Gestão de Riscos e Avaliação - ISO

Prévia do material em texto

SISTEMA DE ENSINO
TEORIA GERAL DA 
ADMINISTRAÇÃO E 
GESTÃO PÚBLICA
Gestão de Riscos-ISO 31000/2018 e 
Técnicas para Avaliação de Riscos-ISO 
31010/2012
Livro Eletrônico
2 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Sumário
Gestão de Riscos ISO 31000/2018 e Técnicas para Avaliação de Riscos-ISO 31010/2012 3
1. Introdução ..................................................................................................................................... 3
2. Termos e Definições ................................................................................................................... 3
3. Princípios da Gestão de Riscos ................................................................................................ 4
4. Estrutura da Gestão de Riscos ................................................................................................ 5
4.1. Generalidades ........................................................................................................................... 5
4.2. Liderança e Comprometimento ............................................................................................ 6
4.3. Integração ................................................................................................................................. 7
4.4. Concepção ................................................................................................................................. 8
4.5. Implementação .......................................................................................................................12
4.6. Avaliação ..................................................................................................................................12
4.7. Melhoria ....................................................................................................................................12
5. Processo ......................................................................................................................................13
5.1. Generalidades ..........................................................................................................................13
5.2. Comunicação e Consulta ...................................................................................................... 14
5.3. Escopo, Contexto e Critérios ................................................................................................15
5.4. Processo de Avaliação de Riscos ........................................................................................16
5.5. Tratamento de Riscos ............................................................................................................19
5.6. Monitoramento e Análise Crítica ........................................................................................21
5.7. Registro e Relato .................................................................................................................... 22
6. Gestão de Riscos (ABNT NBR ISO/IEC 31010:2012) ............................................................ 22
7. Planejamento e Resposta a Emergências (PRE) ................................................................ 30
Resumo ............................................................................................................................................ 32
Questões de Concurso ................................................................................................................. 35
Gabarito ...........................................................................................................................................43
Questões de Concurso .................................................................................................................44
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
3 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
GESTÃO DE RISCOS ISO 31000/2018 E TÉCNICAS PARA 
AVALIAÇÃO DE RISCOS-ISO 31010/2012
1. Introdução
Organizações de todos os tipos e tamanhos enfrentam influências e fatores externos e 
internos que tornam incerto se elas alcançarão seus objetivos.
2. termos e defInIções
• Risco: é um efeito da incerteza nos objetivos.
• Efeito: é um desvio em relação ao esperado. Pode ser positivo, negativo ou ambos, e 
pode abordar, criar ou resultar em oportunidades e ameaças.
• Gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no 
que se refere a riscos.
• Parte interessada: pessoa ou organização que pode afetar, ser afetada ou perceber-se 
afetada por uma decisão ou atividade. O termo “parte interessada” pode ser utilizado 
como sinônimo de “stakeholder”.
• Fonte de risco: elemento que, individualmente ou combinado, tem o potencial para dar 
origem ao risco.
• Evento: ocorrência ou mudança em um conjunto específico de circunstâncias. Pode 
consistir em uma ou mais ocorrências e pode ter várias causas e várias consequências. 
Um evento pode também ser algo que é esperado, mas não acontece, ou algo que não é 
esperado, mas acontece. Um evento pode ser uma fonte de risco.
• Consequência: resultado de um evento que afeta os objetivos.
001. (CS UFG/AUDITOR (UFG)/2017) A gestão de riscos refere-se ao processo de aplicação 
sistemática de políticas, procedimentos e práticas de gestão para as atividades de comuni-
cação, estabelecimento do contexto, avaliação, tratamento, monitoramento e análise crítica 
dos riscos. A gestão de riscos envolve também a contínua avaliação da eficácia dos controles 
internos implantados na organização para
a) uniformizar os riscos gerenciais.
b) mitigar os riscos relevantes.
c) eliminar os riscos críticos.
d) corrigir os riscos inerentes.
O efeito que o fenômeno da incerteza tem sobre os objetivos da organização é chamado de risco.
A atividade de gestão organizacional é permeada por riscos de diversas fontes e origens. Cabe 
à organização identificar, avaliar, tratar, monitorar e analisar esses riscos.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
4 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Outra ideia que devemos eliminar é sobre a eliminação de riscos. Essa ação é impossível no 
ambiente organizacional. Em outras palavras, o risco sempre existirá. Então, a ideia principal 
da gestão de riscos é minimizar ou mitigar os riscos!
Portanto, a alternativa correta é a letra B.
Letra b.
3. PrIncíPIos da Gestão de rIscos
Os princípios são a base para gerenciar riscos e convém que sejam considerados quando 
se estabelecerem a estrutura e os processos de gestão de riscos da organização.
a) Integrada: a gestão de riscos é parte integrante de todas as atividades organizacionais.
b) Estruturada e abrangente: uma abordagem estruturada e abrangente para a gestão de 
riscos contribui para resultados consistentes e comparáveis.
c) Personalizada: a estrutura e o processo de gestão de riscos são personalizados e pro-
porcionais aos contextos externo e interno da organização relacionados aos seus objetivos.
O conteúdo deste livro eletrônico é licenciado pararelativamen-
te baratas.
Quando a técnica foi desenvolvida pela primeira vez, o número de iterações requerido para 
as simulações de Monte Carlo resultou em um processo lento e demorado, porém os avanços 
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
29 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
nos desenvolvimentos de computadores e teóricos, como amostragem por Hipercubo Latino, 
tornaram o tempo de processamento quase insignificante para muitas aplicações.
Curvas FN
As curvas FN são uma representação gráfica da probabilidade de eventos que causam um 
nível especificado de danos para uma população específica. Na maioria das vezes se referem 
à frequência de um determinado número de vítimas. As curvas FN mostram a frequência acu-
mulada (F) em que N ou mais membros da população serão afetados. Os altos valores de N 
que podem ocorrer com uma alta frequência F são de interesse significativo, pois eles podem 
ser social e politicamente inaceitáveis.
Índices de risco
Um índice de risco é uma medida semiquantitativa do risco. É uma estimativa derivada uti-
lizando uma abordagem de pontuação mediante escalas ordinais. Os índices de risco podem 
ser utilizados para avaliar uma série de riscos com o uso de critérios similares, de modo a que 
possam ser comparados.
Pontuações são aplicadas para cada componente de risco, por exemplo, características do 
contaminante (fontes), a faixa de possíveis vias de exposição e o impacto sobre os receptores. 
Os índices de risco são essencialmente uma abordagem qualitativa para a classificação e a 
comparação de riscos. Embora números sejam utilizados, isto é feito simplesmente para per-
mitir manipulação dos dados.
Em muitos casos onde o modelo ou sistema subjacente não é bem conhecido ou não é 
capaz de ser representado, é melhor utilizar uma abordagem qualitativa mais aberta.
Matriz de probabilidade/consequência
A matriz de probabilidade/consequência é um meio de combinar classificações qualita-
tivas ou semiquantitativas de consequências e probabilidades, a fim de produzir um nível de 
risco ou classificação de risco.
O formato da matriz e as definições a ela aplicadas dependem do contexto em que é utili-
zada e é importante que um projeto apropriado seja utilizado para as circunstâncias.
Análise de custo/benefício (ACB)
A análise de custo/benefício pode ser utilizada para avaliação de riscos quando os custos 
totais esperados são ponderados contra os benefícios totais esperados a fim de escolher a 
melhor ou a mais rentável opção. É uma parte implícita de muitos sistemas de avaliação de 
riscos. Ela pode ser qualitativa ou quantitativa, ou envolver uma combinação de elementos 
quantitativos e qualitativos.
A ACB quantitativa agrega o valor monetário de todos os custos e todos os benefícios para 
todas as partes interessadas que estão incluídas no escopo e faz o ajuste para os diferentes 
períodos de tempo nos quais os custos e benefícios ocorrem. O valor presente líquido (VPL) 
calculado torna-se uma entrada nas decisões sobre o risco. Um VPL positivo associado a uma 
ação normalmente significaria que a ação deve ocorrer.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
30 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Entretanto, para alguns riscos negativos, particularmente aqueles riscos que envolvem a 
vida humana ou danos ao meio ambiente, o princípio do ALARP pode ser aplicado. Isto divide 
os riscos em três regiões: um nível acima do qual os riscos negativos são intoleráveis e não 
devem ser aceitos, exceto em circunstâncias extraordinárias; um nível abaixo do qual os riscos 
são insignificantes e precisam somente ser monitorados para assegurar que eles permanecem 
baixos, e uma faixa central onde os riscos são mantidos tão baixos quanto razoavelmente pra-
ticável (ALARP).
Em direção ao menor risco desta região, uma análise rigorosa de custo/benefício pode 
aplicar-se, porém quando os riscos estiverem próximos ao intolerável, a expectativa do princí-
pio do ALARP é que o tratamento ocorrerá, a menos que os custos de tratamento sejam subs-
tancialmente desproporcionais em relação ao benefício obtido.
Análise de decisão por multicritérios (MCDA)
O objetivo é utilizar uma faixa de critérios para avaliar de forma objetiva e transparente o 
valor global de um conjunto de opções. Em geral, o objetivo global é produzir uma ordem de 
preferência entre as opções disponíveis.
A análise envolve o desenvolvimento de uma matriz de opções e critérios que são classifi-
cados e agregados para fornecer uma pontuação global para cada opção.
7. Planejamento e resPosta a emerGêncIas (Pre)
Também conhecido como Plano de Atendimento a Emergência ou Plano de Ação de Emer-
gência (PAE), o PRE é um documento que contém todos os procedimentos a serem tomados 
caso ocorram situações de risco iminente para a segurança dos trabalhadores.
A Norma Regulamentadora NR-20 Segurança e Saúde com Inflamáveis e Combustíveis 
apresenta em seu item 20.14 a exigência de criação desse Plano, assim como o seu conteúdo 
mínimo. Em seu texto, descreve que “O empregador deve elaborar e implementar plano de res-
posta a emergências que contemple ações específicas a serem adotadas na ocorrência de va-
zamentos ou derramamentos de inflamáveis e líquidos combustíveis, incêndios ou explosões”.
Já a NBR ISO 45001:2018, em seu requisito 8.2, Preparação e Resposta de Emergências, 
apresenta que “a organização deve estabelecer, implementar e manter um processo necessário 
para se preparar para resposta a potenciais situações de emergência”. 
Exigência semelhante é verificada na OHSAS 18001:2007. Com isso, tem-se que o PRE irá 
identificar potenciais situações de emergência e potenciais acidentes que possam ter impac-
tos à saúde e segurança das pessoas, sejam colaboradores, visitantes, terceiros ou vizinhos à 
organização e ao meio ambiente. Apresentando, portanto, para cada cenário de emergência, as 
respectivas ações para que não ocorram os impactos negativos possíveis. Vale destacar que 
o requisito “preparação e resposta a emergências” enquadra-se na etapa de implementação e 
operação (na assim como na NBR ISSO 14001).
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
31 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Pode-se entender como Situação de Emergência qualquer evento não planejado que, em 
função da sua gravidade, requeira ação imediata e inadiável para seu bloqueio e contenção. 
E, se possível, reparo. Assim, pode-se pensar que são exemplos de situações de emergência 
incêndio, explosão, vazamento de produto químico, vazamento de gases e derramamento de 
líquido inflamável.
É necessário que na elaboração do Plano de Resposta a Emergência as ações para cada 
cenário sejam adequadas para tal. Isso ocorre, porque, por exemplo,a ação para um incêndio 
se difere, e muito, da ação de resposta a um vazamento de produto químico. 
Vale ressaltar que essa diferença não é somente nos impactos que cada situação pode 
causar ao ser humano ou ao meio ambiente, mas também no que deve ser feito. Assim, o pla-
no deve determinar quem é capacitado para cada atividade, quais EPIs devem ser utilizados, 
quem será responsável por cada etapa, quais os recursos necessários e quais as entidades 
que devem ser acionadas.
A NR-20 e as normas ISO 45001, ISO 14001 e OHSAS preveem ainda um teste periódico 
do Plano de Resposta a Emergência, bem como a revisão do PRE, sempre que se julgar neces-
sário. Para isso, são criados cronogramas de simulados de emergência, com espaçamento 
máximo de 1 ano entre cada teste. 
A organização por sua vez, deve garantir que todos colaboradores sejam envolvidos e trei-
nados. Para cada simulado ou em caso de ocorrência real (situação de emergência), deve ser 
realizado um relatório de análise crítica.
É exigido também que o PRE seja comunicado a todos possíveis envolvidos. Isso significa 
que, todas pessoas que possam ser envolvidas ou afetadas por algum dos cenários de emer-
gência descritos, devem estar cientes dos riscos aos quais estão expostos e como proceder 
em situações de emergência1. 
1 https://www.verdeghaia.com.br/plano-de-resposta-a-emergencia/
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
32 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
RESUMO
• Risco: efeito da incerteza nos objetivos.
• Efeito: desvio em relação ao esperado (positivo, negativo ou ambos).
• Gestão de riscos: atividades coordenadas para dirigir e controlar uma organização no 
que se refere a riscos.
• Parte interessada: pessoa ou organização que pode afetar, ser afetada ou perceber-se 
afetada por uma decisão ou atividade (stakeholder).
• Fonte de risco: elemento que, individualmente ou combinado, tem o potencial para dar 
origem ao risco.
• Evento: ocorrência ou mudança em um conjunto específico de circunstâncias.
• Consequência: resultado de um evento que afeta os objetivos.
• Princípios da gestão de riscos
• Estrutura da gestão de riscos
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
33 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
34 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
− Comunicação e consulta: auxiliar as partes interessadas pertinentes na compreen-
são do risco, na base sobre a qual decisões são tomadas e nas razões pelas quais 
ações específicas são requeridas.
− Escopo, contexto e critérios: personalizar o processo de gestão de riscos, permitindo 
um processo de avaliação de riscos eficaz e um tratamento de riscos apropriado.
− Avaliação de riscos:
 ◦ Identificação de riscos: encontrar, reconhecer e descrever riscos que possam aju-
dar ou impedir que uma organização alcance seus objetivos.
 ◦ Análise de riscos: compreender a natureza do risco e suas características, incluin-
do o nível de risco, onde apropriado.
 ◦ Tratamento de riscos: selecionar e implementar opções para abordar riscos.
− Monitoramento e análise crítica: assegurar e melhorar a qualidade e eficácia da con-
cepção, implementação e resultados do processo.
− Registro e o relato: comunicar atividades e resultados de gestão de riscos em toda a 
organização, fornecendo informações para a tomada de decisão.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
35 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
QUESTÕES DE CONCURSO
001. (CEBRASPE (CESPE)/PROFISSIONAL DE TECNOLOGIA DA INFORMAÇÃO (ME)/ATI-
VIDADES TÉCNICAS DE COMPLEXIDADE GERENCIAL, DE TECNOLOGIA DA INFORMAÇÃO 
E DE ENGENHARIA SÊNIOR/GESTÃO DE PROJETOS/2020) Com relação à gestão de riscos, 
julgue o seguinte item.
A definição de critérios de riscos é feita durante o estabelecimento do contexto da gestão 
de riscos.
002. (CEBRASPE (CESPE)/ATIVIDADES TÉCNICAS DE COMPLEXIDADE GERENCIAL (MEC)/
GERENTE DE SUPORTE/2015) A respeito da gestão de riscos, julgue o item subsecutivo.
Para assegurar que a gestão de riscos seja eficaz, a organização deve analisar, criticamente e 
de forma periódica, se a política, o plano e a estrutura da gestão de riscos permanecem apro-
priados, dados os contextos externo e interno da organização.
003. (FUNDATEC/AUDITOR DE CONTROLE INTERNO (PREF POA)/2019) A ISO 31000/2018 
descreve princípios que são a base para o gerenciamento de riscos e fornece orientações 
sobre as características da gestão de riscos eficaz e eficiente. O documento também salienta 
que esses princípios devem ser considerados quando da estruturação da gestão de riscos. De 
acordo com os termos da referida norma, analise as assertivas a seguir:
I – Gestão Integrada: a gestão de riscos é parte de todas as atividades organizacionais.
II – Gestão Inclusiva: o processo de gestão de riscos envolve modelos padronizados abor-
dando áreas estratégicas com foco no desempenho.
III – Gestão Personalizada: a estrutura e o processo de gestão de riscos são personalizados 
e proporcionais aos contextos interno e externo da organização relacionados aos seus 
objetivos.
Quais estão corretas?
a) Apenas I.
b) Apenas II.
c) Apenas III.
d) Apenas I e II.
e) Apenas I e III.
004. (CEBRASPE (CESPE)/AUDITOR FEDERAL DE CONTROLE EXTERNO (TCU)/CONTRO-
LE EXTERNO/AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO/2015) Com relação à gestão 
de riscos, julgue o item.
De acordo com a NBR ISO/IEC 31000:2009, a fim de assegurar que a gestão de riscos seja 
eficaz e continue a apoiar o desempenho organizacional, convém que a organização ga-
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
36 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
ranta recursos materiais irrestritos para evitar desvios em relação ao plano de gestão de 
riscos, que deve ser mantido inflexível, especialmente em relação ao contexto interno da 
organização.
005. (CEBRASPE (CESPE)/ATIVIDADES TÉCNICAS DE COMPLEXIDADE GERENCIAL (MEC)/GERENTE DE SUPORTE/2015) A respeito da gestão de riscos, julgue o item subsecutivo.
A gestão de riscos faz parte das responsabilidades da administração e é parte integrante de 
todos os processos organizacionais, nos quais se incluem planejamento estratégico e todos 
os processos de gestão de projetos e de gestão de mudanças.
006. (UFMT/ENGENHEIRO (IF MT)/SEGURANÇA DO TRABALHO/2013) Fazem parte de um 
sistema de gestão de riscos as etapas indicadas abaixo:
I – Monitorar riscos
II – Identificar riscos
III – Controlar riscos
IV – Avaliar riscos
Marque a sequência que apresenta a ordem correta da implementação de ações no Processo 
de Gestão de Riscos.
a) III, I, II, IV
b) II, IV, III, I
c) I, IV, III, II
d) II, III, IV, I
007. (FUNDEP/ANALISTA DE TECNOLOGIA DA INFORMAÇÃO (IFNMG)/2016) Atividades 
coordenadas para direcionar e controlar uma organização no que compete a riscos refere-se a:
a) gestão de riscos.
b) avaliação de riscos.
c) aceitação de riscos.
d) risco residual.
008. (IBADE/ANALISTA PREVIDENCIÁRIO (IPM JP)/ANALISTA DE INFORMÁTICA/ANA-
LISTA DE SISTEMAS E PROGRAMAÇÃO/2018) No âmbito da gestão de riscos, o remanes-
cente, após o tratamento de riscos, é conhecido como risco:
a) tratado.
b) residual.
c) final.
d) intratável.
e) desconsiderado.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
37 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
009. (CEBRASPE (CESPE)/PROFISSIONAL DE TECNOLOGIA DA INFORMAÇÃO (ME)/ATI-
VIDADES TÉCNICAS DE COMPLEXIDADE GERENCIAL, DE TECNOLOGIA DA INFORMAÇÃO 
E DE ENGENHARIA SÊNIOR/GESTÃO DE PROJETOS/2020) Com relação à gestão de riscos, 
julgue o seguinte item.
Identificar, analisar e tratar os riscos são atividades do processo de avaliação de riscos.
010. (FEPESE/ADMINISTRADOR (CELESC)/2018) A Norma ISO 31000 tem como eixo cen-
tral especificamente qual destes assuntos?
a) Gestão Ambiental
b) Gestão Sustentável
c) Gestão de Riscos no âmbito das organizações
d) Redução de desperdícios na operação da empresas
e) Qualidade no Processo Produtivo
011. (CEBRASPE (CESPE)/ANALISTA JUDICIÁRIO (TRE BA)/JUDICIÁRIA/2017) De acordo 
com a NBR ISO 31000:2009, no que diz respeito ao processo de gestão de riscos, a etapa espe-
cífica de apreciação das causas e fontes de riscos, suas consequências positivas e negativas, 
e da probabilidade de ocorrência dessas consequências denomina-se
a) identificação de riscos.
b) análise de riscos.
c) monitoramento e análise crítica.
d) avaliação de riscos.
e) estabelecimento do contexto interno.
012. (CEBRASPE (CESPE)/AUDITOR DE CONTROLE EXTERNO (TCE-PA)/INFORMÁTICA/
ANALISTA DE SEGURANÇA/2016) Com relação ao que dispõe a NBR ISO 31000:2009 acerca 
da gestão de riscos, julgue o item subsecutivo.
São consideradas as circunstâncias e as necessidades da organização para se determinar 
se a análise de riscos será qualitativa, quantitativa ou uma combinação dessas duas formas 
de análise.
013. (COTEC UNIMONTES/TÉCNICO EM SEGURANÇA DO TRABALHO (PREF VÁRZEA DA 
PALMA)/2015) A norma da ABNT que estabelece os princípios e diretrizes genéricas para a 
gestão de riscos de forma eficaz e coerente, através de uma maneira sistemática, transparente 
e confiável, dentro de qualquer escopo e contexto, é:
a) NBR 31000:2009.
b) NBR 26000:2010.
c) NBR 28000:2009.
d) NBR 28004-1:2013
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
38 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
014. (VUNESP/AUDITOR MUNICIPAL DE CONTROLE INTERNO (SP)/GERAL/2015) O pro-
cesso de análise de riscos, em conformidade com a estrutura de gestão de riscos, é precedida 
e sucedida, respectivamente,
a) pelo tratamento de riscos e pela avaliação de riscos.
b) pela avaliação de riscos e pelo tratamento de riscos.
c) pela identificação de riscos e pelo tratamento de riscos.
d) pela avaliação de riscos e pela identificação de riscos.
e) pela identificação de riscos e pela avaliação de riscos.
015. (CESGRANRIO/ENGENHEIRO JÚNIOR (TRANSPETRO)/SEGURANÇA/2011) De acor-
do com a ABNT NBR ISO 31000 - Gestão de Riscos/ Princípios e Diretrizes, considere as afir-
mativas abaixo.
I – Um risco significativo pode derivar do fracasso ou da ineficácia das medidas de trata-
mento de risco.
II – A retenção do risco, por uma decisão consciente e bem embasada, pode ser uma das 
alternativas para eliminação do risco.
III – As análises de risco podem ser qualitativa, semiquantitativa ou quantitativa ou uma 
combinação delas.
IV – Risco é o efeito das incertezas nos objetivos.
São corretas APENAS as afirmações
a) I e II
b) II e III
c) III e IV
d) I, II e IV
e) I, III e IV
016. (CESGRANRIO/ENGENHEIRO JÚNIOR (TRANSPETRO)/SEGURANÇA/2012) Segundo 
a NBR ISO 31000:2009 (Gestão de Riscos – Princípios e Diretrizes), constata-se que gestão de 
risco é(são)
a) a identificação dos perigos, a avaliação e o controle das perdas humanas, materiais e 
ambientais.
b) o controle do prejuízo sofrido por uma organização, com garantia de ressarcimento 
por seguro.
c) um processo que garante que situações causadoras de danos nunca ocorrerão.
d) atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
e) atividades que devem ser implementadas para eliminar e transferir os perigos ou reduzi-los 
a níveis os mais baixos possíveis.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
39 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
017. (FCC/TÉCNICO JUDICIÁRIO (TRF 3ª REGIÃO)/ADMINISTRATIVA/SEM ESPECIALIDA-
DE/2019) No que concerne ao tema de gestão de riscos, os conceitos correntes na literatura 
sobre o tema, incluída a mais recente abordagem feita pela norma técnica ABNT NBR ISO 
31000 − Gestão de Risco, definem avaliação de riscos como
a) adoção de medidas corretivas para neutralizar ou mitigar eventos que possam impactar os 
resultados da organização.
b) elemento que, individualmente ou combinado, tem o potencial intrínseco para dar ori-
gem ao risco.
c) processo de comparar os resultados da análise de riscos com os critérios de risco para de-
terminar se o risco e/ou sua magnitude é aceitável ou tolerável.
d) conjunto de medidas preventivas para evitar ou reduzir a ocorrência de eventos que possam 
ensejar riscos à organização.
e) processo de tomada de decisão, exclusivo da alta direção da organização, com base no qual 
são assumidos alguns riscos inerentes ao negócio.
018. (QUADRIX/TÉCNICO DE NÍVEL SUPERIOR (SESC DF)/CONTROLADORIA/2018) A pro-
pósito da ISO 31.000, é correto afirmar que
a) é uma norma específica para o Brasil.
b) é uma norma destinada à padronização de terminologia e conceitos sobre gestão de risco.
c) tem por finalidade a certificação.
d) é específica para o setor privado.
e) se aplica a situações específicas de uma entidade.
019. (CESGRANRIO/ENGENHEIRO (PETROBRAS)/MEIO AMBIENTE JÚNIOR/2018) A NBR 
ISO 31.000/2009 define osprincípios e as diretrizes para gestão de riscos. O processo de ges-
tão de riscos baseado nesse instrumento legal segue as etapas de: análise de riscos, avaliação 
de riscos, identificação de riscos, definição do contexto e tratamento de riscos, conforme ilus-
trado no fluxograma abaixo, adaptado dessa norma.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
40 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
A etapa de análise de riscos é aquela na qual se busca compreender a natureza do risco e 
determinar o nível de risco, discutindo todas as possibilidades de ocorrência de um eventual 
acidente, na tentativa de evitar que ele aconteça.
No fluxograma apresentado na norma, essa etapa aparece na parte
a) I
b) II
c) III
d) IV
e) V
020. (COVEST-COPSET/TECNÓLOGO (UFPE)/SEGURANÇA/2015) O mercado oferece nor-
mas voluntárias de gestão organizacional cujos objetivos principais são os de auxiliar, por 
meio de padronização, algumas funções empresariais, tais como qualidade e meio ambien-
te. A Organização Internacional para a Padronização, uma entidade europeia, sediada na Su-
íça, trabalha a padronização de produtos e de serviços em todo o mundo. Algumas de suas 
normas são referendadas pela Associação Brasileira de Normas Técnicas. Sabendo disso, 
qual das normas abaixo representa Gestão Administrativa dos Riscos Empresariais?
a) ISO 9000.
b) OHSAS 18000.
c) ISO 31000.
d) NBR 9050.
e) ISO 14000
021. (FCC/TÉCNICO JUDICIÁRIO (TRF 3ª REGIÃO)/APOIO ESPECIALIZADO/INFORMÁTI-
CA/2019) Suponha que determinada organização pretenda adotar um sistema robusto de 
gestão de riscos, utilizando os conceitos trazidos pela norma técnica ABNT NBR ISO 31000 
− Gestão de Risco. O primeiro passo, então, é a própria compreensão pelos integrantes da 
organização do conceito de “risco”, que, nesse contexto, corresponde
a) a consequências e impactos não mensuráveis de ações ou medidas adotadas de forma 
consciente pela organização.
b) a potenciais consequências negativas de um comportamento inadequado ou impreviden-
te, cuja certeza de ocorrência é assumida.
c) a eventos que estão fora da governabilidade da empresa e cuja probabilidade de ocorrên-
cia não pode ser aferida.
d) ao efeito da incerteza nos objetivos, cujas consequências podem ser positivas ou negativas.
e) a condições de atuação da organização no cenário em que se situa, quando este se mos-
tra adverso.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
41 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
022. (VUNESP/ENGENHEIRO (PREF DIADEMA)/SEGURANÇA DO TRABALHO/2011) No 
Programa de Gerenciamento de Riscos, a etapa de monitoramento desempenha importante 
função de prover informações sobre o programa, sendo correto afirmar que nesta etapa
a) melhorará o entendimento que as partes interessadas têm sobre as fontes de dano e do 
processo de gestão de riscos.
b) serão verificados se os pressupostos assumidos para o controle estão corretos e se o ca-
dastro de riscos se mantém atualizado.
c) serão identificados quais fatores podem aumentar ou diminuir as frequências e as consequ-
ências frente a um cenário de risco.
d) serão estabelecidos um conjunto de critérios qualitativos e quantitativos com base nos 
quais os riscos serão avaliados.
e) será analisado se o risco residual se mantém o mesmo ou não para os diferentes gru-
pos expostos.
023. (FGV - ENGENHEIRO (SUDENE)/ÁREA 1/2013) É responsabilidade de cada organização 
desenvolver procedimento(s) de preparação e resposta a emergências que atenda(m) às suas 
próprias necessidades específicas. Segundo a norma NBR ISO 14001:2004, a preparação e a 
resposta a situações de emergência são realizadas na(s) fase(s) de
a) Verificação e Ações Corretivas.
b) Implementação e Operação.
c) Avaliação da Política Ambiental.
d) Revisão Gerencial.
e) Planejamento.
024. (CVEST IFPE - TÉCNICO (IF PE)/SEGURANÇA DO TRABALHO/2016) A Norma OHSAS 
18001:2007 especifica requisitos para um Sistema de Gestão da Segurança e Saúde do Tra-
balho (SST), para permitir que uma organização desenvolva e implemente uma política e ob-
jetivos que levem em consideração requisitos legais e informações sobre os riscos de SST. 
Pretende-se que ela seja aplicada a todos os tipos e portes de organizações, bem como se 
adeque a diferentes condições geográficas, culturais e sociais.
É CORRETO afirmar que o requisito “preparação e resposta a emergências” enquadra-se no 
modelo do sistema de gestão da SST, estabelecido pela referida norma na etapa de
a) verificação.
b) política de SST.
c) planejamento.
d) implementação e operação.
e) análise crítica pela direção.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
42 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
025. (SELECON - ANALISTA DE PROJETOS NAVAIS (EMGEPRON)/ENGENHEIRO DE SEGU-
RANÇA DO TRABALHO/2021) A norma ABNT NBR ISO 14001: 2015 (Sistemas de gestão am-
biental – Requisitos com orientações para uso) estabelece determinadas orientações a serem 
seguidas. A preparação e resposta a emergências se encontram relacionadas à orientação de:
a) Apoio
b) Liderança
c) Operação
d) Planejamento
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
43 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
GABARITO
1. C
2. C
3. e
4. E
5. C
6. b
7. a
8. b
9. E
10. c
11. b
12. C
13. a
14. e
15. e
16. d
17. c
18. b
19. c
20. c
21. d
22. b
23. b
24. d
25. c
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
44 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
QUESTÕES DE CONCURSO
001. (CEBRASPE (CESPE)/PROFISSIONAL DE TECNOLOGIA DA INFORMAÇÃO (ME)/ATI-
VIDADES TÉCNICAS DE COMPLEXIDADE GERENCIAL, DE TECNOLOGIA DA INFORMAÇÃO 
E DE ENGENHARIA SÊNIOR/GESTÃO DE PROJETOS/2020) Com relação à gestão de riscos, 
julgue o seguinte item.
A definição de critérios de riscos é feita durante o estabelecimento do contexto da gestão 
de riscos.
O estabelecimento do escopo, do contexto e dos critérios fazem parte de um mesmo processo, 
permitindo um processo de avaliação de riscos eficaze um tratamento de riscos apropriado.
Em suma, escopo, contexto e critérios envolvem a definição do escopo do processo e a com-
preensão dos contextos externo e interno.
Certo.
002. (CEBRASPE (CESPE)/ATIVIDADES TÉCNICAS DE COMPLEXIDADE GERENCIAL (MEC)/
GERENTE DE SUPORTE/2015) A respeito da gestão de riscos, julgue o item subsecutivo.
Para assegurar que a gestão de riscos seja eficaz, a organização deve analisar, criticamente e 
de forma periódica, se a política, o plano e a estrutura da gestão de riscos permanecem apro-
priados, dados os contextos externo e interno da organização.
De fato, as organizações devem monitorar e analisar continuamente sua política de riscos. 
Para isso, podem:
• medir o desempenho da gestão de riscos utilizando indicadores, os quais devem ser 
analisados criticamente de forma periódica para garantir sua adequação;
• medir periodicamente o progresso obtido ou o desvio em relação ao plano de gestão de 
riscos;
• analisar criticamente e de forma periódica se a política, o plano e a estrutura da gestão 
de riscos ainda são apropriados, dado o contexto externo e interno das organizações;
• reportar sobre os riscos, sobre o progresso do plano de gestão de riscos e como a polí-
tica de gestão de riscos está sendo seguida, e analisar criticamente a eficácia da estru-
tura da gestão de riscos.
Certo.
003. (FUNDATEC/AUDITOR DE CONTROLE INTERNO (PREF POA)/2019) A ISO 31000/2018 
descreve princípios que são a base para o gerenciamento de riscos e fornece orientações 
sobre as características da gestão de riscos eficaz e eficiente. O documento também salienta 
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
45 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
que esses princípios devem ser considerados quando da estruturação da gestão de riscos. De 
acordo com os termos da referida norma, analise as assertivas a seguir:
I – Gestão Integrada: a gestão de riscos é parte de todas as atividades organizacionais.
II – Gestão Inclusiva: o processo de gestão de riscos envolve modelos padronizados abor-
dando áreas estratégicas com foco no desempenho.
III – Gestão Personalizada: a estrutura e o processo de gestão de riscos são personalizados 
e proporcionais aos contextos interno e externo da organização relacionados aos seus 
objetivos.
Quais estão corretas?
a) Apenas I.
b) Apenas II.
c) Apenas III.
d) Apenas I e II.
e) Apenas I e III.
À luz da ISO 31000/2018, vamos rever a síntese dos princípios da gestão de riscos:
a) Integrada: a gestão de riscos é parte integrante de todas as atividades organizacionais.
b) Estruturada e abrangente: uma abordagem estruturada e abrangente para a gestão de ris-
cos contribui para resultados consistentes e comparáveis.
c) Personalizada: a estrutura e o processo de gestão de riscos são personalizados e proporcio-
nais aos contextos externo e interno da organização relacionados aos seus objetivos.
d) Inclusiva: o envolvimento apropriado e oportuno das partes interessadas possibilita que 
seus conhecimentos, pontos de vista e percepções sejam considerados. Isto resulta em me-
lhor conscientização e gestão de riscos fundamentada.
e) Dinâmica: riscos podem emergir, mudar ou desaparecer à medida que os contextos externo 
e interno de uma organização mudem. A gestão de riscos antecipa, detecta, reconhece e res-
ponde a estas mudanças e eventos de uma maneira apropriada e oportuna.
f) Melhor informação disponível: as entradas para a gestão de riscos são baseadas em infor-
mações históricas e atuais, bem como em expectativas futuras. A gestão de riscos explicita-
mente leva em consideração quaisquer limitações e incertezas associadas a estas informa-
ções e expectativas. Convém que a informação seja oportuna, clara e disponível para as partes 
interessadas pertinentes.
g) Fatores humanos e culturais: o comportamento humano e a cultura influenciam significati-
vamente todos os aspectos da gestão de riscos em cada nível e estágio.
h) Melhoria contínua: a gestão de riscos é melhorada continuamente por meio do aprendizado 
e experiências.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
46 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Logo, apenas as assertivas I e III estão corretas. A assertiva II trata-se da gestão personaliza-
da, e não a gestão inclusiva.
Letra e.
004. (CEBRASPE (CESPE)/AUDITOR FEDERAL DE CONTROLE EXTERNO (TCU)/CONTRO-
LE EXTERNO/AUDITORIA DE TECNOLOGIA DA INFORMAÇÃO/2015) Com relação à gestão 
de riscos, julgue o item.
De acordo com a NBR ISO/IEC 31000:2009, a fim de assegurar que a gestão de riscos seja 
eficaz e continue a apoiar o desempenho organizacional, convém que a organização garanta 
recursos materiais irrestritos para evitar desvios em relação ao plano de gestão de riscos, que 
deve ser mantido inflexível, especialmente em relação ao contexto interno da organização.
Os erros são evidentes. Nada de recursos irrestritos. A organização deve garantir recursos 
apropriados a cada processo. Outro erro está no fato de que a gestão de riscos deve ser mo-
nitorada e avaliada continuamente, de forma que planos sejam adaptados a cada realidade. 
Logo, os planos de riscos não devem ser inflexíveis.
Errado.
005. (CEBRASPE (CESPE)/ATIVIDADES TÉCNICAS DE COMPLEXIDADE GERENCIAL (MEC)/
GERENTE DE SUPORTE/2015) A respeito da gestão de riscos, julgue o item subsecutivo.
A gestão de riscos faz parte das responsabilidades da administração e é parte integrante de 
todos os processos organizacionais, nos quais se incluem planejamento estratégico e todos 
os processos de gestão de projetos e de gestão de mudanças.
De fato, esse é um dos princípios da gestão de riscos.
A gestão de riscos é parte integrante de todos os processos organizacionais.
A gestão de riscos não é uma atividade autônoma separada das principais atividades e proces-
sos da organização.
A gestão de riscos faz parte das responsabilidades da administração e é parte integrante de 
todos os processos organizacionais, incluindo o planejamento estratégico e todos os proces-
sos de gestão de projetos e gestão de mudanças.
Certo.
006. (UFMT/ENGENHEIRO (IF MT)/SEGURANÇA DO TRABALHO/2013) Fazem parte de um 
sistema de gestão de riscos as etapas indicadas abaixo:
I – Monitorar riscos
II – Identificar riscos
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
47 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
III – Controlar riscos
IV – Avaliar riscos
Marque a sequência que apresenta a ordem correta da implementação de ações no Processo 
de Gestão de Riscos.
a) III, I, II, IV
b) II, IV, III, I
c) I, IV, III, II
d) II, III, IV, I
A questão é bem intuitiva. Você só pode monitorar aquilo que foi identificado. Logo, na gestão 
de riscos, a identificação dos riscos é etapa inicial do modelo. Assim, temos que primeiro eu 
identifico os riscos, depois avalioo grau de cada risco, para depois controlar e, por fim, mo-
nitorá-los.
Letra b.
007. (FUNDEP/ANALISTA DE TECNOLOGIA DA INFORMAÇÃO (IFNMG)/2016) Atividades 
coordenadas para direcionar e controlar uma organização no que compete a riscos refere-se a:
a) gestão de riscos.
b) avaliação de riscos.
c) aceitação de riscos.
d) risco residual.
A gestão de riscos envolve atividades coordenadas para dirigir e controlar uma organização no 
que se refere a riscos.
Sobre a letra B (avaliação de riscos), trata-se do processo de comparar os resultados da aná-
lise de riscos com os critérios de riscos para determinar se o risco e/ou sua magnitude é acei-
tável ou tolerável.
Sobre a letra C (aceitação de riscos), refere-se ao tratamento de riscos, que envolve a seleção 
de uma ou mais opções para modificar os riscos e a implementação dessas opções. Tratar ris-
cos envolve um processo de decidir acerca de quais medidas podem ser adotadas para tratar 
potenciais riscos de sorte a mantê-los em níveis compatíveis de aceitação e tolerância.
Sobre a letra D (risco residual), como já mencionamos, não existe risco zero. Assim, ao final da 
adoção das medidas mitigadoras, teremos os riscos residuais, que precisam ser monitorados 
e mantidos dentro de limites compatíveis com os critérios de riscos estabelecidos.
Letra a.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
48 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
008. (IBADE/ANALISTA PREVIDENCIÁRIO (IPM JP)/ANALISTA DE INFORMÁTICA/ANA-
LISTA DE SISTEMAS E PROGRAMAÇÃO/2018) No âmbito da gestão de riscos, o remanes-
cente, após o tratamento de riscos, é conhecido como risco:
a) tratado.
b) residual.
c) final.
d) intratável.
e) desconsiderado.
Temos duas classificações genéricas de riscos:
Risco inerente, que é o risco associado ao negócio, o qual existe independente da ação toma-
da para sua redução ou mitigação.
Risco residual, que é o risco remanescente após a implementação de atividades de tratamento 
de riscos.
Logo, temos:
Letra b.
009. (CEBRASPE (CESPE)/PROFISSIONAL DE TECNOLOGIA DA INFORMAÇÃO (ME)/ATI-
VIDADES TÉCNICAS DE COMPLEXIDADE GERENCIAL, DE TECNOLOGIA DA INFORMAÇÃO 
E DE ENGENHARIA SÊNIOR/GESTÃO DE PROJETOS/2020) Com relação à gestão de riscos, 
julgue o seguinte item.
Identificar, analisar e tratar os riscos são atividades do processo de avaliação de riscos.
Identificar e analisar, sim, fazem parte do processo de avaliação de riscos! No entanto, tratar 
faz parte do processo de tratamento de riscos.
O processo de avaliação de riscos é o processo global de identificação de riscos, análise de 
riscos e avaliação de riscos.
O processo de tratamento de riscos envolve a seleção de uma ou mais opções para modificar 
os riscos e a implementação dessas opções. Uma vez implementado, o tratamento fornece 
novos controles ou modifica os existentes.
Errado.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
49 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
010. (FEPESE/ADMINISTRADOR (CELESC)/2018) A Norma ISO 31000 tem como eixo cen-
tral especificamente qual destes assuntos?
a) Gestão Ambiental
b) Gestão Sustentável
c) Gestão de Riscos no âmbito das organizações
d) Redução de desperdícios na operação da empresas
e) Qualidade no Processo Produtivo
A ABNT NBR ISO 31000 foi elaborada na Comissão de Estudo Especial de Gestão de Riscos. 
Este documento é para uso por pessoas que criam e protegem valor nas organizações, ge-
renciando riscos, tomando decisões, estabelecendo e alcançando objetivos e melhorando o 
desempenho.
Letra c.
011. (CEBRASPE (CESPE)/ANALISTA JUDICIÁRIO (TRE BA)/JUDICIÁRIA/2017) De acordo 
com a NBR ISO 31000:2009, no que diz respeito ao processo de gestão de riscos, a etapa espe-
cífica de apreciação das causas e fontes de riscos, suas consequências positivas e negativas, 
e da probabilidade de ocorrência dessas consequências denomina-se
a) identificação de riscos.
b) análise de riscos.
c) monitoramento e análise crítica.
d) avaliação de riscos.
e) estabelecimento do contexto interno.
A questão considerou a norma ISO 31000:2009, antes da sua atualização pela ISO 
31000:2018. Observe:
ISO 31000:2009:
Identificação de riscos: identificação das fontes de risco, áreas de impactos, eventos (incluin-
do mudanças nas circunstâncias) e suas causas e consequências potenciais. A finalidade des-
ta etapa é gerar uma lista abrangente de riscos baseada nestes eventos que possam criar, 
aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos. É importante identificar 
os riscos associados com não perseguir uma oportunidade. A identificação abrangente é críti-
ca, pois um risco que não é identificado nesta fase não será incluído em análises posteriores.
Análise de riscos: envolve a apreciação das causas e as fontes de risco, suas consequências 
positivas e negativas, e a probabilidade de que essas consequências possam ocorrer. Convém 
que os fatores que afetam as consequências e a probabilidade sejam identificados. O risco é 
analisado determinando–se as consequências e sua probabilidade, e outros atributos do risco.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
50 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Avaliação de riscos: finalidade é auxiliar na tomada de decisões com base nos resultados da 
análise de riscos, sobre quais riscos necessitam de tratamento e a prioridade para a imple-
mentação do tratamento. A avaliação de riscos envolve comparar o nível de risco encontrado 
durante o processo de análise com os critérios de risco estabelecidos quando o contexto foi 
considerado.
ISO 31000:2018:
Identificação de riscos: o propósito da identificação de riscos é encontrar, reconhecer e des-
crever riscos que possam ajudar ou impedir que uma organização alcance seus objetivos. In-
formações pertinentes, apropriadas e atualizadas são importantes na identificação de riscos.
Análise de riscos: o propósito da análise de riscos é compreender a natureza do risco e suas 
características, incluindo o nível de risco, onde apropriado. A análise de riscos envolve a con-
sideração detalhada de incertezas, fontes de risco, consequências, probabilidade, eventos, ce-
nários, controles e sua eficácia. Um evento pode ter múltiplas causas e consequências e pode 
afetar múltiplos objetivos.
Avaliação de riscos: o propósito da avaliação de riscos é apoiar decisões. A avaliação de ris-
cos envolve a comparação dos resultados da análise de riscos com os critérios de risco esta-
belecidos para determinar onde é necessária ação adicional.
Letra b.
012. (CEBRASPE (CESPE)/AUDITOR DE CONTROLE EXTERNO (TCE-PA)/INFORMÁTICA/
ANALISTA DE SEGURANÇA/2016) Com relação ao que dispõe a NBR ISO 31000:2009 acerca 
da gestão de riscos, julgue o item subsecutivo.
São consideradas as circunstâncias e as necessidades da organizaçãopara se determinar 
se a análise de riscos será qualitativa, quantitativa ou uma combinação dessas duas formas 
de análise.
A análise de riscos pode ser realizada com vários graus de detalhamento e complexidade, de-
pendendo do propósito da análise, da disponibilidade e confiabilidade da informação, e dos re-
cursos disponíveis. As técnicas de análise podem ser qualitativas, quantitativas ou uma com-
binação destas, dependendo das circunstâncias e do uso pretendido.
Certo.
013. (COTEC UNIMONTES/TÉCNICO EM SEGURANÇA DO TRABALHO (PREF VÁRZEA DA 
PALMA)/2015) A norma da ABNT que estabelece os princípios e diretrizes genéricas para a 
gestão de riscos de forma eficaz e coerente, através de uma maneira sistemática, transparente 
e confiável, dentro de qualquer escopo e contexto, é:
a) NBR 31000:2009.
b) NBR 26000:2010.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
51 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
c) NBR 28000:2009.
d) NBR 28004-1:2013
A NBR 31000:2009, atualizada para NBR 31000:2018 trata de um documento que é para uso 
por pessoas que criam e protegem valor nas organizações, gerenciando riscos, tomando deci-
sões, estabelecendo e alcançando objetivos e melhorando o desempenho.
A NBR 26000:2010 (letra B) fornece orientações para todos os tipos de organização, indepen-
dente de seu porte ou localização, sobre conceitos, termos e definições referentes à responsa-
bilidade social.
A NBR 28000:2009 (letra C) especifica os requisitos para um sistema de gestão de segurança.
A NBR 28004-1:2013 (letra D) também especifica os requisitos para um sistema de gestão de 
segurança, incluindo aqueles aspectos fundamentais que garantem a segurança da cadeia 
logística.
Letra a.
014. (VUNESP/AUDITOR MUNICIPAL DE CONTROLE INTERNO (SP)/GERAL/2015) O pro-
cesso de análise de riscos, em conformidade com a estrutura de gestão de riscos, é precedida 
e sucedida, respectivamente,
a) pelo tratamento de riscos e pela avaliação de riscos.
b) pela avaliação de riscos e pelo tratamento de riscos.
c) pela identificação de riscos e pelo tratamento de riscos.
d) pela avaliação de riscos e pela identificação de riscos.
e) pela identificação de riscos e pela avaliação de riscos.
Dentro do processo de avaliação de riscos temos:
• Identificação de riscos
• Análise de riscos
• Avaliação de riscos
Logo, em conformidade com a estrutura de gestão de riscos, o processo de análise de riscos é 
precedido e sucedido, respectivamente, pela identificação de riscos e pela avaliação de riscos.
Letra e.
015. (CESGRANRIO/ENGENHEIRO JÚNIOR (TRANSPETRO)/SEGURANÇA/2011) De acor-
do com a ABNT NBR ISO 31000 - Gestão de Riscos/ Princípios e Diretrizes, considere as afir-
mativas abaixo.
I – Um risco significativo pode derivar do fracasso ou da ineficácia das medidas de trata-
mento de risco.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
52 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
II – A retenção do risco, por uma decisão consciente e bem embasada, pode ser uma das 
alternativas para eliminação do risco.
III – As análises de risco podem ser qualitativa, semiquantitativa ou quantitativa ou uma 
combinação delas.
IV – Risco é o efeito das incertezas nos objetivos.
São corretas APENAS as afirmações
a) I e II
b) II e III
c) III e IV
d) I, II e IV
e) I, III e IV
A afirmativa I está correta. O propósito do tratamento de riscos é selecionar e implementar 
opções para abordar riscos. Se esse tratamento não foi eficaz e o risco não for aceitável, esse 
risco pode se tornar ainda mais significativo.
A afirmativa II está incorreta. Retenção de riscos significa aceitação do ônus de uma perda, ou 
dos benefícios de um ganho, resultante de um determinado risco. O erro está no fato de que 
isso não elimina o risco!
A afirmativa III está correta. As técnicas de análise podem ser qualitativas, quantitativas ou 
uma combinação destas, dependendo das circunstâncias e do uso pretendido.
A afirmativa IV está correta. O risco é o efeito da incerteza nos objetivos, normalmente ex-
presso em termos de fontes de risco, eventos potenciais, suas consequências e suas pro-
babilidades.
Letra e.
016. (CESGRANRIO/ENGENHEIRO JÚNIOR (TRANSPETRO)/SEGURANÇA/2012) Segundo 
a NBR ISO 31000:2009 (Gestão de Riscos – Princípios e Diretrizes), constata-se que gestão de 
risco é(são)
a) a identificação dos perigos, a avaliação e o controle das perdas humanas, materiais e 
ambientais.
b) o controle do prejuízo sofrido por uma organização, com garantia de ressarcimento 
por seguro.
c) um processo que garante que situações causadoras de danos nunca ocorrerão.
d) atividades coordenadas para dirigir e controlar uma organização no que se refere a riscos.
e) atividades que devem ser implementadas para eliminar e transferir os perigos ou reduzi-los 
a níveis os mais baixos possíveis.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
53 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Ainda que a questão tenha utilizado a norma antes da sua atualização, podemos facilmente 
perceber que a NBR ISO 31000:2018 manteve a conceituação de gestão de riscos: atividades 
coordenadas para dirigir e controlar uma organização no que se refere a riscos.
Letra d.
017. (FCC/TÉCNICO JUDICIÁRIO (TRF 3ª REGIÃO)/ADMINISTRATIVA/SEM ESPECIALIDA-
DE/2019) No que concerne ao tema de gestão de riscos, os conceitos correntes na literatura 
sobre o tema, incluída a mais recente abordagem feita pela norma técnica ABNT NBR ISO 
31000 − Gestão de Risco, definem avaliação de riscos como
a) adoção de medidas corretivas para neutralizar ou mitigar eventos que possam impactar os 
resultados da organização.
b) elemento que, individualmente ou combinado, tem o potencial intrínseco para dar ori-
gem ao risco.
c) processo de comparar os resultados da análise de riscos com os critérios de risco para de-
terminar se o risco e/ou sua magnitude é aceitável ou tolerável.
d) conjunto de medidas preventivas para evitar ou reduzir a ocorrência de eventos que possam 
ensejar riscos à organização.
e) processo de tomada de decisão, exclusivo da alta direção da organização, com base no qual 
são assumidos alguns riscos inerentes ao negócio.
O propósito da avaliação de riscos é apoiar decisões. A avaliação de riscos envolve a compa-
ração dos resultados da análise de riscos com os critérios de risco estabelecidos para deter-
minar onde é necessária ação adicional.
a) Errada, porque não traz o conceito correto de avaliação de riscos. Além disso, a gestão de 
riscos não é “corretiva”, mas “preventiva”.
b) Errada, porque apresenta o conceito de fonte de risco.
d) Errada, porque se trata de um conceito vinculado a mecanismos de controle, e não à avalia-
ção de riscos.
e) Errada, porque se vincula ao conceito de processo decisório centralizado, e não à avaliação 
de riscos.
Letrac.
018. (QUADRIX/TÉCNICO DE NÍVEL SUPERIOR (SESC DF)/CONTROLADORIA/2018) A pro-
pósito da ISO 31.000, é correto afirmar que
a) é uma norma específica para o Brasil.
b) é uma norma destinada à padronização de terminologia e conceitos sobre gestão de risco.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
54 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
c) tem por finalidade a certificação.
d) é específica para o setor privado.
e) se aplica a situações específicas de uma entidade.
A NBR ISO 31000 foi elaborada na Comissão de Estudo Especial de Gestão de Riscos.
a) Errada, porque a ISO 31.000 é uma norma internacional.
c) Errada, porque a norma não é certificadora, mas fornecedora de diretrizes para gerenciar 
riscos enfrentados pelas organizações.
d) Errada, porque a aplicação destas diretrizes pode ser personalizada para qualquer organiza-
ção e seu contexto.
e) Errada, porque a ISO 31.000 fornece uma abordagem comum para gerenciar qualquer tipo 
de risco e não é específico para qualquer indústria ou setor.
Letra b.
019. (CESGRANRIO/ENGENHEIRO (PETROBRAS)/MEIO AMBIENTE JÚNIOR/2018) A NBR 
ISO 31.000/2009 define os princípios e as diretrizes para gestão de riscos. O processo de ges-
tão de riscos baseado nesse instrumento legal segue as etapas de: análise de riscos, avaliação 
de riscos, identificação de riscos, definição do contexto e tratamento de riscos, conforme ilus-
trado no fluxograma abaixo, adaptado dessa norma.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
55 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
A etapa de análise de riscos é aquela na qual se busca compreender a natureza do risco e 
determinar o nível de risco, discutindo todas as possibilidades de ocorrência de um eventual 
acidente, na tentativa de evitar que ele aconteça.
No fluxograma apresentado na norma, essa etapa aparece na parte
a) I
b) II
c) III
d) IV
e) V
O processo de avaliação de riscos é dividido em três etapas:
• Identificação de riscos
• Análise de riscos
• Avaliação de riscos
Portanto, na imagem referenciada, a análise de riscos está posicionada na caixa III.
Letra c.
020. (COVEST-COPSET/TECNÓLOGO (UFPE)/SEGURANÇA/2015) O mercado oferece nor-
mas voluntárias de gestão organizacional cujos objetivos principais são os de auxiliar, por 
meio de padronização, algumas funções empresariais, tais como qualidade e meio ambiente. 
A Organização Internacional para a Padronização, uma entidade europeia, sediada na Suíça, 
trabalha a padronização de produtos e de serviços em todo o mundo. Algumas de suas normas 
são referendadas pela Associação Brasileira de Normas Técnicas. Sabendo disso, qual das 
normas abaixo representa Gestão Administrativa dos Riscos Empresariais?
a) ISO 9000.
b) OHSAS 18000.
c) ISO 31000.
d) NBR 9050.
e) ISO 14000
A norma brasileira que trata da gestão de riscos é a NBR ISSO 31000. Convém destacar essa 
norma é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO 31000:2018, 
que foi elaborada pelo Technical Committee Risk Management.
Letra c.
021. (FCC/TÉCNICO JUDICIÁRIO (TRF 3ª REGIÃO)/APOIO ESPECIALIZADO/INFORMÁ-
TICA/2019) Suponha que determinada organização pretenda adotar um sistema robusto de 
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
56 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
gestão de riscos, utilizando os conceitos trazidos pela norma técnica ABNT NBR ISO 31000 
− Gestão de Risco. O primeiro passo, então, é a própria compreensão pelos integrantes da 
organização do conceito de “risco”, que, nesse contexto, corresponde
a) a consequências e impactos não mensuráveis de ações ou medidas adotadas de forma 
consciente pela organização.
b) a potenciais consequências negativas de um comportamento inadequado ou impreviden-
te, cuja certeza de ocorrência é assumida.
c) a eventos que estão fora da governabilidade da empresa e cuja probabilidade de ocorrên-
cia não pode ser aferida.
d) ao efeito da incerteza nos objetivos, cujas consequências podem ser positivas ou negativas.
e) a condições de atuação da organização no cenário em que se situa, quando este se mos-
tra adverso.
Um risco é o efeito da incerteza nos objetivos, que pode ser positivo, negativo ou ambos, e 
pode abordar, criar ou resultar em oportunidades e ameaças.
a) Errada, porque o risco pode ser mensurado quantitativamente ou qualitativamente.
b) Errada, porque riscos podem ser negativos ou positivos. Além disso, a ocorrência de um 
risco nem sempre é certeza.
c) Errada, porque os riscos envolvem eventos que podem ser gerenciados. Além disso, a 
probabilidade só é probabilidade porque pode ser aferida!
e) Errada, porque o risco está no contexto da organização, em ambiente adverso ou não!
Letra d.
022. (VUNESP/ENGENHEIRO (PREF DIADEMA)/SEGURANÇA DO TRABALHO/2011) No 
Programa de Gerenciamento de Riscos, a etapa de monitoramento desempenha importante 
função de prover informações sobre o programa, sendo correto afirmar que nesta etapa
a) melhorará o entendimento que as partes interessadas têm sobre as fontes de dano e do 
processo de gestão de riscos.
b) serão verificados se os pressupostos assumidos para o controle estão corretos e se o 
cadastro de riscos se mantém atualizado.
c) serão identificados quais fatores podem aumentar ou diminuir as frequências e as conse-
quências frente a um cenário de risco.
d) serão estabelecidos um conjunto de critérios qualitativos e quantitativos com base nos 
quais os riscos serão avaliados.
e) será analisado se o risco residual se mantém o mesmo ou não para os diferentes gru-
pos expostos.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
57 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
O propósito do monitoramento é assegurar e melhorar a qualidade e eficácia da concepção, 
implementação e resultados do processo. Ou seja, irá averiguar se os critérios assumidos são 
verdadeiros e correspondem à realidade do resultado.
a) Errada, porque se refere à etapa de comunicação, e não monitoramento.
c) e d) Erradas, porque se referem à etapa de definição de critérios, e não monitoramento.
e) Errada, porque os riscos residuais precisam ser monitorados e mantidos dentro de limites 
compatíveis com os critérios de riscos estabelecidos. A alternativa menciona “diferentes gru-
pos expostos”, o que a torna incorreta, já que isso não é critério obrigatório.
Letra b.
023. (FGV - ENGENHEIRO (SUDENE)/ÁREA 1/2013) É responsabilidadede cada organização 
desenvolver procedimento(s) de preparação e resposta a emergências que atenda(m) às suas 
próprias necessidades específicas. Segundo a norma NBR ISO 14001:2004, a preparação e a 
resposta a situações de emergência são realizadas na(s) fase(s) de
a) Verificação e Ações Corretivas.
b) Implementação e Operação.
c) Avaliação da Política Ambiental.
d) Revisão Gerencial.
e) Planejamento.
Gente, a ideia é acertar a questão na prova! Então, sem elocubrações, vamos ficar ligado nesse 
tipo de cobrança sobre o PRE pertencer a qual etapa! Tanto na NBR ISO 14001 como na OHSAS 
18001:2007, o PRE está na etapa de Implementação e Operação (a norma ISO 14001 teve uma 
atualização, mudando para Operação, apenas).
Letra b.
024. (CVEST IFPE - TÉCNICO (IF PE)/SEGURANÇA DO TRABALHO/2016) A Norma OHSAS 
18001:2007 especifica requisitos para um Sistema de Gestão da Segurança e Saúde do Tra-
balho (SST), para permitir que uma organização desenvolva e implemente uma política e ob-
jetivos que levem em consideração requisitos legais e informações sobre os riscos de SST. 
Pretende-se que ela seja aplicada a todos os tipos e portes de organizações, bem como se 
adeque a diferentes condições geográficas, culturais e sociais.
É CORRETO afirmar que o requisito “preparação e resposta a emergências” enquadra-se no 
modelo do sistema de gestão da SST, estabelecido pela referida norma na etapa de
a) verificação.
b) política de SST.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
58 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
c) planejamento.
d) implementação e operação.
e) análise crítica pela direção.
Mais uma vez, agora a cobrança é segundo a norma OHSAS 18001:2007. Já sabemos que tan-
to na NBR ISO 14001 como na OHSAS 18001:2007, o PRE está na etapa de Implementação e 
Operação (a norma ISO 14001 teve uma atualização, mudando para Operação, apenas).
Letra d.
025. (SELECON - ANALISTA DE PROJETOS NAVAIS (EMGEPRON)/ENGENHEIRO DE SEGU-
RANÇA DO TRABALHO/2021) A norma ABNT NBR ISO 14001: 2015 (Sistemas de gestão am-
biental – Requisitos com orientações para uso) estabelece determinadas orientações a serem 
seguidas. A preparação e resposta a emergências se encontram relacionadas à orientação de:
a) Apoio
b) Liderança
c) Operação
d) Planejamento
A questão considera a atualização feita na norma NBR ISO 14001. No entanto, manteve-se a 
ideia. O que era etapa de Implementação e Operação ficou apenas como Operação.
Letra c.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
Adriel Sá
Professor de Direito Administrativo, Administração Geral e Administração Pública em diversos cursos 
presenciais e telepresenciais. Servidor público federal da área administrativa desde 1999 e, atualmente, 
atuando no Ministério Público Federal. Formado em Administração de Empresas pela Universidade Federal 
de Santa Catarina, com especialização em Gestão Pública. Foi militar das Forças Armadas por 11 anos, 
sempre atuando nas áreas administrativas. É coautor da obra “Direito Administrativo Facilitado” e autor da 
obra “Administração Geral e Pública - Teoria Contextualizada em Questões”, ambas publicadas pela Editora 
Juspodivm.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
	Gestão de Riscos ISO 31000/2018 e Técnicas para Avaliação de Riscos-ISO 31010/2012
	1. Introdução
	2. Termos e Definições
	3. Princípios da Gestão de Riscos
	4. Estrutura da Gestão de Riscos
	4.1. Generalidades
	4.2. Liderança e Comprometimento
	4.3. Integração
	4.4. Concepção
	4.5. Implementação
	4.6. Avaliação
	4.7. Melhoria
	5. Processo
	5.1. Generalidades
	5.2. Comunicação e Consulta
	5.3. Escopo, Contexto e Critérios
	5.4. Processo de Avaliação de Riscos
	5.5. Tratamento de Riscos
	5.6. Monitoramento e Análise Crítica
	5.7. Registro e Relato
	6. Gestão de Riscos (ABNT NBR ISO/IEC 31010:2012)
	7. Planejamento e Resposta a Emergências (PRE)
	Resumo
	Questões de Concurso
	Gabarito
	Questões de Concurso
	AVALIAR 5: 
	Página 59:Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
5 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
d) Inclusiva: o envolvimento apropriado e oportuno das partes interessadas possibilita que 
seus conhecimentos, pontos de vista e percepções sejam considerados. Isto resulta em me-
lhor conscientização e gestão de riscos fundamentada.
e) Dinâmica: riscos podem emergir, mudar ou desaparecer à medida que os contextos ex-
terno e interno de uma organização mudem. A gestão de riscos antecipa, detecta, reconhece e 
responde a estas mudanças e eventos de uma maneira apropriada e oportuna.
f) Melhor informação disponível: as entradas para a gestão de riscos são baseadas em 
informações históricas e atuais, bem como em expectativas futuras. A gestão de riscos expli-
citamente leva em consideração quaisquer limitações e incertezas associadas a estas infor-
mações e expectativas. Convém que a informação seja oportuna, clara e disponível para as 
partes interessadas pertinentes.
g) Fatores humanos e culturais: o comportamento humano e a cultura influenciam signifi-
cativamente todos os aspectos da gestão de riscos em cada nível e estágio.
h) Melhoria contínua: a gestão de riscos é melhorada continuamente por meio do aprendi-
zado e experiências.
002. (CEBRASPE (CESPE)/AUDITOR DE CONTROLE EXTERNO (TCE-PA)/INFORMÁTICA/
ANALISTA DE SEGURANÇA/2016) Com relação ao que dispõe a NBR ISO 31000:2009 acerca 
da gestão de riscos, julgue o item subsecutivo.
A gestão de riscos é uma atividade autônoma e independente de outros processos da 
organização.
Um dos princípios da gestão de riscos destaca que essa gestão é parte integrante de todos os 
processos organizacionais. Ou seja, a gestão de riscos não é uma atividade autônoma separa-
da das principais atividades e processos da organização.
Na realidade, a gestão de riscos faz parte das responsabilidades da administração e é parte in-
tegrante de todos os processos organizacionais, incluindo o planejamento estratégico e todos 
os processos de gestão de projetos e gestão de mudanças.
Errado.
4. estrutura da Gestão de rIscos
4.1. GeneralIdades
O propósito da estrutura da gestão de riscos é apoiar a organização na integração da ges-
tão de riscos em atividades significativas e funções.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
6 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
A eficácia da gestão de riscos dependerá da sua integração na governança e em todas as 
atividades da organização, incluindo a tomada de decisão. Isto requer apoio das partes interes-
sadas, em particular da Alta Direção.
O desenvolvimento da estrutura engloba integração, concepção, implementação, avaliação 
e melhoria da gestão de riscos através da organização.
4.2. lIderança e comPrometImento
Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que a 
gestão de riscos esteja integrada em todas as atividades da organização, e convém que de-
monstrem liderança e comprometimento por:
• personalizar e implementar todos os componentes da estrutura;
• emitir uma declaração ou política que estabeleça uma abordagem, plano ou curso de 
ação da gestão de riscos;
• assegurar que os recursos necessários sejam alocados para gerenciar riscos;
• atribuir autoridades, responsabilidades e responsabilização nos níveis apropriados den-
tro da organização;
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
7 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Isto vai ajudar a organização a:
− alinhar a gestão de riscos com seus objetivos, estratégia e cultura;
− reconhecer e abordar todas as obrigações, bem como seus compromissos voluntá-
rios;
− estabelecer a quantidade e o tipo de risco que pode ou não ser assumido para orien-
tar o
− desenvolvimento de critérios, assegurando que sejam comunicados à organização e 
às suas partes interessadas;
− comunicar o valor da gestão de riscos para a organização e suas partes interessadas;
− promover o monitoramento sistemático de riscos;
− assegurar que a estrutura de gestão de riscos permaneça apropriada ao contexto da 
organização.
Obs.: � O termo “accountability” foi traduzido como “responsabilização” com o sentido de 
“responsabilidade por atribuições e atos”, ou seja, por prestar contas. Assim, o termo 
“accountable” é entendido como” responsabilizado”.
A Alta Direção é responsabilizada por gerenciar riscos, enquanto os órgãos de supervisão 
são responsabilizados por supervisionar a gestão de riscos. Com frequência, é requerido ou 
esperado que os órgãos de supervisão:
• assegurem que os riscos sejam adequadamente considerados no estabelecimento dos 
objetivos da organização;
• compreendam os riscos aos quais a organização está exposta na busca de seus obje-
tivos;
• assegurem que sistemas para gerenciar estes riscos estejam implementados e operem 
eficazmente;
• assegurem que estes riscos sejam apropriados no contexto dos objetivos da organiza-
ção;
• assegurem que a informação sobre estes riscos e sua gestão seja apropriadamente 
comunicada.
4.3. InteGração
A integração da gestão de riscos apoia-se em uma compreensão das estruturas e do con-
texto organizacional. Estruturas diferem, dependendo do propósito, metas e complexidade da 
organização.
O risco é gerenciado em todas as partes da estrutura da organização. Todos na organiza-
ção têm responsabilidade por gerenciar riscos.
A governança orienta o rumo da organização, suas relações externas e internas, e as re-
gras, processos e práticas necessárias para alcançar o seu propósito.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
8 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
As estruturas de gestão traduzem a direção da governança para a estratégia e os objetivos 
associados requeridos para alcançar níveis desejados de desempenho sustentável e viabilida-
de a longo prazo.
Determinar a responsabilização pela gestão de riscos e os papéis de supervisão no âmbito 
de uma organização é parte integrante da governança da organização.
Integrar a gestão de riscos em uma organização é um processo dinâmico e iterativo, e con-
vém que seja personalizado para as necessidades e cultura da organização.
Convém que a gestão de riscos seja uma parte, e não separada, do propósito organizacio-
nal, governança, liderança e comprometimento, estratégia, objetivos e operações.
4.4. concePção
Entendendo a organização e seu contexto
Ao conceber a estrutura para gerenciar riscos, convémque a organização examine e enten-
da seus contextos externo e interno.
Examinar o contexto externo da organização pode incluir, mas não está limitado a:
• fatores sociais, culturais, políticos, jurídicos, regulatórios, financeiros, tecnológicos, eco-
nômicos e ambientais, em âmbito internacional, nacional, regional ou local;
• direcionadores-chave e tendências que afetem os objetivos da organização;
• relacionamentos, percepções, valores, necessidades e expectativas das partes interes-
sadas externas;
• relações e compromissos contratuais;
• complexidade das redes de relacionamento e dependências.
Examinar o contexto interno da organização pode incluir, mas não está limitado a:
• visão, missão e valores;
• governança, estrutura organizacional, papéis e responsabilizações;
• estratégia, objetivos e políticas;
• cultura da organização;
• normas, diretrizes e modelos adotados pela organização;
• capacidades entendidas em termos de recursos e conhecimento (por exemplo, capital, 
tempo, pessoas, propriedade intelectual, processos, sistemas e tecnologias);
• dados, sistemas de informação e fluxos de informação;
• relacionamentos com partes interessadas internas, levando em consideração suas per-
cepções e valores;
• relações contratuais e compromissos;
• interdependências e interconexões.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
9 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
003. (CEBRASPE (CESPE) - PROFISSIONAL DE TECNOLOGIA DA INFORMAÇÃO (ME)/ATI-
VIDADES TÉCNICAS DE COMPLEXIDADE GERENCIAL, DE TECNOLOGIA DA INFORMAÇÃO 
E DE ENGENHARIA SÊNIOR/GESTÃO DE PROJETOS/2020) Com relação à gestão de riscos, 
julgue o seguinte item.
O contexto interno da organização precisa ser estabelecido na gestão de riscos, de modo a se 
identificarem os principais stakeholders: clientes, fornecedores e marco regulatório.
Examinar o contexto externo da organização pode incluir, mas não está limitado a:
• fatores sociais, culturais, políticos, jurídicos, regulatórios, financeiros, tecnológicos, eco-
nômicos e ambientais, em âmbito internacional, nacional, regional ou local;
• direcionadores-chave e tendências que afetem os objetivos da organização;
• relacionamentos, percepções, valores, necessidades e expectativas das partes interes-
sadas externas;
• relações e compromissos contratuais;
• complexidade das redes de relacionamento e dependências.
Já examinar o contexto interno da organização pode incluir, mas não está limitado a:
• visão, missão e valores;
• governança, estrutura organizacional, papéis e responsabilizações;
• estratégia, objetivos e políticas;
• cultura da organização;
• normas, diretrizes e modelos adotados pela organização;
• capacidades entendidas em termos de recursos e conhecimento (por exemplo, capital, 
tempo, pessoas, propriedade intelectual, processos, sistemas e tecnologias);
• dados, sistemas de informação e fluxos de informação;
• relacionamentos com partes interessadas internas, levando em consideração suas per-
cepções e valores;
• relações contratuais e compromissos;
• interdependências e interconexões.
Note que a questão menciona clientes, fornecedores e marco regulatório. Clientes e fornece-
dores fazem parte das relações contratuais e compromissos, que constam tanto como contex-
to interno quanto externo, a depender das atividades das organizações. No entanto, atividades 
regulatórias fazem parte do contexto externo da organização. Daí o erro do item.
Errado.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
10 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Articulando o Comprometimento com a Gestão de Riscos
Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, demonstrem e arti-
culem o seu comprometimento contínuo com a gestão de riscos por meio de uma política, uma 
declaração ou outras formas que claramente transmitam os objetivos e o comprometimento 
com a gestão de riscos de uma organização.
Convém que o comprometimento inclua, mas não se limite a:
• o propósito da organização para gerenciar riscos e vínculos com seus objetivos e outras 
políticas;
• reforçar a necessidade de integrar a gestão de riscos na cultura global da organização;
• liderar a integração da gestão de riscos nas atividades principais do negócio e na toma-
da de decisão;
• autoridades, responsabilidades e responsabilizações;
• tornar disponíveis os recursos necessários;
• a maneira pela qual os objetivos conflitantes são tratados;
• medição e relato no âmbito dos indicadores de desempenho da organização;
• análise crítica e melhoria.
Convém que o comprometimento com a gestão de riscos seja comunicado na organização 
e às partes interessadas, como apropriado.
Atribuindo Papéis Organizacionais, Autoridades, Responsabilidades e Res-
ponsabilizações
Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que as 
autoridades, responsabilidades e responsabilizações para os papéis pertinentes à gestão de 
riscos sejam atribuídas e comunicadas a todos os níveis da organização, e convém que:
• enfatizem que a gestão de riscos é uma responsabilidade principal;
• identifiquem indivíduos que possuam responsabilização e tenham autoridade para ge-
renciar riscos (proprietários dos riscos).
Alocando Recursos
Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem a alocação 
de recursos apropriados para a gestão de riscos, que podem incluir, mas não estão limitados a:
• pessoas, habilidades, experiência e competência;
• processos, métodos e ferramentas da organização a serem usados na gestão de riscos;
• processos e procedimentos documentados;
• sistemas de gestão da informação e do conhecimento;
• necessidades de treinamento e desenvolvimento profissional.
Convém que a organização considere as capacidades e restrições dos recursos existentes.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
11 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Estabelecendo Comunicação e Consulta
Convém que a organização estabeleça uma abordagem aprovada para comunicação e 
consulta para apoiar a estrutura e facilitar a aplicação eficaz da gestão de riscos.
Comunicação envolve compartilhar informação com públicos-alvo. A consulta também en-
volve o fornecimento de retorno pelos participantes, com a expectativa de que isto contribuirá 
para as decisões e sua formulação ou outras atividades.
Convém que os métodos e conteúdo da comunicação e consulta reflitam as expectativas 
das partes interessadas, onde for pertinente.
Convém que a comunicação e a consulta sejam oportunas e assegurem que a informação 
pertinente seja coletada, consolidada, sintetizada e compartilhada, como apropriado, e que o 
retorno seja fornecido e as melhorias sejam implementadas.
004. (CESGRANRIO/ENGENHEIRO JÚNIOR (TRANSPETRO)/SEGURANÇA/2011)Segundo 
a NBR ISO 31000, Gestão de Riscos – Princípios e diretrizes, na etapa de concepção da estru-
tura para gerenciar riscos,
a) a pessoa designada para gerenciar todo o processo de risco de uma organização deve possuir 
experiência mínima de três anos em gestão de risco e ser do corpo gerencial da organização.
b) a organização deve identificar os proprietários dos riscos que têm a responsabilidade e a 
autoridade para gerenciá-los.
c) a publicação de uma política de gestão de risco é obrigatória, sendo que a mesma deve ser 
assinada pela maior autoridade da organização.
d) os estudos de riscos serão coordenados pela organização e deles deverão participar dois 
representantes da comunidade, caso a comunidade vizinha possa ser afetada pelos riscos 
gerados pela organização.
e) os planos de ação para a eliminação e controle dos riscos devem ser reavaliados, obrigato-
riamente a cada dois anos.
A concepção da estrutura para gerenciar riscos envolve:
• Entender a organização e seu contexto;
• Articular o comprometimento com a gestão de riscos;
• Atribuir papéis organizacionais, autoridades, responsabilidades e responsabilizações 
(nosso gabarito);
• Alocar recursos; e
• Estabelecer comunicação e consulta.
Note que as alternativas A, C e E mencionam prazos e a norma silencia quanto a isso. Sobre a 
alternativa D, a norma nada estabelece essa composição com representantes da sociedade.
Letra b.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
12 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
4.5. ImPlementação
Convém que a organização implemente a estrutura de gestão de riscos por meio de:
• desenvolvimento de um plano apropriado, incluindo prazos e recursos;
• identificação de onde, quando e como diferentes tipos de decisões são tomadas pela 
organização, e por quem;
• modificação dos processos de tomada de decisão aplicáveis, onde necessário;
• garantia de que os arranjos da organização para gerenciar riscos sejam claramente 
compreendidos e praticados.
A implementação bem-sucedida da estrutura requer o engajamento e a conscientização 
das partes interessadas. Isso permite que as organizações abordem explicitamente a incer-
teza na tomada de decisão, enquanto também asseguram que qualquer incerteza nova ou 
posterior possa ser levada em consideração à medida que ela surja.
Adequadamente concebida e implementada, a estrutura de gestão de riscos assegurará que 
o processo de gestão de riscos é parte de todas as atividades da organização, incluindo a tomada 
de decisão, e que as mudanças nos contextos externo e interno serão adequadamente capturadas.
4.6. avalIação
Para avaliar a eficácia da estrutura de gestão de riscos, convém que a organização:
• mensure periodicamente o desempenho da estrutura de gestão de riscos em relação ao 
seu propósito, planos de implementação, indicadores e comportamento esperado;
• determine se permanece adequada para apoiar o alcance dos objetivos da organização.
4.7. melhorIa
Adaptação
Convém que a organização monitore e adapte continuamente a estrutura de gestão de ris-
cos para abordar as mudanças externas e internas. Ao fazer isso, a organização pode melhorar 
seu valor.
Melhoria Contínua
Convém que organização melhore continuamente a adequação, suficiência e eficácia da 
estrutura de gestão de riscos e a forma como o processo de gestão de riscos é integrado.
À medida que lacunas ou oportunidades de melhoria pertinentes são identificadas, con-
vém que a organização desenvolva planos e tarefas e os atribua àqueles responsabilizados 
pela implementação.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
13 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Uma vez implementadas, convém que estas melhorias contribuam para o aprimoramento 
da gestão de riscos.
5. Processo
5.1. GeneralIdades
O processo de gestão de riscos envolve a aplicação sistemática de políticas, procedimen-
tos e práticas para as atividades de comunicação e consulta, estabelecimento do contexto e 
avaliação, tratamento, monitoramento, análise crítica, registro e relato de riscos.
Convém que o processo de gestão de riscos seja parte integrante da gestão e da tomada 
de decisão, e seja integrado na estrutura, operações e processos da organização. Pode ser 
aplicado nos níveis estratégico, operacional, de programas ou de projetos.
Pode haver muitas aplicações do processo de gestão de riscos em uma organização, per-
sonalizadas para alcançar objetivos e para se adequar aos contextos externo e interno nos 
quais são realizadas.
Convém que a natureza dinâmica e variável do comportamento humano e cultura seja con-
siderada ao longo do processo de gestão de riscos.
Embora o processo de gestão de riscos seja frequentemente apresentado como sequen-
cial, na prática ele é iterativo.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
14 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
5.2. comunIcação e consulta
O propósito da comunicação e consulta é auxiliar as partes interessadas pertinentes na 
compreensão do risco, na base sobre a qual decisões são tomadas e nas razões pelas quais 
ações específicas são requeridas.
A comunicação busca promover a conscientização e o entendimento do risco, enquanto 
a consulta envolve obter retorno e informação para auxiliar a tomada de decisão.
Convém que uma coordenação estreita entre as duas facilite a troca de informações 
factuais, oportunas, pertinentes, precisas e compreensíveis, levando em consideração a 
confidencialidade e integridade da informação, bem como os direitos de privacidade dos 
indivíduos.
Convém que ocorram comunicação e consulta com partes interessadas apropriadas ex-
ternas e internas, no âmbito de cada etapa e ao longo de todo o processo de gestão de riscos.
Comunicação e consulta visam a:
• reunir diferentes áreas de especialização para cada etapa do processo de gestão de 
riscos;
• assegurar que pontos de vista diferentes sejam considerados apropriadamente ao se 
definirem critérios de risco e ao se avaliarem riscos;
• fornecer informações suficientes para facilitar a supervisão dos riscos e a tomada de 
decisão;
• construir um senso de inclusão e propriedade entre os afetados pelo risco.
005. (CEBRASPE (CESPE)/ANALISTA DO MINISTÉRIO PÚBLICO DA UNIÃO/TÉCNICO-ES-
PECIALIZADO/FINANÇAS E CONTROLE/2013) Julgue o item que se segue, relativo à ges-
tão de risco.
Na fase de comunicação do risco, deve-se proceder à identificação das diversas partes in-
teressadas na gestão de riscos, bem como à delimitação das funções e responsabilidades 
dessas partes.
O propósito da comunicação é auxiliar as partes interessadas pertinentes na compreensão 
do risco. Note que as partes interessadas já estão identificadas.
A identificação das diversas partes interessadas na gestão de riscos faz parte da fasede 
concepção.
Errado.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
15 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
5.3. escoPo, contexto e crItérIos
Generalidades
O propósito do estabelecimento do escopo, contexto e critérios é personalizar o processo 
de gestão de riscos, permitindo um processo de avaliação de riscos eficaz e um tratamento de 
riscos apropriado.
Escopo, contexto e critérios envolvem a definição do escopo do processo, a compreensão 
dos contextos externo e interno.
Definindo o Escopo
Convém que a organização defina o escopo de suas atividades de gestão de riscos.
Como o processo de gestão de riscos pode ser aplicado em diferentes níveis (por exemplo, 
estratégico, operacional, programa, projeto ou outras atividades), é importante ser claro sobre 
o escopo em consideração, os objetivos pertinentes a serem considerados e o seu alinhamen-
to aos objetivos organizacionais.
Ao planejar a abordagem, as considerações incluem:
• objetivos e decisões que precisam ser tomadas;
• resultados esperados das etapas a serem realizadas no processo;
• tempo, localização, inclusões e exclusões específicas;
• ferramentas e técnicas apropriadas para o processo de avaliação de riscos;
• recursos requeridos, responsabilidades e registros a serem mantidos;
• relacionamentos com outros projetos, processos e atividades.
Contextos Externo e Interno
Os contextos externo e interno são o ambiente no qual a organização procura definir e al-
cançar seus objetivos.
Convém que o contexto do processo de gestão de riscos seja estabelecido a partir da com-
preensão dos ambientes externo e interno no qual a organização opera, e convém que reflita o 
ambiente específico da atividade ao qual o processo de gestão de riscos é aplicado.
Compreender o contexto é importante porque:
• a gestão de riscos ocorre no contexto dos objetivos e atividades da organização;
• fatores organizacionais podem ser uma fonte de risco;
• propósito e escopo do processo de gestão de riscos podem estar inter-relacionados 
com os objetivos da organização como um todo.
Convém que a organização estabeleça os contextos externo e interno do processo de ges-
tão de riscos.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
16 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Definindo Critérios de Risco
Convém que a organização especifique a quantidade e o tipo de risco que podem ou não 
assumir em relação aos objetivos.
Convém também que estabeleça critérios para avaliar a significância do risco e para 
apoiar os processos de tomada de decisão.
Convém que os critérios de risco sejam alinhados à estrutura de gestão de riscos e sejam 
personalizados para o propósito específico e o escopo da atividade em consideração.
Convém que os critérios de risco reflitam os valores, objetivos e recursos da organização 
e sejam consistentes com as políticas e declarações sobre gestão de riscos.
Convém que os critérios de risco sejam estabelecidos levando em consideração as obri-
gações da organização e os pontos de vista das partes interessadas.
Embora convenha que os critérios de risco sejam estabelecidos no início do processo 
de avaliação de riscos, eles são dinâmicos; e convém que sejam continuamente analisados 
criticamente e alterados, se necessário.
Para estabelecer os critérios de risco, convém considerar:
• a natureza e o tipo de incertezas que podem afetar resultados e objetivos (tanto tangí-
veis quanto intangíveis);
• como as consequências (tanto positivas quanto negativas) e as probabilidades serão 
definidas e medidas;
• fatores relacionados ao tempo;
• consistência no uso de medidas;
• como o nível de risco será determinado;
• como as combinações e sequências de múltiplos riscos serão levadas em considera-
ção;
• a capacidade da organização.
5.4. Processo de avalIação de rIscos
Generalidades
O processo de avaliação de riscos é o processo global de identificação de riscos, análise 
de riscos e avaliação de riscos.
Convém que o processo de avaliação de riscos seja conduzido de forma sistemática, 
iterativa e colaborativa, com base no conhecimento e nos pontos de vista das partes in-
teressadas.
Convém que use a melhor informação disponível, complementada por investigação adi-
cional, como necessário.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
17 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Identificação de Riscos
O propósito da identificação de riscos é encontrar, reconhecer e descrever riscos que pos-
sam ajudar ou impedir que uma organização alcance seus objetivos. Informações pertinentes, 
apropriadas e atualizadas são importantes na identificação de riscos.
A organização pode usar uma variedade de técnicas para identificar incertezas que podem 
afetar um ou mais objetivos.
Convém que os seguintes fatores e o relacionamento entre estes fatores sejam considerados:
• fontes tangíveis e intangíveis de risco;
• causas e eventos;
• ameaças e oportunidades;
• vulnerabilidades e capacidades;
• mudanças nos contextos externo e interno;
• indicadores de riscos emergentes;
• natureza e valor dos ativos e recursos;
• consequências e seus impactos nos objetivos;
• limitações de conhecimento e de confiabilidade da informação;
• fatores temporais;
• vieses, hipóteses e crenças dos envolvidos.
Convém que a organização identifique os riscos, independentemente de suas fontes esta-
rem ou não sob seu controle.
Convém considerar que pode haver mais de um tipo de resultado, o que pode resultar em 
uma variedade de consequências tangíveis ou intangíveis.
006. (CEBRASPE (CESPE)/ANALISTA JUDICIÁRIO (TJ AC)/TÉCNICO-ADMINISTRATIVA/
ANALISTA DE SUPORTE/2012) A respeito de plano de continuidade de negócios, planeja-
mento do sistema de gestão de riscos, processo de gestão de risco e etapa de identificação de 
controles, julgue o seguinte item.
A identificação do ativo, que representa elemento com valor para o empreendimento que ne-
cessita de proteção, é uma etapa fundamental ao processo de gestão de riscos.
A identificação de riscos, por óbvio, considera diversos fatores, e um deles é a natureza e valor 
dos ativos e recursos organizacionais. Outros exemplos podem ser citados:
• fontes tangíveis e intangíveis de risco;
• causas e eventos;
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
18 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
• ameaças e oportunidades;
• vulnerabilidadese capacidades;
• mudanças nos contextos externo e interno;
• indicadores de riscos emergentes;
• consequências e seus impactos nos objetivos;
• limitações de conhecimento e de confiabilidade da informação;
• fatores temporais;
• vieses, hipóteses e crenças dos envolvidos.
Certo.
Análise de Riscos
O propósito da análise de riscos é compreender a natureza do risco e suas características, 
incluindo o nível de risco, onde apropriado.
A análise de riscos envolve a consideração detalhada de incertezas, fontes de risco, conse-
quências, probabilidade, eventos, cenários, controles e sua eficácia.
Um evento pode ter múltiplas causas e consequências e pode afetar múltiplos objetivos.
A análise de riscos pode ser realizada com vários graus de detalhamento e complexidade, 
dependendo do propósito da análise, da disponibilidade e confiabilidade da informação, e dos 
recursos disponíveis.
As técnicas de análise podem ser qualitativas, quantitativas ou uma combinação destas, 
dependendo das circunstâncias e do uso pretendido.
Convém que a análise de riscos considere fatores como:
• a probabilidade de eventos e consequências;
• a natureza e magnitude das consequências;
• complexidade e conectividade;
• fatores temporais e volatilidade;
• a eficácia dos controles existentes;
• sensibilidade e níveis de confiança.
A análise de riscos pode ser influenciada por qualquer divergência de opiniões, vieses, 
percepções do risco e julgamentos. Influências adicionais são a qualidade da informação uti-
lizada, as hipóteses e as exclusões feitas, quaisquer limitações das técnicas e como elas são 
executadas.
Convém que estas influências sejam consideradas, documentadas e comunicadas aos to-
madores de decisão. Eventos altamente incertos podem ser difíceis de quantificar. Isso pode 
ser um problema ao analisar eventos com consequências severas. Nestes casos, usar uma 
combinação de técnicas geralmente fornece maior discernimento.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
19 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
A análise de riscos fornece uma entrada para a avaliação de riscos, para decisões sobre 
se o risco necessita ser tratado e como, e sobre a estratégia e os métodos mais apropriados 
para o tratamento de riscos. Os resultados propiciam discernimento para decisões, em que 
escolhas estão sendo feitas e as opções envolvem diferentes tipos e níveis de risco.
007. (CEBRASPE (CESPE)/ANALISTA LEGISLATIVO (ALECE)/INFORMÁTICA/2011) A res-
peito da gestão de riscos, julgue o item subsequente.
No processo de análise de risco, deve ser realizada a identificação dos ativos, bem como dos 
responsáveis por eles. Nessa identificação, deve-se estabelecer um escopo para a gestão de 
riscos da organização.
A avaliação de riscos envolve a comparação dos resultados da análise de riscos com os cri-
térios de risco estabelecidos. Como vimos, a identificação de ativos e a natureza de cada um 
deles é essencial nessa avaliação.
A afirmativa destaca o escopo, ou seja, o alcance do que será avaliado nos níveis apropriados 
da organização.
Certo.
5.5. tratamento de rIscos
Generalidades
O propósito do tratamento de riscos é selecionar e implementar opções para abordar riscos.
O tratamento de riscos envolve um processo iterativo de:
• formular e selecionar opções para tratamento do risco;
• planejar e implementar o tratamento do risco;
• avaliar a eficácia deste tratamento;
• decidir se o risco remanescente é aceitável;
• se não for aceitável, realizar tratamento adicional.
Seleção de Opções de Tratamento de Riscos
Selecionar a(s) opção(ões) mais apropriada(s) de tratamento de riscos envolve balancear 
os benefícios potenciais derivados em relação ao alcance dos objetivos, face aos custos, es-
forço ou desvantagens da implementação.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
20 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
As opções de tratamento de riscos não são necessariamente mutuamente exclusivas ou 
apropriadas em todas as circunstâncias. As opções para tratar o risco podem envolver um ou 
mais dos seguintes:
• evitar o risco ao decidir não iniciar ou continuar com a atividade que dá origem ao risco;
• assumir ou aumentar o risco de maneira a perseguir uma oportunidade;
• remover a fonte de risco;
• mudar a probabilidade;
• mudar as consequências;
• compartilhar o risco (por exemplo, por meio de contratos, compra de seguros);
• reter o risco por decisão fundamentada.
A justificativa para o tratamento de riscos é mais ampla do que apenas considerações 
econômicas, e convém que leve em consideração todas as obrigações da organização, com-
promissos voluntários e pontos de vista das partes interessadas.
Convém que a seleção de opções de tratamento de riscos seja feita de acordo com os ob-
jetivos da organização, critérios de risco e recursos disponíveis.
Ao selecionar opções de tratamento de riscos, convém que a organização considere os 
valores, percepções e potencial envolvimento das partes interessadas, e as formas mais apro-
priadas para com elas se comunicar e consultar. Embora igualmente eficazes, alguns tratamen-
tos de riscos podem ser mais aceitáveis para algumas partes interessadas do que para outras.
Ainda que cuidadosamente concebido e implementado, o tratamento de riscos pode não 
produzir os resultados esperados e pode produzir consequências não pretendidas.
Monitoramento e análise crítica precisam ser parte integrante da implementação do trata-
mento de riscos, para assegurar que as diferentes formas de tratamento se tornem e perma-
neçam eficazes.
O tratamento de riscos também pode introduzir novos riscos que precisem ser gerenciados.
Se não houver opções de tratamento disponíveis ou se as opções de tratamento não mo-
dificarem suficientemente o risco, convém que este seja registrado e mantido sob análise crí-
tica contínua.
Convém que os tomadores de decisão e outras partes interessadas estejam conscientes 
da natureza e extensão do risco remanescente após o tratamento de riscos.
Convém que o risco remanescente seja documentado e submetido a monitoramento, aná-
lise crítica e, onde apropriado, tratamento adicional.
Preparando e Implementando Planos de Tratamento de Riscos
O propósito dos planos de tratamento de riscos é especificar como as opções de tratamen-
to escolhidas serão implementadas de maneira que os arranjos sejam compreendidos pelos 
envolvidos, e o progresso em relação ao plano possa ser monitorado.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
21 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Convém que o plano de tratamento identifique claramente a ordem em que o tratamento 
de riscos será implementado.
Convém que os planos de tratamento sejam integrados nos planos e processos de gestão 
da organização, em consulta comas partes interessadas apropriadas.
Convém que as informações fornecidas no plano de tratamento incluam:
• a justificativa para a seleção das opções de tratamento, incluindo os benefícios espera-
dos a serem obtidos;
• aqueles que são responsabilizáveis e responsáveis por aprovar e implementar o plano;
• as ações propostas;
• os recursos requeridos, incluindo contingências;
• as medidas de desempenho;
• as restrições;
• os relatos e monitoramento requeridos;
• quando se espera que ações sejam tomadas e concluídas.
008. (FCC/ANALISTA JUDICIÁRIO (TRF 3ª REGIÃO)/APOIO ESPECIALIZADO/INFORMÁTI-
CA/2019) Uma das abordagens mais recentes sobre gestão de riscos no âmbito das organiza-
ções está contida na norma técnica ABNT NBR ISO 31000 − Gestão de Risco, segundo a qual 
o denominado “tratamento de risco” consiste em
a) processo para modificar o risco, atuando sobre a probabilidade ou consequência do risco.
b) estabelecer referências em face das quais a significância de um risco é avaliada.
c) identificar a natureza do risco, entre provável, possível ou remoto, e determinar a sua alocação.
d) aferir o grau de probabilidade da materialização do risco, utilizando cenários de compa-
rabilidade.
e) avaliar a magnitude da consequência do risco para fins de explicitação e quantificação nas 
demonstrações financeiras.
O propósito do tratamento de riscos é selecionar e implementar opções para abordar riscos. 
Ou seja, se estamos falando em tratar o risco, estamos querendo agir sobre o risco, modifican-
do a sua natureza, suas probabilidade s e suas prováveis consequências.
Letra a.
5.6. monItoramento e análIse crítIca
O propósito do monitoramento e análise crítica é assegurar e melhorar a qualidade e eficá-
cia da concepção, implementação e resultados do processo.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
22 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Convém que o monitoramento contínuo e a análise crítica periódica do processo de gestão 
de riscos e seus resultados sejam uma parte planejada do processo de gestão de riscos, com 
responsabilidades claramente estabelecidas.
Convém que monitoramento e análise crítica ocorram em todos os estágios do processo.
Monitoramento e análise crítica incluem planejamento, coleta e análise de informações, 
registro de resultados e fornecimento de retorno.
Convém que os resultados do monitoramento e análise crítica sejam incorporados em to-
das as atividades de gestão de desempenho, medição e relatos da organização.
5.7. reGIstro e relato
Convém que o processo de gestão de riscos e seus resultados sejam documentados e 
relatados por meio de mecanismos apropriados. O registro e o relato visam:
• comunicar atividades e resultados de gestão de riscos em toda a organização;
• fornecer informações para a tomada de decisão;
• melhorar as atividades de gestão de riscos;
• auxiliar a interação com as partes interessadas, incluindo aquelas com responsabilida-
de e com responsabilização por atividades de gestão de riscos.
Convém que as decisões relativas à criação, retenção e manuseio de informação docu-
mentada levem em consideração, mas não se limitem a, o seu uso, a sensibilidade da informa-
ção e os contextos externo e interno.
O relato é parte integrante da governança da organização e convém que melhore a qualida-
de do diálogo com as partes interessadas e apoie a Alta Direção e os órgãos de supervisão a 
cumprirem suas responsabilidades.
Os fatores a considerar para o relato incluem, mas não estão limitados a:
• diferentes partes interessadas e suas necessidades específicas de informação e requi-
sitos;
• custo, frequência e pontualidade do relato;
• método de relato;
• pertinência da informação para os objetivos organizacionais e para a tomada de deci-
são.
6. Gestão de rIscos (aBnt nBr Iso/Iec 31010:2012)
Esta Norma era uma norma de apoio à ABNT NBR ISO 31000 e fornecia orientações so-
bre a seleção e aplicação de técnicas sistemáticas para o processo de avaliação de riscos.
No entanto, a norma NBR ISO/IEC 31010:2012 foi cancelada em data anterior à publi-
cação do edital. Como até o momento de publicação dessa aula não houve retificação do 
edital, julgamos desnecessário o estudo de uma norma que foi cancelada.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
23 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Ainda assim, observe o que diz o seguinte item do edital:
21.15. A legislação com entrada em vigor após a data de publicação deste Edital, bem 
como alterações em dispositivos legais e normativos posteriores, não será objeto de avalia-
ção nas provas deste concurso público.
Dessa forma, vamos reproduzir aqui os principais conceitos das técnicas para o pro-
cesso de avaliação de risco e casa haja tempo no seu cronograma de estudo, vale a pena 
dar uma lida para não ser “pego de surpresa”.
Brainstorming
O Brainstorming envolve estimular e incentivar o livre fluxo de conversação entre um 
grupo de pessoas conhecedoras para identificar os modos de falha potenciais e os perigos 
e riscos associados, os critérios para decisões e/ou opções para tratamento.
O termo “brainstorming” é frequentemente utilizado muito livremente para qualquer 
tipo de discussão em grupo. Entretanto, o verdadeiro brainstorming envolve técnicas espe-
cíficas para tentar assegurar que a imaginação das pessoas é provocada pelos pensamen-
tos e declarações de outras pessoas no grupo.
Entrevistas estruturadas ou semiestruturadas
Em uma entrevista estruturada, os entrevistados são solicitados individualmente a res-
ponder a um conjunto de questões pré-elaboradas que constam de um roteiro de instru-
ções e que incentivam o entrevistado a ver uma situação a partir de uma perspectiva dife-
rente e, assim, identificar os riscos a partir desta perspectiva.
Uma entrevista semiestruturada é semelhante, porém permite mais liberdade para uma 
conversa que explore questões que surjam.
Técnica Delphi
A técnica Delphi é um procedimento para obter um consenso confiável de opiniões de 
um grupo de especialistas. Embora muitas vezes o termo seja agora amplamente utilizado 
para significar qualquer forma de brainstorming, uma característica essencial da técnica 
Delphi, como originalmente formulada, era a de que os especialistas expressavam suas 
opiniões individual e anonimamente e tinham acesso aos pontos de vista de outros espe-
cialistas à medida o processo evoluía.
Listas de verificação
As listas de verificação são listas de perigos, riscos ou falhas de controle que foram desen-
volvidas normalmente a partir da experiência, como resultado de um processo de uma avalia-
ção de riscos anterior ou como um resultado de falhas passadas.
Análise preliminar de perigos (APP)
A APP é um método de análise simples e indutivo cujo objetivo é identificar os perigos e 
situações e eventos perigosos que podem causar danos em uma determinada atividade, ins-
talação ou sistema.
Estudo de perigos e operabilidade (HAZOP)
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
24 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
HAZOP é o acrônimo para “HAZard and OPerability Study” e é um exame estruturado e 
sistemático de um produto, processo, procedimento ou sistema existente ou planejado. É uma 
técnica para identificar os riscos para pessoas, equipamentos, ambiente e/ou objetivos orga-
nizacionais. Espera-se também que a equipe de estudo, sempre que possível, forneça uma 
solução para o tratamento do risco.
Análise de perigos e pontos críticos de controle (APPCC)
A análise de perigos e pontos críticos de controle (APPCC) fornece uma estrutura para a 
identificar perigos e pôr em prática controles em todas as partes pertinentes de um processo 
para proteger dos perigos e manter a confiabilidade da qualidade e segurança de um produto.
A APPCC tem como objetivo assegurar que os riscos sejam minimizados por controles ao 
longo do processo ao invés de mediante a inspeção do produto final.
Avaliação da toxicidade
O processo de avaliação de riscos ambientais é utilizado aqui para abranger o processo 
seguido no processo de avaliação de riscos em vegetais, animais e seres humanos como um 
resultado da exposição a uma série de perigos ambientais.
A gestão de riscos refere-se às etapas do processo decisório, incluindo a avaliação de ris-
cos e o tratamento de riscos. O método envolve a análise do perigo ou da fonte de dano e como 
ela afeta a população-alvo e os caminhos pelos quais o perigo pode alcançar uma população-
-alvo susceptível. Esta informação é então combinada para dar uma estimativa da provável 
extensão e a natureza do dano
Técnica estruturada “E se” (SWIFT)
A técnica SWIFT foi originalmente desenvolvida como uma alternativa mais simples para o 
HAZOP. É um estudo sistemático, baseado em trabalho em equipe, que utiliza um conjunto de 
palavras ou frases de ‘comando’ que é usado pelo facilitador dentro de uma oficina de trabalho 
para estimular os participantes a identificar riscos.
O facilitador e a equipe utilizam frases padrão do tipo “e se” em combinação com os 
comandos para investigar como um sistema, item de instalações, organização ou procedi-
mento será afetado por desvios de comportamento e operações normais. A técnica SWIFT 
é normalmente aplicada mais em nível de sistemas com um nível menor de detalhes do 
que o HAZOP.
Análise de cenários
A análise de cenários é um nome dado para o desenvolvimento de modelos descritivos 
de como o futuro poderá ser. Pode ser utilizada para identificar os riscos, considerando possí-
veis desenvolvimentos futuros e explorando suas implicações. Os conjuntos de cenários (por 
exemplo) ‘melhor caso’, ‘pior caso’ e ‘caso esperado’, podem ser utilizados para analisar conse-
quências potenciais e suas probabilidades para cada cenário como uma forma de análise da 
sensibilidade ao analisar o risco.
O poder da análise de cenários é ilustrado considerando as grandes mudanças ao longo 
dos últimos 50 anos em tecnologia, as preferências do consumidor, atitudes sociais etc. A 
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
25 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
análise de cenários não pode prever as probabilidades de tais mudanças, mas pode considerar 
as consequências e auxiliar as organizações a desenvolverem forças e resiliência necessárias 
para se adaptar às mudanças previsíveis.
Análise de impactos nos negócios (BIA)
A análise de impactos nos negócios, também conhecida como avaliação de impacto nos 
negócios, analisa como os principais riscos de ruptura poderiam afetar as operações da or-
ganização, e identifica e quantifica as capacidades que seriam necessárias para gerenciá-los. 
Especificamente, a BIA prevê um entendimento acordado de:
identificação e criticidade dos principais processos de negócios, funções e recursos asso-
ciados e as principais interdependências que existem para uma organização;
como os eventos de ruptura afetarão a capacidade e a capabilidade de alcançar os objeti-
vos críticos do negócio;
capacidade e capabilidade necessárias para gerenciar o impacto de uma ruptura e recupe-
rar a organização para níveis acordados de operação.
Análise de causa-raiz (RCA)
A análise de uma grande perda para evitar a sua recorrência é comumente referida como 
Análise de Causa-Raiz (RCA), Análise de Falhas de Causa-Raiz (RCFA) ou análise da perda. A 
RCA é focada nas perdas dos ativos devidas a vários tipos de falhas enquanto a análise da 
perda está relacionada principalmente às perdas financeiras ou econômicas devido a fatores 
externos ou catástrofes.
Esta análise tenta identificar a raiz ou causas originais ao invés de lidar somente com os 
sintomas imediatamente óbvios. É reconhecido que a ação corretiva nem sempre pode ser to-
talmente eficaz e que a melhoria contínua pode ser requerida. A RCA é mais frequentemente 
aplicada para a avaliação de uma grande perda, mas também pode ser utilizada para analisar as 
perdas de uma forma mais global a fim de determinar onde as melhorias podem ser efetuadas.
Análise de modo e efeito de falha (FMEA) e análise de modo, efeito e criticidade de 
falha (FMECA)
A análise de modo e efeito de falha (FMEA) é uma técnica utilizada para identificar as formas 
em que componentes, sistemas ou processos podem falhar em atender o intuito de seu projeto.
A FMEA identifica:
todos os modos de falha potenciais das várias partes de um sistema (um modo de falha é 
aquilo que é observado ao falhar ou ao desempenhar incorretamente);
os efeitos que estas falhas podem ter no sistema;
os mecanismos de falha;
como evitar as falhas e/ou mitigar os efeitos das falhas no sistema.
A análise de modo, efeito e criticidade de falha FMECA estende uma FMEA de modo 
que cada modo de falha identificado seja classificado de acordo com a sua importância ou 
criticidade.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
26 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Esta análise de criticidade é normalmente qualitativa ou semiquantitativa, porém pode ser 
quantificada utilizando taxas reais de falha.
Análise de árvore de falhas (FTA)
A FTA é uma técnica para identificar e analisar os fatores que podem contribuir para um 
evento específico indesejado (chamado “evento de topo”). Fatores causais são identificados 
por dedução e organizados de uma maneira lógica e representados pictograficamente em 
um diagrama de árvore que descreve os fatores causais e sua relação lógica com o even-
to de topo.
Os fatores identificados na árvore podem ser eventos que estão associados a falhas de 
componente de equipamentos, erros humanos ou quaisquer outros eventos pertinentes que 
levem ao evento indesejado.
Análise de árvore de eventos (ETA)
A ETA é uma técnica gráfica para representar as sequências mutuamente excludentes de 
eventos após um evento iniciador de acordo com o funcionamento/não funcionamento dos 
vários sistemas projetados para mitigar as suas consequências. Pode ser aplicada qualitativa 
e quantitativamente.
Análise de causa e consequênciaA análise de causa e consequência é uma combinação da análise da árvore de falhas e 
árvore de eventos. Ela começa a partir de um evento crítico e analisa as consequências por 
meio de uma combinação de portas lógicas SIM/NÃO que representam condições que podem 
ocorrer ou falhas de sistemas projetados para atenuar as consequências do evento iniciador. 
As causas das condições ou falhas são analisadas por meio de árvores de falhas.
Análise de causa e efeito
A análise de causa e efeito é um método estruturado para identificar as possíveis causas 
de um evento ou problema indesejado. Ele organiza os possíveis fatores contributivos em ca-
tegorias amplas de modo que todas as hipóteses possíveis possam ser consideradas.
Entretanto, por si só não aponta para as causas reais, já que estas somente podem ser 
determinadas por evidência real e testes empíricos de hipóteses. A informação é organizada 
em diagramas de espinha de peixe (também chamados de Ishikawa) ou por vezes em diagra-
mas de árvore
Análise de camadas de proteção (LOPA)
A LOPA é um método semiquantitativo para estimar os riscos associados a um evento ou 
cenário indesejado. Analisa se há medidas sufi cientes para controlar ou mitigar os riscos.
Um par de causa e consequência é selecionado e as camadas de proteção que evitam que 
a causa leve à consequência indesejada são identificadas. Um cálculo da ordem de grandeza 
é realizado para determinar se a proteção é adequada para reduzir o risco a um nível tolerável.
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
27 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
Análise de árvore de decisões
Uma árvore de decisões representa alternativas de decisão e resultados de maneira se-
quencial, que leva em consideração resultados incertos. É similar a uma árvore de eventos na 
medida em que ela começa a partir de um evento iniciador ou uma decisão inicial e modela di-
ferentes caminhos e resultados como um resultado de eventos que podem ocorrer e decisões 
diferentes que podem ser tomadas.
Avaliação da confiabilidade humana (ACH)
A avaliação da confiabilidade humana (ACH) trata do impacto de pessoas sobre o desem-
penho do sistema e pode ser utilizada para avaliar as influências de erro humano no sistema. 
Muitos processos contêm potencial para erro humano, especialmente quando o tempo dispo-
nível para o operador tomar decisões for curto.
A probabilidade de que problemas irão se desenvolver sufi cientemente para tornarem-se 
graves pode ser pequena. Algumas vezes, porém, a ação humana será a única defesa para 
evitar que uma falha inicial progrida para um acidente. A importância da ACH foi ilustrada por 
vários acidentes em que os erros humanos críticos contribuíram para uma sequência de even-
tos catastróficos.
Tais acidentes são advertências contra os processos de avaliações de riscos que se con-
centram exclusivamente no hardware e software em um sistema. Eles ilustram os perigos 
de ignorar a possibilidade de contribuição do erro humano. Além disso, as ACH são úteis em 
destacar os erros que podem impedir a produtividade e em revelar as maneiras pelas quais 
esses erros e outras falhas (hardware e software) podem ser “recuperados” pelos operadores 
humanos e pelo pessoal de manutenção.
Análise bow tie
A análise bow tie é uma maneira esquemática simples de descrever e analisar os caminhos 
de um risco desde as causas até as consequências. Pode ser considerada uma combinação 
do raciocínio de árvore de falhas, que analisa a causa de um evento (representada pelo nó de 
uma bow tie), com árvore de eventos, que analisa as consequências.
Entretanto, o foco bow tie está nas barreiras entre as causas e o risco, e o risco e as con-
sequências. Diagramas de bow tie podem ser construídos a partir das árvores de falhas e 
eventos, porém são mais frequentemente desenhados diretamente a partir de uma sessão de 
brainstorming.
Manutenção centrada em confiabilidade
A manutenção centrada em confiabilidade (RCM) é um método para identificar as políticas 
que é conveniente que sejam implementadas para gerenciar falhas, a fim de alcançar a segu-
rança, disponibilidade e economia de operação requeridas, de maneira eficiente e eficaz, para 
todos os tipos de equipamento.
A RCM é atualmente uma metodologia comprovada e aceita, utilizada em uma ampla gama 
de indústrias. A RCM fornece um processo de decisão para identificar requisitos de manuten-
ção preventiva eficazes e aplicáveis para equipamentos de acordo com as consequências de 
O conteúdo deste livro eletrônico é licenciado para Rubens Sérgio - 60464407346, vedada, por quaisquer meios e a qualquer título,
a sua reprodução, cópia, divulgação ou distribuição, sujeitando-se aos infratores à responsabilização civil e criminal.
https://www.grancursosonline.com.br
https://www.grancursosonline.com.br
28 de 59www.grancursosonline.com.br
Gestão de Riscos-ISO 31000/2018 e
Técnicas para Avaliação de Riscos-ISO 31010/2012 – Multibancas
TEORIA GERAL DA ADMINISTRAÇÃO E GESTÃO PÚBLICA
Adriel Sá
segurança, operacionais e econômicas das falhas identificáveis, e o mecanismo de degrada-
ção responsável por essas falhas.
O resultado final do processo é um julgamento quanto à necessidade de realizar uma tare-
fa de manutenção ou outras ações, como mudanças operacionais.
Sneak analysis (SA) e sneak circuit analysis (SCA)
A sneak analysis (SA) é uma metodologia para a identificação de erros de projeto. Uma 
condição sneak é um hardware, software ou condição integrada latente que pode causar a 
ocorrência de um evento indesejado ou inibir um evento desejado, não sendo causado por 
falha do componente.
Estas condições são caracterizadas pela sua natureza aleatória e capacidade de escapar 
à detecção durante os ensaios normalizados mais rigorosos do sistema. As condições sneak 
podem causar operação imprópria, perda da disponibilidade do sistema, atrasos no programa 
ou mesmo morte ou ferimento de pessoas.
Análise de Markov
A análise de Markov é utilizada quando o estado futuro de um sistema depende somente 
de seu estado atual. Ela é comumente utilizada para a análise de sistemas reparáveis que po-
dem existir em múltiplos estados e a utilização de uma análise de bloco de confiabilidade seria 
inapropriada para analisar adequadamente o sistema.
O método pode ser estendido para sistemas mais complexos, empregando processos de 
Markov de ordem mais elevada, e é somente restrito pelo modelo, cálculos matemáticos e as 
premissas. O processo da análise de Markov é uma técnica quantitativa e pode ser discreto 
(utilizando probabilidades de mudança entre os estados) ou contínuo (utilizando taxas de mu-
dança através dos estados).
Apesar de uma análise de Markov poder ser realizada manualmente, a natureza das técnicas 
se presta ao uso de programas de computador, estando muitos deles disponíveis no mercado.
Simulação de Monte Carlo
Muitos sistemas são muito complexos quanto aos efeitos da incerteza sobre eles para se-
rem modelados utilizando técnicas analíticas, porém eles podem ser avaliados considerando 
as entradas como variáveis aleatórias e executando-se um número N de cálculos (as chama-
das simulações), por meio de amostragens da entrada, a fim de obter N saídas possíveis do 
resultado desejado.
Este método pode tratar de situações complexas que seriam muito difíceis de entender e 
resolver por um método analítico. Sistemas podem ser desenvolvidos utilizando planilhas e 
outras ferramentas convencionais, porém ferramentas mais sofisticadas estão prontamente 
disponíveis para auxiliar com requisitos mais complexos, muitas das quais são