras,

internas e externas, podendo abranger os requisitos de confiabilidade,
Divulgação oportunidade, transparência ou outros termos estabelecidos pelas
autoridades normativas, órgãos normatizadores reconhecidos, ou às
políticas da entidade..
Esses objetivos relacionam-se ao cumprimento de leis e regulamentações

Conformidade
às quais a entidade está sujeita.
Vale lembrar ainda a relação existente entre controle interno, gestão de riscos corporativos e a
governança corporativa, como bem definido no COSO II: o controle interno é parte da gestão dos
riscos corporativos, que por sua parte integra a estrutura de governança de uma instituição.

91068
Controle
Interno
Gestão de
Riscos
Corporativos
Governança
COSO ERM
A nova versão, COSO ERM – Integrating with Strategy and Performance, também denominado como
Framework, destaca a importância de considerar os riscos tanto no processo de estabelecimento da
estratégia quanto na melhoria da performance13.
13
Fonte: https://portal.tcu.gov.br/planejamento-governanca-e-gestao/gestao-de-riscos/politica-de-
gestao-de-riscos/modelos-de-referencia.htm

91068
Figure 4 - Modelo COSO - ERM
Este novo modelo aprimora o alinhamento da gestão de riscos com a gestão do desempenho,
explorando como as práticas de gestão de riscos apoiam a identificação e avaliação de riscos que
impactam o desempenho, elevando a necessidade de definir variações aceitáveis no desempenho,
também denominadas tolerâncias a risco, em nível de princípio14.
GESTÃO DE RISCOS EM PROJETOS
Um bom gerente de projetos deve mapear os principais riscos inerentes ao projeto e gerenciá-los.
De acordo com o PMBOK, os principais processos do gerenciamento dos riscos de um projeto são 15:
 Planejar o gerenciamento dos riscos — O processo de definição de como conduzir as
atividades de gerenciamento dos riscos de um projeto.
 Identificar os riscos — O processo de determinação dos riscos que podem afetar o projeto e
de documentação de suas características.
 Realizar a análise qualitativa dos riscos — O processo de priorização dos riscos para análise
ou ação adicional através da avaliação e combinação de sua probabilidade de ocorrência e
impacto.
14
15
(Um guia do conhecimento em gerenciamento de projetos (Guia PMBOK))

91068
 Realizar a análise quantitativa dos riscos — O processo de analisar numericamente o

efeito dos riscos identificados, nos objetivos gerais do projeto.
 Planejar as respostas aos riscos — O processo de desenvolvimento de opções e ações para
aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto.
 Monitorar e controlar os riscos — O processo de implementação de planos de respostas aos
riscos, acompanhamento dos riscos identificados, monitoramento dos riscos residuais,
identificação de novos riscos e avaliação da eficácia dos processos de tratamento dos riscos
durante todo o projeto.
Assim sendo, devemos planejar como iremos gerenciar os riscos, identificar os riscos potenciais,
fazer análises quantitativas e qualitativas destes riscos, planejar quais serão as respostas para cada
tipo de risco e monitorar todo o processo.
Planejar o Gerenciamento dos Riscos
O gerenciamento de um projeto envolve o desenvolvimento de um plano de gerenciamento dos

riscos desse projeto. Isto envolve uma série de técnicas e metodologias e a participação da equipe
do projeto em reuniões para identificar e qualificar os riscos de acordo com seu impacto esperado
no projeto.
Um plano de gerenciamento abrange, de acordo com o PMBOK, as seguintes informações 16:
 Metodologia – a definição de quais fora as técnicas utilizadas e os dados coletados para
elaborar o gerenciamento de riscos;
 Papéis e responsabilidades – Inclui a definição de quem será o líder e quais serão os membros
das equipes de trabalho, além da responsabilidade de cada um nesse processo;
 Orçamento – abrange os recursos necessários e previstos para o gerenciamento dos riscos
do projeto;
 Prazos – a definição de quando e em qual periodicidade este gerenciamento será executado;
 Categorias de Riscos – Inclui uma estrutura para a hierarquização dos riscos do projeto.
Normalmente, envolve a criação de uma estrutura analítica dos riscos (EAR);
 Definições de Probabilidade e Impactos dos Riscos – devemos incluir uma série de níveis de
probabilidades e de impactos esperados dos riscos, para facilitar a análise qualitativa dos
riscos;
 Matriz de Probabilidade e Impacto – Os riscos devem ser priorizados de acordo com seu
impacto esperado nos objetivos do projeto. Com isto, classificamos os riscos de acordo com
sua importância (baixa, média, alta);
 Tolerâncias das partes – aqui incluímos quais são as tolerâncias aceitáveis de cada parte
interessada;
 Formato dos Relatórios – define como os relatórios serão formatados, classificados e
organizados;
16

91068
 Acompanhamento – a definição de como este processo de gerenciamento será monitorado,

reportado e auditado.
Abaixo podemos ver um exemplo de uma estrutura analítica dos riscos, ou EAR:
Gerenciamento
Externo Organizacional
do Projeto
Dependências
Estimativas Fornecedores
do Projeto
Planejamento Reguladores Recursos
Captação de
Controle Mercado recursos
financeiros
Comunicação Clientes Priorização
Clima
Figura 3 - Exemplo de uma estrutura analítica dos riscos (EAR). Baseado em: (Um guia do conhecimento em gerenciamento de
projetos (Guia PMBOK))
Identificação dos Riscos
A identificação dos riscos de um projeto é uma etapa fundamental, pois, se não sabemos quais são
os fatores a serem acompanhados, provavelmente iremos falhar no gerenciamento do risco.
Além disso, este processo não “acaba” nunca porque os riscos podem aparecer somente no meio da
execução de um projeto ou até no seu final. Assim, dizemos que este é um processo iterativo – que
está sempre sendo executado.
As principais ferramentas para identificação dos riscos são: brainstorming, técnica Delphi,
entrevistas, técnicas de diagramas (causa-efeito, fluxogramas, influência) e a análise SWOT.
O brainstorming é, basicamente, uma técnica que envolve reuniões com a equipe do projeto para o
desenvolvimento ou a geração de alternativas e novas ideias. O conceito é o de deixar a equipe

91068
“livre” para contribuir com suas ideias, sem preocupação com a qualidade destas sugestões. Após o
momento em que anotamos as diversas ideias, fazemos uma análise mais profunda sobre o mérito
de cada sugestão.
Já a técnica Delphi envolve a participação de especialistas no tema a ser estudado, com uma busca
por se gerar um “consenso” das opiniões destes técnicos “experts”. Muitas vezes, esse processo
envolve o envio de questionários aos especialistas e busca reduzir a parcialidade nas opiniões.
As entrevistas envolvem a participação da própria equipe do projeto, bem como os stakeholders
envolvidos, para que possamos identificar os riscos potenciais no projeto.
Já a utilização da técnica dos diagramas pode facilitar ao gerente de projetos a visualização de
processos críticos, causas possíveis para um problema, dentre outros fatores. Para isso, existem os
diagramas de Ishikawa (ou causa-efeito), os fluxogramas (que servem para a análise de processos),
dentre outros.
==163bc==
Finalmente, a análise SWOT (ou FOFA) é uma técnica que permite a análise das forças e fraquezas
internas e das ameaças e oportunidades externas. Basicamente, trata-se de uma ferramenta de
diagnóstico estratégico do projeto.
Análises Quantitativas e Qualitativas
A análise qualitativa envolve a priorização dos riscos de acordo com sua probabilidade e impacto
nos objetivos do projeto, o tempo necessário para lidar com o risco, bem como a tolerância dos
stakeholders ao risco envolvido.
Um risco pode ser muito provável, por exemplo, mas ter um baixo impacto nos resultados. Já outro
risco pode ser pouco provável, mas se ocorrer impactar muito no projeto. Para priorizar os riscos,
utilizamos diversas ferramentas, como a matriz de probabilidade e impacto.
De acordo com o PMBOK17,
“Essa matriz especifica as combinações de probabilidade e impacto que resultam em uma
classificação de riscos como de prioridade baixa, moderada e alta. ”
Desta maneira, a matriz de probabilidade e impacto propicia a priorização dos riscos de acordo com
os fatores: probabilidade, impacto, tempo e tolerância dos stakeholders.
Após a análise qualitativa, alguns gestores de projeto fazem também a análise quantitativa. Esta
análise trata de dar números aos riscos priorizados na análise qualitativa. Muitas vezes, a
organização precisa quantificar o impacto dos riscos envolvidos, por diversos motivos.
De acordo com o PMBOK,
17

91068
“o processo de realizar a análise quantitativa dos riscos analisa o efeito desses eventos de riscos e pode ser usado para
atribuir uma classificação numérica a esses riscos individualmente ou para avaliar o efeito agregado de todos os riscos que
afetam o projeto.”
Desse modo, a análise quantitativa não é, muitas vezes, necessária, pois pode demandar muito
tempo e custo para ser realizada. Dentre as técnicas utilizadas para essa análise, temos: as
entrevistas, as distribuições de probabilidade, as análises de sensibilidade, a análise do valor
monetário esperado e a modelagem e a simulação (técnica de Monte Carlo).
Respostas aos Riscos
As respostas aos riscos, ou estratégias, são diversas e dependem da natureza positiva ou negativa
destes riscos. Os riscos negativos envolvem as seguintes estratégias:
 Eliminação – neste caso, buscamos alterar o planejamento do projeto para afastar
totalmente a possibilidade deste risco. A alteração do local de um evento, por exemplo,
poderia eliminar um risco de chuva;
 Transferência – Esta estratégia não elimina o risco, mas passa sua responsabilidade para um
terceiro, que deverá gerenciar o risco. Isto é muito comum quando estamos nos referindo
aos riscos financeiros de um projeto;
 Mitigação – envolve a busca pela redução dos riscos envolvidos em um projeto. A compra de
um serviço em um fornecedor mais confiável seria um exemplo deste tipo de estratégia;
 Aceitação – nestes casos, a organização não consegue alterar o planejamento do projeto ou
não existe estratégia alternativa para lidar com este risco. Muitas vezes, envolve o
estabelecimento de reservas de contingência para lidar com estes riscos.
Já as estratégias para lidar com os riscos “positivos” são as seguintes:
 Exploração – neste caso, o gerente de projeto não só identifica o risco, mas garantir que este
seja aproveitado;
 Compartilhamento – muitas vezes, a organização não tem os recursos ou o know-how para
aproveitar as oportunidades. Neste caso, passamos à um terceiro o gerenciamento deste
risco;
 Melhoria – nesta estratégia buscamos aumentar as chances de que uma oportunidade
apareça, como o aumento de recursos em uma etapa do projeto, por exemplo;
 Aceitação – nesta estratégia, a organização não deixa de desejar o aparecimento deste risco
positivo, mas também não fará nenhuma ação para que isto ocorra.
Assim sendo, como vimos, nem sempre o gerenciamento do projeto envolve estratégias “ativas”
para atuação sobre os riscos. Muitas vezes, a organização tem uma postura “passiva” em relação
aos riscos. Isto pode ocorrer por conta da inevitabilidade de certos riscos ou de sua pouca
importância em relação aos objetivos.

91068
QUESTÕES COMENTADAS
1. (UFU – UFU/MG – ADMINISTRADOR - 2019)

Um dos mecanismos para o exercício da governança pública é o controle, que compreende
processos estruturados para mitigar os possíveis riscos que possam comprometer o alcance
dos objetivos institucionais, garantindo a execução ordenada, ética, econômica, eficiente e
eficaz das atividades da organização, com preservação da legalidade e da economicidade do
dispêndio dos recursos públicos.
Com relação à gestão de riscos e a controles internos, assinale a alternativa correta
a) Os controles internos devem ser estabelecidos de forma independente dos riscos, pois suas
causas, fontes, consequências e impactos desses riscos ainda não deverão ser considerados.
b) Os resultados da gestão de riscos não devem ser utilizados para apoio à melhoria contínua
do desempenho e dos processos de gerenciamento de risco, de controle e de governança, pois
podem trazer vícios do processo anterior.
c) O governo federal define quais são os riscos que deverão ser geridos na administração
pública federal direta, na autárquica e na fundacional, cabendo aos órgãos estabelecer
mecanismos de controle interno e de gestão de riscos.
d) A gestão dos riscos deve ser integrada ao planejamento e ao desdobramento de certas
atividades, assim como a todo processo ou projeto nos diferentes níveis organizacionais, dos
quais se destacam à execução da estratégia como ao alcance dos objetivos institucionais.
Comentários
A letra A está errada ao dizer que a gestão de riscos deverá estar separada da atividade de controle
interno, pois ela deverá englobar a atividade de gestão de riscos. Já a letra B erra ao dizer que a
gestão de riscos não deve ser utilizada na tomada de decisão.
A letra C está também errada porque cada órgão ou entidade deverá identificar, gerenciar e até
controlar os riscos das suas respectivas atividades. Finalmente, a letra D está certa e é o nosso
gabarito.
Gabarito: D
2. (IADES – CORREIOS – ENGENHEIRO - 2017)

91068
Entre os principais elementos do processo de gerenciamento de riscos está o de comparar os

níveis estimados de risco diante de critérios preestabelecidos e buscar um equilíbrio entre os
benefícios potenciais e os resultados adversos. Assinale a alternativa que define tal processo.
a) Estabelecimento dos contextos.
b) Avaliação dos riscos.
c) Identificação dos riscos.
d) Tratamento dos riscos.
e) Monitoramento e análise crítica.
Comentários
O contexto é o ambiente em que iremos atuar, seja ele interno ou externo. A letra A está errada. Já
a letra B está perfeita. A avaliação de riscos envolve comparar o nível de risco encontrado durante
o processo de análise com os critérios de risco estabelecidos quando o contexto foi considerado.
Com base nesta comparação, a necessidade do tratamento pode ser considerada.
A identificação dos riscos busca gerar uma lista abrangente de riscos baseada nestes eventos que
possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos. A letra C está
errada.
O tratamento de riscos envolve a seleção de uma ou mais opções para modificar os riscos e a
implementação dessas opções.
Finalmente, o monitoramento e a análise crítica devem ser planejados como parte do processo de
gestão de riscos. Nessa etapa, deve ocorrer regularmente checagem ou vigilância. O monitoramento
e a análise crítica podem ser periódicos ou acontecer em resposta a um fato específico.
Gabarito: B
3. (UFG – UFG – AUDITOR - 2017)

A gestão de riscos refere-se ao processo de aplicação sistemática de políticas, procedimentos
e práticas de gestão para as atividades de comunicação, estabelecimento do contexto,
avaliação, tratamento, monitoramento e análise crítica dos riscos. A gestão de riscos envolve
também a contínua avaliação da eficácia dos controles internos implantados na organização
para
a) uniformizar os riscos gerenciais.
b) mitigar os riscos relevantes.
c) eliminar os riscos críticos.
d) corrigir os riscos inerentes.

91068
Comentários
A questão aborda o tratamento aos riscos. As opções de tratamento de riscos incluem evitar, reduzir
(mitigar), transferir (compartilhar) e aceitar (tolerar) o risco.
Quando estamos buscando reduzir ou mitigar os riscos, iremos adotar medidas para reduzir a
probabilidade ou a consequência dos riscos ou até mesmo ambos.
Os procedimentos que uma organização estabelece para tratar riscos são denominados de
atividades de controle interno.
Gabarito: B
4. (FEPESE – CELESC – ADMINISTRADOR - 2018)

A Norma ISO 31000 tem como eixo central especificamente qual destes assuntos?
a) Gestão Ambiental.
b) Gestão Sustentável.
c) Gestão de Riscos no âmbito das organizações.
d) Redução de desperdícios na operação das empresas.
e) Qualidade no Processo Produtivo.
Comentários
A norma ABNT NBR ISO 31000 estabelece alguns princípios para tornar eficaz a gestão de riscos.
Além disso, ela recomenda que as organizações desenvolvam, implementem e melhorem
continuamente uma estrutura cuja finalidade é integrar o processo para gerenciar riscos na
governança, estratégia e planejamento, gestão, processos de reportar dados e resultados, políticas,
valores e cultura em toda a organização18.
Gabarito: C
5. (FEPESE - CELESC - CONTADOR - 2018)

De acordo com o Controle Interno do COSO - Framework Integrado, qual dos seguintes
componentes é projetado para garantir que os controles internos continuem a operar
efetivamente?
a) Avaliação de risco
b) Ambiente de controle
18
Fonte bibliográfica inválida especificada.

91068
c) Informação e comunicação
d) Atividades de controle
e) Monitoramento
Comentários

organização.
Resposta a Risco
Informações e
Comunicações
Monitoramento corporativos, sendo monitorada as modificações necessárias para
serem realizadas de maneira adequada. Assim, a organização poderá

91068
reagir ativamente e mudar segundo cada circunstância encontrada

Podemos ver que a banca está tratando das atividades de monitoramento.
Gabarito: E
6. (FGV – CM-SALVADOR – ANALISTA - 2018)

A estrutura integrada de controle interno e gerenciamento de risco proposta pelo Committee
Of Sponsoring Organizations of the Treadway Commission (COSO) está baseada em quatro
categorias de objetivos.
A categoria dos objetivos relacionados à sobrevivência, continuidade e sustentabilidade
organizacional é o(a):
a) comunicação;
b) conformidade;
c) desempenho;
d) estratégica;
e) operacional.
Comentários
Questão aborda uma das quatro categorias de objetivos comuns à maioria das organizações – os
objetivos operacionais, segundo o Manual de Gerenciamento de Riscos Corporativos — Estrutura
Integrada (COSO II), do Committee of Sponsoring Organization:
Essa estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar os objetivos
de uma organização e são classificados em quatro categorias:
Objetivos Descrição
Estratégicos São as metas gerais, alinhadas com o que suportem à sua missão.
Operações utilização eficaz e eficiente dos recursos.
Comunicação confiabilidade de relatórios.
Conformidade (compliance) cumprimento de leis e regulamentos aplicáveis.

91068
Ora, os termos, como: sobrevivência, continuidade e sustentabilidade estão relacionados às metas

gerais e à missão da organização.
Gabarito: D
7. (CONSULPLAN – TRF-2 – ANALISTA - 2017)

A Norma Brasileira ABNT NBR ISO/IEC 31000:2009 é responsável pela Gestão de riscos –
Princípios e diretrizes. Uma vez que todas as atividades, de qualquer organização, estão sujeitas
a riscos, e mesmo que esses riscos possam ser gerenciados de alguma forma, esta norma visa
estabelecer um número de princípios que devem ser atendidos, para que a gestão de riscos
seja mais eficaz. Como definição de risco, a Norma 31.000:2009 apresenta como “efeito da
incerteza nos objetivos”. Nesta norma estão relacionados os princípios da gestão de riscos, a
estrutura e os respectivos processos. Tomada ou aumento do risco na tentativa de tirar
proveito de uma oportunidade, alteração da probabilidade e alteração das consequências são
ações/atividades de um desses Processos. Assinale a alternativa correta que apresenta
corretamente o respectivo processo:
a) Análise de riscos.
b) Avaliação de riscos.
c) Tratamento de riscos.
d) Identificação de riscos.
Comentários
19

91068
Fases Descrição

se refere ao desenvolvimento da compreensão sobre o risco e à determinação do nível do
Análise dos riscos risco.
interessadas Comunicar riscos é fornecer as informações relativas ao risco e ao seu tratamento para todos
Podemos ver que a banca está tratando do tratamento dos riscos.

Gabarito: C
8. (FGV – TRT-12 – TÉCNICO - 2017)

O Gerente de Riscos da empresa ABC está se preparando para um congresso internacional.
Antes de fazer sua mala, ele fez o planejamento e a gestão dos riscos envolvidos na sua viagem.
Em relação à gestão de riscos, é correto afirmar que:
a) a matriz probabilidade x impacto classifica os riscos envolvidos no projeto;
b) a mitigação de um risco consiste em dividir os riscos com terceiros, por exemplo, uma
seguradora;
c) o impacto do risco é a sua probabilidade de ocorrência;
d) as estratégias de resposta ao risco são formas de reduzir sua chance de ocorrência;
e) a gestão de riscos consiste na identificação do que pode dar errado.

91068
Comentários
A análise de riscos envolve a apreciação das causas e as fontes de risco, suas consequências
positivas e negativas, e a probabilidade de que essas consequências possam ocorrer. Desta forma,
a matriz probabilidade versus impacto classifica sim os riscos. A letra A está certa.
A mitigação de riscos envolve adotar medidas para reduzir a probabilidade ou a consequência dos
riscos ou até mesmo ambos. O caso citado seria o de compartilhamento ou transferência dos riscos.
A letra C está errada, pois impacto não é o mesmo que probabilidade. A letra D está errada, pois
nem sempre temos como reduzir a probabilidade de ocorrência do risco, mas podemos transferir o
impacto para outro ente, por exemplo.
A gestão de riscos não envolve somente a identificação de riscos. Além disso, um risco não é
necessariamente algo negativo. Um risco é um aspecto futuro que apresenta algum grau de
incerteza e que pode afetar positiva ou negativamente a organização.
Gabarito: A
9. (MS CONCURSOS – CRECI 14 – CONTADOR - 2017)

Segundo o modelo COSO, o setor público, principalmente na área de auditoria, vem tratando
o controle como um processo fundamental para proteção da entidade em relação a riscos.
Nesse sentido, de acordo com esse modelo, o controle se divide nas seguintes categorias, com
exceção da alternativa:
a) da execução que estabelece a necessidade da adesão às normas legais e regulamentares
vigentes.
b) os relatórios financeiros, os relativos à veracidade e fidedignidade das demonstrações
contábeis.
c) a gestão, os relativos de avaliação de cumprimento das metas previstas no plano plurianual,
a execução dos programas de governo e dos orçamentos.
d) Operacionais, que orientados para o êxito dos resultados.
Comentários
Os objetivos estabelecidos no COSO I são os seguintes:
Objetivos – COSO I Descrição
Esses objetivos relacionam-se à eficácia e à eficiência das operações da

Operacional entidade, inclusive as metas de desempenho financeiro e operacional e a
salvaguarda de perdas de ativos.

91068
Esses objetivos relacionam-se a divulgações financeiras e não financeiras,

internas e externas, podendo abranger os requisitos de confiabilidade,
Divulgação oportunidade, transparência ou outros termos estabelecidos pelas
autoridades normativas, órgãos normatizadores reconhecidos, ou às
políticas da entidade..
Esses objetivos relacionam-se ao cumprimento de leis e regulamentações

Conformidade
às quais a entidade está sujeita.
A letra A se refere à categoria conformidade. Já a letra B refere-se à categoria divulgação.

A letra C é o gabarito da questão, pois está incorreta. Não existe a categoria “gestão” na estrutura
do COSO. Finalmente, a letra D refere-se à categoria operacional.
Gabarito: Letra C
10. (FUNDATEC – BRDE – ANALISTA - 2017)

De acordo com o Committee Of Sponsoring Organizations Of The Treadway Commission
(COSO), são componentes de gerenciamento de riscos:
a) Estrutura Organizacional, Filosofia de Gerenciamento, Classificação de Riscos e Apetite ao
Risco.
b) Atividade de Controle, Identificação de Eventos, Gestão Financeira de Liquidez e Avaliação.
c) Ambiente Interno, Fixação de Objetivos, Identificação de Eventos, Avaliação de Riscos,
Resposta aos Riscos, Atividade de Controle, Informações e Comunicações.
d) Análise de Riscos, Probabilidade e Impacto, Tolerância e Apetite ao Risco.
e) Identificação de Eventos, Avaliação de Riscos, Atividades Gerenciais Contínuas, Avaliações
Independentes e Processos Informatizados.
Comentários
A banca fez um “ctrl-c e Ctrl-v” dos componentes do COSO. Segundo o Manual de Gerenciamento
de Riscos Corporativos - Estrutura Integrada (COSO II), do Committee of Sponsoring Organization:

Ambiente Interno riscos e estabelece um limite de apetite a risco. O ambiente interno
determina os conceitos básicos sobre a forma como os riscos e os

91068

organização.
Resposta a Risco
Informações e
Comunicações
Monitoramento reagir ativamente e mudar segundo cada circunstância encontrada
Podemos ver que a banca está tratando das atividades de monitoramento.
Gabarito: Letra C
11. (IADES – EBSERH – ANALISTA - 2013)

As estratégias de gerenciamento de risco são divididas em três categorias. Uma dessas
categorias é a estratégia:
a) organizacional.
b) de minimização.

91068
c) de análise de riscos.
d) de monitoramento de riscos.
e) de automatização.
Comentários
De acordo com o TCU, as opções de tratamento de riscos incluem evitar, reduzir (mitigar), transferir
(compartilhar) e aceitar (tolerar) o risco, devendo-se observar que elas não são mutuamente
exclusivas20.
Opções de Tratamento Descrição

do Risco
Evitar Decisão de não iniciar ou de descontinuar a atividade, ou ainda

desfazer-se do objeto sujeito ao risco.
Consiste em adotar medidas para reduzir a probabilidade ou a

Reduzir ou mitigar
consequência dos riscos ou até mesmo ambos.
É o caso especial de se mitigar a consequência ou probabilidade de

ocorrência do risco por meio da transferência ou compartilhamento
Compartilhar ou
de uma parte do risco, mediante contratação de seguros ou
transferir
terceirização de atividades nas quais a organização não tem suficiente
domínio.
É não tomar, deliberadamente, nenhuma medida para alterar a

probabilidade ou a consequência do risco. Ocorre quando o risco está
dentro do nível de tolerância da organização (e.g. quando o risco é
considerado baixo), a capacidade para fazer qualquer coisa sobre o
Aceitar ou tolerar
risco é limitada ou, ainda, o custo de tomar qualquer medida é
desproporcional em relação ao benefício potencial (e.g. gastar mais
recursos financeiros para proteger um ativo do que o próprio valor do
ativo).
Poderíamos associar o termo minimizar a “reduzir” ou “mitigar”.

Gabarito: B
12. (PREFEITURA DO RIO DE JANEIRO – CGM-RJ – CONTADOR - 2015)
20

91068
É um processo conduzido em uma organização pelo conselho de administração, diretoria e

demais empregados, que consiste no estabelecimento de estratégias desenvolvidas para
identificar em toda a organização eventos capazes, em potencial, de afetá-la e administrar os
riscos de modo a mantê-los compatíveis com o apetite a risco da organização, bem como
possibilitar garantia razoável do cumprimento dos seus objetivos:
a) riscos organizacionais
b) gerenciamento de riscos corporativos
c) gerenciamento de controle interno
d) riscos no COSO
Comentários
objetivos”
Gabarito: B
13. (CESGRANRIO – TRANSPETRO – ENGENHEIRO - 2012)

Segundo a NBR ISO 31000:2009 (Gestão de Riscos – Princípios e Diretrizes), constata-se que
gestão de risco é(são)
a) a identificação dos perigos, a avaliação e o controle das perdas humanas, materiais e
ambientais.
b) o controle do prejuízo sofrido por uma organização, com garantia de ressarcimento por
seguro.
c) um processo que garante que situações causadoras de danos nunca ocorrerão.
d) atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
e) atividades que devem ser implementadas para eliminar e transferir os perigos ou reduzi-los
a níveis os mais baixos possíveis.
Comentários
21
22

91068

objetivos”
Podemos ver que as letras A e B estão muito restritas. A gestão de riscos é muito mais abrangente.
A letra C está errada também. A gestão de riscos não pode garantir que situações danosas nunca
ocorram.
A letra D está certa e é o nosso gabarito. Finalmente, a letra E trata somente dos tratamentos
possíveis dos riscos e ainda não menciona a aceitação dos riscos, um dos tratamentos possíveis.
Gabarito: Letra D

De acordo com a ABNT NBR ISO 31000 - Gestão de Riscos/ Princípios e Diretrizes, considere as
afirmativas abaixo.
I - Um risco significativo pode derivar do fracasso ou da ineficácia das medidas de tratamento
de risco.
II - A retenção do risco, por uma decisão consciente e bem embasada, pode ser uma das
alternativas para eliminação do risco.
III - As análises de risco podem ser qualitativa, semiquantitativa ou quantitativa ou uma
combinação delas.
IV - Risco é o efeito das incertezas nos objetivos.
São corretas APENAS as afirmações
a) I e II.
b) II e III.
c) III e IV.
d) I, II e IV.
e) I, III e IV.
Comentários
A primeira frase está certa. O tratamento de riscos, por si só, pode introduzir riscos, pois um risco
significativo pode derivar do fracasso ou da ineficácia das medidas de tratamento de riscos. Dessa
forma, o monitoramento precisa fazer parte do plano de tratamento de forma a garantir que as
medidas permaneçam eficazes.
A retenção do risco pode ser chamada também de aceitação do risco. Se estamos aceitando, não
podemos dizer que o risco foi eliminado. A segunda frase está errada.

91068
A terceira frase está certa. A análise de riscos pode ser realizada com diversos graus de detalhe,
dependendo do risco, da finalidade da análise e das informações, dados e recursos disponíveis.
Dependendo das circunstâncias, a análise pode ser qualitativa, semiquantitativa ou quantitativa,
ou uma combinação destas.
Estes métodos são descritos abaixo23:
Métodos Descrição
Definem o impacto, a probabilidade e o nível de risco por qualificadores
Qualitativos
como “alto”, “médio” e “baixo”, com base na percepção das pessoas.
Usam escalas numéricas previamente convencionadas para mensurar a
consequência e a probabilidade, os quais são combinados, por meio de
Semiquantitativos uma fórmula, para produzir o nível de risco. A escala pode ser linear,
logarítmica ou de outro tipo. As fórmulas também podem variar de acordo
com a necessidade e o contexto.
Estimam valores para as consequências e suas probabilidades a partir de
Quantitativos valores práticos e calculam o nível de risco a partir de unidades específicas
definidas no desenvolvimento do contexto.
Finalmente, a quarta frase está certa. De acordo com o TCU24,
Gabarito: Letra E
15. (ESAF – SUSEP – ANALISTA - 2006)

Analise as seguintes afirmações relacionadas a Gerenciamento de Riscos.
I. Um Risco Residual está diretamente relacionado ao risco gerado pela decisão de não se
envolver com uma situação de riscos.
II. O compartilhamento, com um terceiro, do prejuízo da perda em relação a um determinado
risco é um exemplo de Transferência do Risco.
III. A Otimização do Risco é o processo de se retirar benefício financeiro da ocorrência de um
risco.
IV. O Tratamento do Risco é o processo de seleção e implementação de medidas para modificar
o risco.
23
24

91068
Indique a opção que contenha todas as afirmações verdadeiras.

a) I e II
b) II e III
c) III e IV
d) I e III
e) II e IV
Comentários
A primeira frase está errada. Antes de qualquer tratamento de riscos, temos o que se chama de risco
inerente. Este risco é o risco normal do negócio ou da atividade. Depois de termos identificado e
tratado o risco, ele poderá ser reduzido. O risco que “sobrar” depois desse tratamento é o que se
chama de “risco residual”.
A segunda frase está certa. O compartilhamento seria o caso de se mitigar a consequência ou
probabilidade de ocorrência do risco por meio da transferência ou compartilhamento de uma parte
do risco, mediante contratação de seguros ou terceirização de atividades nas quais a organização
não tem suficiente domínio.
A terceira frase está errada. A otimização de riscos é um conceito relacionado à busca do maior
retorno financeiro dentro do mesmo nível de risco.
Finalmente, a quarta frase está certa e descreve o conceito de tratamento de risco.
Gabarito: E
16. (CESPE – CGE-CE – AUDITOR - 2019)

As entidades enfrentam vários riscos de origem interna e externa. Define-se risco como
a) a possibilidade de um evento ocorrer e afetar adversamente a realização dos objetivos.
b) a base para determinar a maneira como os objetivos serão alcançados.
c) as metas de desempenho financeiro e a salvaguarda de perdas de ativos.
d) um processo conduzido pela administração para garantir a realização dos objetivos.
e) os requisitos de transparência estabelecidos pelas autoridades normativas.
Comentários
25

91068

Gabarito: A
17. (CESPE – CAGE-RS – AUDITOR - 2018)

Determinado elemento do gerenciamento de riscos corporativos permite que a organização
considere até que ponto eventos em potencial podem impactar o atingimento dos objetivos.
O COSO denomina esse componente de:
a) monitoramento.
b) atividades de controle.
c) avaliação de riscos.
d) identificação de eventos.
e) informações e comunicações.
Comentários

organização.



91068
Os riscos identificados são analisados com a finalidade de

Avaliação de Riscos determinar a forma como serão administrados e, depois, serão
associados aos objetivos que podem influenciar.

Resposta a Risco


Informações e
Comunicações

Monitoramento reagir ativamente e mudar segundo cada circunstância encontrada
Veja que a avaliação de riscos é um componente que permite a organização avaliar até que ponto
os eventos em potencial podem impactar (influenciar) tanto negativamente quanto positivamente
os objetivos organizacionais estabelecidos.
Logo, a administração costuma avaliar os eventos com base em duas perspectivas: probabilidade e
grau de impacto e, geralmente, utiliza a combinação de métodos qualitativos e quantitativos para
determinar a matriz de risco tolerável (aceitável).
Gabarito: Letra C
18. (CESPE – TRE-BA – ANALISTA - 2017)

De acordo com a NBR ISO 31000:2009, no que diz respeito ao processo de gestão de riscos, a
etapa específica de apreciação das causas e fontes de riscos, suas consequências positivas e
negativas, e da probabilidade de ocorrência dessas consequências denomina-se

91068
a) identificação de riscos.
b) análise de riscos.
c) monitoramento e análise crítica.
d) avaliação de riscos.
e) estabelecimento do contexto interno.
Comentários
Fases Descrição
Refere-se ao desenvolvimento da compreensão sobre o risco e à determinação do nível do
Análise dos riscos risco. Envolve a apreciação das causas e as fontes de risco, suas consequências positivas
e negativas, e a probabilidade de que essas consequências possam ocorrer.
26

91068

interessadas Comunicar riscos é fornecer as informações relativas ao risco e ao seu tratamento para todos
Podemos ver que a questão trata da análise de riscos.

Gabarito: B
19. (CESPE – TCE-PA - ANALISTA – 2016)

Com relação ao que dispõe a NBR ISO 31000:2009 acerca da gestão de riscos, julgue o item
subsecutivo.
A gestão de riscos é uma atividade autônoma e independente de outros processos da
organização.
Comentários
A Gestão de Riscos não funciona de maneira autônoma. Ela deve estar integrada às demais
atividades e processos da organização.
Gabarito: Errada

São consideradas as circunstâncias e as necessidades da organização para se determinar se a
análise de riscos será qualitativa, quantitativa ou uma combinação dessas duas formas de
análise.
Comentários
Perfeito. A análise de riscos pode ser realizada com diversos graus de detalhe, dependendo do risco,
da finalidade da análise e das informações, dados e recursos disponíveis. Dependendo das
circunstâncias, a análise pode ser qualitativa, semiquantitativa ou quantitativa, ou uma
combinação destas.
As consequências e suas probabilidades podem ser determinadas por modelagem dos resultados de
um evento ou conjunto de eventos, ou por extrapolação a partir de estudos experimentais ou a
partir dos dados disponíveis.
As consequências podem ser expressas em termos de impactos tangíveis e intangíveis. Em alguns
casos, é necessário mais que um valor numérico ou descritor para especificar as consequências e
suas probabilidades em diferentes períodos, locais, grupos ou situações.
Gabarito: Certa

91068
21. (CESPE – FUB - ENGENHEIRO – 2016)

Se a equipe de projeto não mudar o plano de gerenciamento do projeto para tratar um risco
negativo identificado, então ela terá optado pela estratégia de mitigar o risco.
Comentários
As respostas aos riscos, ou estratégias, são diversas e dependem da natureza positiva ou negativa
destes riscos. Os riscos negativos envolvem as seguintes estratégias:
 Eliminação – neste caso, buscamos alterar o planejamento do projeto para afastar
totalmente a possibilidade deste risco. A alteração do local de um evento, por exemplo,
poderia eliminar um risco de chuva;
 Transferência – Esta estratégia não elimina o risco, mas passa sua responsabilidade para um
terceiro, que deverá gerenciar o risco. Isto é muito comum quando estamos nos referindo
aos riscos financeiros de um projeto;
 Mitigação – envolve a busca pela redução dos riscos envolvidos em um projeto. A compra de
um serviço em um fornecedor mais confiável seria um exemplo deste tipo de estratégia;
 Aceitação – nestes casos, a organização não consegue alterar o planejamento do projeto ou
não existe estratégia alternativa para lidar com este risco. Muitas vezes, envolve o
estabelecimento de reservas de contingência para lidar com estes riscos.
Como a equipe não fez nada, ela simplesmente aceitou o risco (e não mitigou).
Gabarito: errada
22. (CESPE – TCU - AUDITOR – 2015)

De acordo com a NBR ISO/IEC 31000:2009, a fim de assegurar que a gestão de riscos seja eficaz
e continue a apoiar o desempenho organizacional, convém que a organização garanta recursos
materiais irrestritos para evitar desvios em relação ao plano de gestão de riscos, que deve ser
mantido inflexível, especialmente em relação ao contexto interno da organização.
Comentários
A questão tem algumas pegadinhas que a tornam incorreta. A primeira seria dizer que a organização
garantirá recursos irrestritos. Ora, não existem recursos ilimitados. O certo seria dizer que a
organização dará recursos apropriados, adequados.
Outro termo incorreto seria o “inflexível”. Ora, a gestão de riscos é um processo que deve ser
dinâmico, deve se adequar às mudanças na instituição.
Gabarito: Errada
23. (CESPE – SUFRAMA – ANALISTA – 2014)

91068
O processo de análise qualitativa de risco em um projeto visa, basicamente, priorizar os

diversos riscos identificados.
Comentários
Perfeito. A análise qualitativa dos riscos em um projeto envolve a priorização dos riscos já
identificados, de acordo com a sua probabilidade e dano esperado.
Gabarito: correta
24. (CESPE – TJ-SE – TÉCNICO – 2014)

O risco do projeto é um evento que possui uma causa específica e, durante a execução do
projeto, produzirá efeito negativo.
Comentários
Essa questão tem uma “pegadinha”! O risco não é necessariamente algo negativo. O risco está
relacionado a alguma situação que pode ou não ocorrer. Seu impacto, entretanto, poderá ser
positivo ou negativo.
Gabarito: errada
25. (CESPE – TCE-ES - AUDITOR – 2012)

No que diz respeito ao gerenciamento dos riscos de um projeto, a matriz de probabilidade e
impacto possibilita a avaliação de cada risco de acordo com sua probabilidade de ocorrência e
impacto em algum objetivo do projeto, mas não permite a distinção dos riscos em função dos
limites de tolerância da organização.
Comentários
A questão está incorreta, pois a matriz de probabilidade e impacto não deixa de considerar a
tolerância aos riscos na priorização dos riscos.
Gabarito: errada
26. (CESPE – TRE-RJ - TÉCNICO – 2012)

Para o gerenciamento de projetos, consideram-se riscos as ameaças e oportunidades, que
podem ter impacto positivo ou negativo ao projeto.
Comentários
Perfeito. Ao contrário do “senso comum”, o risco pode ser positivo ou negativo. O risco é algo que
pode ou não ocorrer. Dentro do gerenciamento de um projeto, devemos analisar a probabilidade e
o impacto destes riscos para podermos escolher as melhores estratégias para lidar com eles.
Gabarito: correta.

91068
27. (CESPE – TRE-RJ - ANALISTA – 2012)

São opções para tratamento do risco: reduzi-lo, aceitá-lo, evitá-lo ou transferi-lo.
Comentários
Estas são realmente estratégias possíveis para o tratamento dos riscos negativos. Além destas,
existem as estratégias para o tratamento dos riscos positivos, que são: explorar, compartilhar,
melhorar e aceitar. Nesta questão a banca aceitou o “incompleto” como correto.
Gabarito: correta

A análise SWOT deve ser utilizada para avaliar o projeto a partir da identificação de pontos
fortes e pontos fracos, ou seja, identificar os riscos.
Comentários
A análise Swot realmente é uma técnica para identificação dos riscos, bem como a técnica Delphi,
as entrevistas e o brainstorming.
Gabarito: correta
29. (CESPE – BANCO DA AMAZÔNIA - TÉCNICO – 2010)

Projetos de alta qualidade devem entregar o produto, o serviço ou o resultado solicitado
dentro do escopo, no prazo e dentro do orçamento. Um risco do projeto é um evento ou
condição que, apesar de certo e conhecido, é associado a um ou mais dos objetivos do projeto
e produzirá um efeito positivo ou negativo.
Comentários
A questão tem somente um errinho “besta”, pois um risco não é uma situação conhecida e certa,
naturalmente. Um risco é um evento ou condição incerto. O próprio nome já indica que pode ou não
ocorrer.
Gabarito: errada

91068
LISTA DE QUESTÕES COMENTADAS NA AULA
1. (UFU – UFU/MG – ADMINISTRADOR - 2019)

Um dos mecanismos para o exercício da governança pública é o controle, que compreende
processos estruturados para mitigar os possíveis riscos que possam comprometer o alcance
dos objetivos institucionais, garantindo a execução ordenada, ética, econômica, eficiente e
eficaz das atividades da organização, com preservação da legalidade e da economicidade do
dispêndio dos recursos públicos.
Com relação à gestão de riscos e a controles internos, assinale a alternativa correta
a) Os controles internos devem ser estabelecidos de forma independente dos riscos, pois suas
causas, fontes, consequências e impactos desses riscos ainda não deverão ser considerados.
b) Os resultados da gestão de riscos não devem ser utilizados para apoio à melhoria contínua
do desempenho e dos processos de gerenciamento de risco, de controle e de governança, pois
podem trazer vícios do processo anterior.
c) O governo federal define quais são os riscos que deverão ser geridos na administração
pública federal direta, na autárquica e na fundacional, cabendo aos órgãos estabelecer
mecanismos de controle interno e de gestão de riscos.
d) A gestão dos riscos deve ser integrada ao planejamento e ao desdobramento de certas
atividades, assim como a todo processo ou projeto nos diferentes níveis organizacionais, dos
quais se destacam à execução da estratégia como ao alcance dos objetivos institucionais.
2. (IADES – CORREIOS – ENGENHEIRO - 2017)

Entre os principais elementos do processo de gerenciamento de riscos está o de comparar os
níveis estimados de risco diante de critérios preestabelecidos e buscar um equilíbrio entre os
benefícios potenciais e os resultados adversos. Assinale a alternativa que define tal processo.
a) Estabelecimento dos contextos.
b) Avaliação dos riscos.
c) Identificação dos riscos.
d) Tratamento dos riscos.
e) Monitoramento e análise crítica.
3. (UFG – UFG – AUDITOR - 2017)

91068
A gestão de riscos refere-se ao processo de aplicação sistemática de políticas, procedimentos

e práticas de gestão para as atividades de comunicação, estabelecimento do contexto,
avaliação, tratamento, monitoramento e análise crítica dos riscos. A gestão de riscos envolve
também a contínua avaliação da eficácia dos controles internos implantados na organização
para
a) uniformizar os riscos gerenciais.
b) mitigar os riscos relevantes.
c) eliminar os riscos críticos.
d) corrigir os riscos inerentes.
4. (FEPESE – CELESC – ADMINISTRADOR - 2018)

A Norma ISO 31000 tem como eixo central especificamente qual destes assuntos?
a) Gestão Ambiental.
b) Gestão Sustentável.
c) Gestão de Riscos no âmbito das organizações.
d) Redução de desperdícios na operação das empresas.
e) Qualidade no Processo Produtivo.
5. (FEPESE - CELESC - CONTADOR - 2018)

De acordo com o Controle Interno do COSO - Framework Integrado, qual dos seguintes
componentes é projetado para garantir que os controles internos continuem a operar
efetivamente?
a) Avaliação de risco
b) Ambiente de controle
c) Informação e comunicação
d) Atividades de controle
e) Monitoramento
6. (FGV – CM-SALVADOR – ANALISTA - 2018)

91068
A estrutura integrada de controle interno e gerenciamento de risco proposta pelo Committee

Of Sponsoring Organizations of the Treadway Commission (COSO) está baseada em quatro
categorias de objetivos.
A categoria dos objetivos relacionados à sobrevivência, continuidade e sustentabilidade
organizacional é o(a):
a) comunicação;
b) conformidade;
c) desempenho;
d) estratégica;
e) operacional.
7. (CONSULPLAN – TRF-2 – ANALISTA - 2017)

A Norma Brasileira ABNT NBR ISO/IEC 31000:2009 é responsável pela Gestão de riscos –
Princípios e diretrizes. Uma vez que todas as atividades, de qualquer organização, estão sujeitas
a riscos, e mesmo que esses riscos possam ser gerenciados de alguma forma, esta norma visa
estabelecer um número de princípios que devem ser atendidos, para que a gestão de riscos
seja mais eficaz. Como definição de risco, a Norma 31.000:2009 apresenta como “efeito da
incerteza nos objetivos”. Nesta norma estão relacionados os princípios da gestão de riscos, a
estrutura e os respectivos processos. Tomada ou aumento do risco na tentativa de tirar
proveito de uma oportunidade, alteração da probabilidade e alteração das consequências são
ações/atividades de um desses Processos. Assinale a alternativa correta que apresenta
corretamente o respectivo processo:
a) Análise de riscos.
b) Avaliação de riscos.
c) Tratamento de riscos.
d) Identificação de riscos.
8. (FGV – TRT-12 – TÉCNICO - 2017)

O Gerente de Riscos da empresa ABC está se preparando para um congresso internacional.
Antes de fazer sua mala, ele fez o planejamento e a gestão dos riscos envolvidos na sua viagem.
Em relação à gestão de riscos, é correto afirmar que:
a) a matriz probabilidade x impacto classifica os riscos envolvidos no projeto;

91068
b) a mitigação de um risco consiste em dividir os riscos com terceiros, por exemplo, uma
seguradora;
c) o impacto do risco é a sua probabilidade de ocorrência;
d) as estratégias de resposta ao risco são formas de reduzir sua chance de ocorrência;
e) a gestão de riscos consiste na identificação do que pode dar errado.
9. (MS CONCURSOS – CRECI 14 – CONTADOR - 2017)

Segundo o modelo COSO, o setor público, principalmente na área de auditoria, vem tratando
o controle como um processo fundamental para proteção da entidade em relação a riscos.
Nesse sentido, de acordo com esse modelo, o controle se divide nas seguintes categorias, com
exceção da alternativa:
a) da execução que estabelece a necessidade da adesão às normas legais e regulamentares
vigentes.
b) os relatórios financeiros, os relativos à veracidade e fidedignidade das demonstrações
contábeis.
c) a gestão, os relativos de avaliação de cumprimento das metas previstas no plano plurianual,
a execução dos programas de governo e dos orçamentos.
d) Operacionais, que orientados para o êxito dos resultados.
10. (FUNDATEC – BRDE – ANALISTA - 2017)

De acordo com o Committee Of Sponsoring Organizations Of The Treadway Commission
(COSO), são componentes de gerenciamento de riscos:
a) Estrutura Organizacional, Filosofia de Gerenciamento, Classificação de Riscos e Apetite ao
Risco.
b) Atividade de Controle, Identificação de Eventos, Gestão Financeira de Liquidez e Avaliação.
c) Ambiente Interno, Fixação de Objetivos, Identificação de Eventos, Avaliação de Riscos,
Resposta aos Riscos, Atividade de Controle, Informações e Comunicações.
d) Análise de Riscos, Probabilidade e Impacto, Tolerância e Apetite ao Risco.
e) Identificação de Eventos, Avaliação de Riscos, Atividades Gerenciais Contínuas, Avaliações
Independentes e Processos Informatizados.
11. (IADES – EBSERH – ANALISTA - 2013)

91068
As estratégias de gerenciamento de risco são divididas em três categorias. Uma dessas

categorias é a estratégia:
a) organizacional.
b) de minimização.
c) de análise de riscos.
d) de monitoramento de riscos.
e) de automatização.
12. (PREFEITURA DO RIO DE JANEIRO – CGM-RJ – CONTADOR - 2015)

É um processo conduzido em uma organização pelo conselho de administração, diretoria e
demais empregados, que consiste no estabelecimento de estratégias desenvolvidas para
identificar em toda a organização eventos capazes, em potencial, de afetá-la e administrar os
riscos de modo a mantê-los compatíveis com o apetite a risco da organização, bem como
possibilitar garantia razoável do cumprimento dos seus objetivos:
a) riscos organizacionais
b) gerenciamento de riscos corporativos
c) gerenciamento de controle interno
d) riscos no COSO

Segundo a NBR ISO 31000:2009 (Gestão de Riscos – Princípios e Diretrizes), constata-se que
gestão de risco é(são)
a) a identificação dos perigos, a avaliação e o controle das perdas humanas, materiais e
ambientais.
b) o controle do prejuízo sofrido por uma organização, com garantia de ressarcimento por
seguro.
c) um processo que garante que situações causadoras de danos nunca ocorrerão.
d) atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
e) atividades que devem ser implementadas para eliminar e transferir os perigos ou reduzi-los
a níveis os mais baixos possíveis.

91068

De acordo com a ABNT NBR ISO 31000 - Gestão de Riscos/ Princípios e Diretrizes, considere as
afirmativas abaixo.
I - Um risco significativo pode derivar do fracasso ou da ineficácia das medidas de tratamento
de risco.
II - A retenção do risco, por uma decisão consciente e bem embasada, pode ser uma das
alternativas para eliminação do risco.
III - As análises de risco podem ser qualitativa, semiquantitativa ou quantitativa ou uma
combinação delas.
IV - Risco é o efeito das incertezas nos objetivos.
São corretas APENAS as afirmações
a) I e II.
b) II e III.
c) III e IV.
d) I, II e IV.
e) I, III e IV.
15. (ESAF – SUSEP – ANALISTA - 2006)

Analise as seguintes afirmações relacionadas a Gerenciamento de Riscos.
I. Um Risco Residual está diretamente relacionado ao risco gerado pela decisão de não se
envolver com uma situação de riscos.
II. O compartilhamento, com um terceiro, do prejuízo da perda em relação a um determinado
risco é um exemplo de Transferência do Risco.
III. A Otimização do Risco é o processo de se retirar benefício financeiro da ocorrência de um
risco.
IV. O Tratamento do Risco é o processo de seleção e implementação de medidas para modificar
o risco.
Indique a opção que contenha todas as afirmações verdadeiras.
a) I e II
b) II e III
c) III e IV

91068
d) I e III
e) II e IV
16. (CESPE – CGE-CE – AUDITOR - 2019)

As entidades enfrentam vários riscos de origem interna e externa. Define-se risco como
a) a possibilidade de um evento ocorrer e afetar adversamente a realização dos objetivos.
b) a base para determinar a maneira como os objetivos serão alcançados.
c) as metas de desempenho financeiro e a salvaguarda de perdas de ativos.
d) um processo conduzido pela administração para garantir a realização dos objetivos.
e) os requisitos de transparência estabelecidos pelas autoridades normativas.
17. (CESPE – CAGE-RS – AUDITOR - 2018)

Determinado elemento do gerenciamento de riscos corporativos permite que a organização
considere até que ponto eventos em potencial podem impactar o atingimento dos objetivos.
O COSO denomina esse componente de:
a) monitoramento.
b) atividades de controle.
c) avaliação de riscos.
d) identificação de eventos.
e) informações e comunicações.
18. (CESPE – TRE-BA – ANALISTA - 2017)

De acordo com a NBR ISO 31000:2009, no que diz respeito ao processo de gestão de riscos, a
etapa específica de apreciação das causas e fontes de riscos, suas consequências positivas e
negativas, e da probabilidade de ocorrência dessas consequências denomina-se
a) identificação de riscos.
b) análise de riscos.
c) monitoramento e análise crítica.
d) avaliação de riscos.
e) estabelecimento do contexto interno.

91068

Com relação ao que dispõe a NBR ISO 31000:2009 acerca da gestão de riscos, julgue o item
subsecutivo.
A gestão de riscos é uma atividade autônoma e independente de outros processos da
organização.

São consideradas as circunstâncias e as necessidades da organização para se determinar se a
análise de riscos será qualitativa, quantitativa ou uma combinação dessas duas formas de
análise.
21. (CESPE – FUB - ENGENHEIRO – 2016)

Se a equipe de projeto não mudar o plano de gerenciamento do projeto para tratar um risco
negativo identificado, então ela terá optado pela estratégia de mitigar o risco.
22. (CESPE – TCU - AUDITOR – 2015)

De acordo com a NBR ISO/IEC 31000:2009, a fim de assegurar que a gestão de riscos seja eficaz
e continue a apoiar o desempenho organizacional, convém que a organização garanta recursos
materiais irrestritos para evitar desvios em relação ao plano de gestão de riscos, que deve ser
mantido inflexível, especialmente em relação ao contexto interno da organização.
23. (CESPE – SUFRAMA – ANALISTA – 2014)

O processo de análise qualitativa de risco em um projeto visa, basicamente, priorizar os
diversos riscos identificados.
24. (CESPE – TJ-SE – TÉCNICO – 2014)

O risco do projeto é um evento que possui uma causa específica e, durante a execução do
projeto, produzirá efeito negativo.
25. (CESPE – TCE-ES - AUDITOR – 2012)

No que diz respeito ao gerenciamento dos riscos de um projeto, a matriz de probabilidade e
impacto possibilita a avaliação de cada risco de acordo com sua probabilidade de ocorrência e
impacto em algum objetivo do projeto, mas não permite a distinção dos riscos em função dos
limites de tolerância da organização.

91068

Para o gerenciamento de projetos, consideram-se riscos as ameaças e oportunidades, que
podem ter impacto positivo ou negativo ao projeto.
27. (CESPE – TRE-RJ - ANALISTA – 2012)

São opções para tratamento do risco: reduzi-lo, aceitá-lo, evitá-lo ou transferi-lo.

A análise SWOT deve ser utilizada para avaliar o projeto a partir da identificação de pontos
fortes e pontos fracos, ou seja, identificar os riscos.
29. (CESPE – BANCO DA AMAZÔNIA - TÉCNICO – 2010)

Projetos de alta qualidade devem entregar o produto, o serviço ou o resultado solicitado
dentro do escopo, no prazo e dentro do orçamento. Um risco do projeto é um evento ou
condição que, apesar de certo e conhecido, é associado a um ou mais dos objetivos do projeto
e produzirá um efeito positivo ou negativo.

91068
GABARITO
1. D 10. C 20. C
2. B 11. B 21. E
3. B 12. B 22. E
4. C 13. D 23. C
5. E 14. E 24. E
6. D 15. E 25. E
7. C 16. A 26. C
8. A 17. C 27. C
9. C 18. B 28. C
19. E 29. E
BIBLIOGRAFIA
Associação Brasileira de Notas Técnicas - ABNT. (2009). ABNT ISO 31000 - Gestão de
Riscos - Princípios e diretrizes. Rio de Janeiro.
Tribunal de Contas da União - TCU. (2018). Referencial Básico de Gestão de Riscos.
Brasília: TCU.
Tribunal de Contas da União. (2018). Manual de riscos do TCU. Brasília: TCU.
Um guia do conhecimento em gerenciamento de projetos (Guia PMBOK) (4° Ed. ed.).
(s.d.). Newton Square: Project Management Institute.

91068
Por hoje é só pessoal! Estarei disponível no e-mail abaixo para qualquer dúvida.
rodrigorenno99@hotmail.com
https://www.facebook.com/profrodrigorenno/
http://twitter.com/rrenno99
https://www.youtube.com/user/rodrigorenno99/
Bons estudos e sucesso!
Rodrigo Rennó
Conheça meus outros cursos atualmente no site!
Acesse http://estrategiaconcursos.com.br/cursos-professor/2800/rodrigo-renno


Gestão de riscos corporativos

Caricato da

Informazioni sul documento

Descrizione originale:

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Gestão de riscos corporativos

Caricato da

Copyright:

Formati disponibili

Livro Eletrônico

Aula 03 (Prof. Rodrigo Rennó)

Governança Corporativa e Compliance p/ BRB (Escriturário) Com

06381076607 - TATIANA F MACIEL

Aula 3: Gestão de Riscos

Olá pessoal, tudo bem?

Espero que gostem da aula!

Quer receber dicas de estudo e conteúdo gratuito de

Cadastre-se na nossa lista exclusiva, no link a seguir:

Governança Corporativa e Compliance p/ BRB (Escriturário) Com Videoaulas - Pós-Edital 1

Modelo COSO I e II ........................................................................................................................... 26

Gestão de Riscos em Projetos ......................................................................................................... 31

Governança Corporativa e Compliance p/ BRB (Escriturário) Com Videoaulas - Pós-Edital 2

• Um risco pode ser

Governança Corporativa e Compliance p/ BRB (Escriturário) Com Videoaulas - Pós-Edital 3

A gestão de riscos corporativos, para o TCU2,

O processo de gestão de riscos tem as seguintes principais fases 3:

Resumidamente, seriam os seguintes:

Governança Corporativa e Compliance p/ BRB (Escriturário) Com Videoaulas - Pós-Edital 4

GESTÃO DE RISCOS BASEADA NA ISO 31000

Governança Corporativa e Compliance p/ BRB (Escriturário) Com Videoaulas - Pós-Edital 5

 Melhorar a confiança das partes interessadas e os controles

A gestão de riscos contribui para a realização demonstrável dos objetivos e

A gestão de Uma abordagem sistemática, oportuna e estruturada para a gestão de riscos

Governança Corporativa e Compliance p/ BRB (Escriturário) Com Videoaulas - Pós-Edital 6

As entradas para o processo de gerenciar riscos são baseadas em fontes de

O envolvimento apropriado e oportuno de partes interessadas e, em

Governança Corporativa e Compliance p/ BRB (Escriturário) Com Videoaulas - Pós-Edital 7

Figura 1. Relacionamento entre os componentes da estrutura para gerenciar riscos.

Governança Corporativa e Compliance p/ BRB (Escriturário) Com Videoaulas - Pós-Edital 8

Concepção da estrutura para gerenciar riscos

Implementação da gestão de riscos

Governança Corporativa e Compliance p/ BRB (Escriturário) Com Videoaulas - Pós-Edital 9

Implementação da estrutura para gerenciar riscos:

Implementação do processo de gestão de riscos:

Monitoramento e análise crítica da estrutura

Monitoramento e análise crítica da estrutura

Governança Corporativa e Compliance p/ BRB (Escriturário) Com Videoaulas - Pós-Edital 10

Melhoria contínua da estrutura

Processo de gestão de riscos

Figura 2. Processo de gestão de riscos

Governança Corporativa e Compliance p/ BRB (Escriturário) Com Videoaulas - Pós-Edital 11

A comunicação e a consulta às partes interessadas internas e externas aconteçam durante todas as

• Auxiliar a estabelecer o contexto apropriadamente;

Governança Corporativa e Compliance p/ BRB (Escriturário) Com Videoaulas - Pós-Edital 12

Ao estabelecer o contexto, a organização articula seus objetivos, define os parâmetros externos e

Estabelecimento do contexto externo

Estabelecimento do contexto interno

Governança Corporativa e Compliance p/ BRB (Escriturário) Com Videoaulas - Pós-Edital 13

 Convém que os objetivos e os critérios de um determinado projeto, processo ou atividade

Contexto o ambiente cultural, social, político, legal, regulatório, financeiro,

os fatores–chave e as tendências que tenham impacto sobre os

as relações com partes interessadas externas e suas percepções e

Contexto governança, estrutura organizacional, funções e responsabilidades;

capacidades compreendidas em termos de recursos e conhecimento.

sistemas de informação, fluxos de informação e processos de tomada de

normas, diretrizes e modelos adotados pela organização; e

forma e extensão das relações contratuais.

Governança Corporativa e Compliance p/ BRB (Escriturário) Com Videoaulas - Pós-Edital 14

Estabelecimento do contexto no processo de gestão de riscos

Definição dos critérios de risco

Governança Corporativa e Compliance p/ BRB (Escriturário) Com Videoaulas - Pós-Edital 15