O documento discute técnicas de análise de risco como APP, FMEA, HAZOP e AAF. Descreve os conceitos, origens e finalidades de cada técnica, incluindo identificar riscos potenciais, avaliar probabilidade de falhas e propor medidas de mitigação. O documento fornece referências adicionais sobre gestão de riscos em TI.

1. UNESC – UNIVERSIDADE DO EXTREMO SUL CATARINENSE
CIÊNCIA DA COMPUTAÇÃO
FABIO DUARTE DE SOUZA
GILCEMAR GUIZZO ZANETTE
LUCIANO RAIMUNDO ROSSO
GESTÃO DE RISCO E AUDITORIA
CRICIÚMA, JUNHO DE 2009

2. 1 RISCO EM TI ERM
1.1 CONCEITO (O QUE É?)
Risco é representado pela possibilidade de que um evento ocorra, podendo
impedir que alcancemos os nossos objetivos pessoais ou de negócios, gerando ganhos
para alguns e perdas para outros.
O termo risco é proveniente da palavra risicuou riscu, em latim, que significa ousar
(to dare, em inglês).
Costuma-se entender “risco” como possibilidade de “algo não dar certo”, mas seu
conceito atual envolve a quantificação e qualificação da incerteza, tanto no que diz respeito
às “perdas” como aos “ganhos”, com relação ao rumo dos acontecimentos planejados, seja
por indivíduos, seja por organizações.
O risco é inerente a qualquer atividade na vida pessoal, profissional ou nas
organizações, e pode envolver perdas, bem como oportunidades. Em Finanças, a relação
risco-retorno indica que quanto maior o nível de risco aceito, maior o retorno esperado dos
investimentos. Esta relação vale tanto para investimentos financeiros como para os
negócios, cujo “retorno” é determinado pelos dividendos e pelo aumento do valor
econômico da organização.
1.2 FINALIDADE
• Soluções de ERM devem ser abrangentes e suportar todos os riscos para entender e
gerenciar a interação entre os vários tipos de riscos e o fato de que alguns eventos
são manifestados em mais de um tipo de risco.
1.3 PESSOAS ENVOLVIDAS
Analistas, desenvolvedores e gerentes.
1.4 BENEFÍCIOS
O ERM também promove os seguintes benefícios:

3. • Aumenta a transparência;
• Foca a atenção nos riscos que realmente importam adotando uma linguagem única
para riscos diferentes;
• Protege e aumenta o capital do acionista;
• Aprimora a tomada de decisões, o planejamento e a priorização pelo entendimento
abrangente e estruturado dos processos de negócio, das incertezas, oportunidades e
ameaças;
• Melhora a governança corporativa;
• Aprimora a eficiência e a efetividade operacional;
Minimiza as perdas e maximiza os ganhos.
1.8 CASE
Centro Médico da Universidade de Nova Iorque
A ferramenta do Módulo ofereceu uma solução composta para gerir um ambiente
complexo e com necessidades diferentes. Eu procurava uma solução que pudesse oferecer
uma estrutura aberta, assim não teria que fazer avaliações separadas.
BASF
Com base nos resultados obtidos pela avaliação entregue pela ferramenta do Módulo, os
times de TI puderam perceber exatamente o que não estava em compliance. Agora sei
exatamente quais são os nossos gaps e tenho dados precisos nas mãos.
1.9 REFERÊNCIAS
http://www.modulo.com.br/site?sid=122&lng=br
http://www.prmia.org/Chapter_Pages/Data/Files/2415_2943_E&Y-PRMIA_presentation.pdf
http://www.audicaixa.org.br/arquivos_auditoria/GerenciamentoRiscosCorporativos-IBGC.pdf

4. http://www.abnt.org.br/imagens/Paginas_especiais/ABNT_SP_15999-1_3jun2008.pdf

5. 2 GRC – GOVERNAÇA, RISCO E COMPLIANCE
2.1 CONCEITO (O QUE É?)
O conceito de GRC (Governance, Risk and Compliance) representa a gestão unificada
dos esforços de governança, gestão de riscos e conformidade a normas externas.
A Governança, a Gestão de Riscos e a Conformidade (GRC), são questões de extrema
importância que permeiam, ou pelo menos assim devem, a toda corporação e não apenas ao
CEO (Chief Executive in Office), CFO (Chief Financial in Office) ou ao CA (Conselho
Administrativo) e acionistas, pois seus impactos, com certeza, de uma forma ou de outra
incidem sobre toda a organização e podem, dependendo da conduta, serem devastadores.
2.2 ORIGEM / HISTÓRICO
É um conceito recente e aparece pela primeira vez referenciado na Harvard Business
Review na década de 60. O risco à gestão de carteiras de seguros e bancos é uma preocupação
muito anterior, mas surge nesta altura à sugestão da criação de uma função de "risk manager'
em certo tipo de organizações mais sofisticadas, para minimizar as perdas nos negócios e
investimentos.
2.3 FINALIDADE
Tem como finalidade o gerenciamento das informações que são produzidas em grandes
volumes de forma repetitiva. Como estas informações são difíceis de serem gerenciadas e
publicadas devido ao seu grande volume, os sistemas de ERM fornecem soluções práticas e
funcionais para resolver este problema.
2.4 BENEFÍCIOS
• Maior Produtividade
– Redução do retrabalho e redundância
– Banco de dados compartilhado
– Vetores na mesma direção e sentido

6. • Aprofundamento nos temas corretos
• Repositório de informações para proteção judicial
– Princípio da boa fé
• Relatórios de alto nível para agências reguladoras
• Eficiência da Gestão
– Informações consolidadas
– Colaboração
– Integração com o negócio
2.6 REFERÊNCIAS
http://www.2dtecnologia.com.br/t-ged-cold.php
http://www.bdo.pt/docs/publicacoes/ArtigoGestaoRiscoI_20061130.pdf
http://www.ciphersec.com.br/pag_grc.php
http://www.baguete.com.br/colunasDetalhes.php?id=2678

7. 3 TÉCNICAS DE ANÁLISE DE RISCO
3.1 CONCEITO/ORIGEM
APP: teve sua origem na norma militar americana MIL-STD-882B. Com algumas
ligeiras modificações é conhecida também como ZHA (Zurich Hazard Analysis), técnica
utilizada pela Seguradora Zurich. É geralmente utilizada para avaliar os perigos nos
estágios iniciais de um processo, embora também possa ser útil na análise de instalações já
existentes e na priorização dos perigos quando as circunstâncias não possibilitem o uso de
uma técnica mais detalhada.
FMEA: Apesar de ter sido desenvolvida com um enfoque no projeto de novos
produtos e processos, a metodologia FMEA, pela sua grande utilidade, passou a ser
aplicada de diversas maneiras.
Assim, ela atualmente é utilizada para diminuir as falhas de produtos e processos
existentes, procurando diminuir a probabilidade de falha em processos administrativos
(Oliveira, 1997).
Tem sido empregada também em aplicações específicas tais como análises de fontes
de risco em engenharia de segurança e conforme descrita neste artigo, podendo ser uma
ferramenta potente no auxílio na elaboração da análise ergonômica do trabalho.
AAF: foi desenvolvida pelos laboratórios da empresa Bell Telephone, por volta de
1962, a fim de identificar todas as possíveis causas ou combinações de eventos que
pudessem provoca acidentes no lançamento do míssil "Minuteman". A partir de 1975 tem
sido uma técnica essencial na análise de segurança de instalações nucleares.
HAZOP: surgiu na empresa inglesa ICI, na década de 60. De modo geral, o HaZop
consiste na realização de uma revisão da instalação, identificando perigos potenciais e/ou
problemas de operabilidade, por meio de uma série de reuniões, durante as quais uma
equipe multidisciplinar discute metodicamente o projeto da planta, focalizando desvios dos
parâmetros estabelecidos para o processo.
3.2 FINALIDADE

8. APP
Normalmente é a primeira técnica aplicada durante a Análise de Riscos de sistemas
em fase de concepção e/ou projeto, principalmente quando do uso de novas tecnologias que
carecem de maiores informações sobre os seus riscos. Através desta técnica, uma análise
superficial dos riscos é realizada ainda na fase de projeto do processo, de modo que as
mudanças necessárias, devido aos riscos identificados, não implicam em gastos
expressivos, sendo mais fácil a sua execução
AMFE
A AMFE envolve um estudo detalhado e sistemático das falhas de componentes
e/ou sistemas mecânicos. Nesta análise, os modos de falhas de cada componente do sistema
são identificados e os efeitos destas falhas no sistema são avaliados, sendo propostas
medidas de eliminação, mitigação ou controle das causas e conseqüências destas falhas.
Como este tipo de análise se preocupa essencialmente com componentes mecânicos de um
sistema, problemas relacionados a processos químicos, os quais envolvem substâncias
químicas reativas, podem ser negligenciados e, portanto, não devem ser analisados apenas
pela AMFE. Os principais objetivos na aplicação do FMEA são: identificar as falhas
potenciais nos processos; avaliar o risco destas falhas; priorizar as ações a serem tomadas
para minimizar ou eliminar esse risco; analisar novos processos; priorizar recursos para a
elaboração de um plano de controle; avaliar a eficácia de planos de controle existentes;
identificar características especiais.
HAZOP
O estudo de operabilidade e riscos foi desenvolvido para o exame eficiente e
detalhado das variáveis de um processo, possuindo uma forte semelhança com a técnica
AMFE. Através do HazOp, sistematicamente se identificam os caminhos pelos quais os
equipamentos do processo podem falhar ou ser inadequadamente operados. A técnica é
desenvolvida por uma equipe multidisciplinar, sendo guiada pela aplicação de palavras
específicas - palavras-guia - a cada variável do processo, gerando os desvios dos padrões

9. operacionais, os quais são analisados em relação às suas causas e consequências. Segundo
ARENDT2, por ser completa, sistemática e relativamente fácil de ser aplicada, o HazOp é
uma das técnicas de Análise de Riscos mais populares.
FMEA
Analisa de forma geral os modos de falha de um produto. Porém, em um produto
podem existir certos componentes ou conjunto deles que sejam especificamente críticos
para a missão a que se destina o produto ou para a segurança do operador. Portanto, de
acordo com HAMMER (1993), a estes componentes críticos deve ser dada especial
atenção, sendo mais completamente analisados do que outros. A análise, similar a AMFE,
que se preocupa com a análise detalhada destes componentes críticos é conhecida como
Análise de Criticalidade e Modos de Falha (FMECA - Failure Modes an Criticality
Analysis).
Tanto a AMFE como a FMECA são bastante eficientes quando aplicadas a sistemas
mais simples e de falhas mais singelas, porém, quando a complexidade é maior,
recomenda-se o uso de outras técnicas, como por exemplo, a Análise de Árvore de Falhas.
3.6 REFERENCIA
http://www.eps.ufsc.br/disserta96/anete/cap5/cap5_ane.htm
http://www.eps.ufsc.br/disserta/evandro/capit_2/cap2_eva.htm#2
http://www.angelfire.com/mt/ambienternet/proces03.html
http://www.iem.efei.br/sanches/Ensino/pos%20graduacao/Gestao%20QT/artigos/Eduardo
%20Antonio%20Fmea%20Ergo.pdf

10. 4 CICLO PDCA (PLAN, DO, CHECK, ACT)
4.1 CONCEITO (O QUE É?)
O conceito de PDCA é que uma organização necessita tornar mais claros e ágeis os
processos que envolvem a gestão, ele impõe a regra que para atingir um objetivo à empresa
necessita planejar e controlar as atividades relacionadas.
PDCA significa P(plan: planejar), D(do: fazer, executar), C(check: verificar,
controlar), e o A(act: agir, atuar corretivamente).
4.2 ORIGEM / HISTÓRICO
O Ciclo PDCA foi criado por Shewharte na década de 20 no Japão após a guerra, e
foi divulgado por Deming em 1950. Nasceu no escopo da tecnologia TQC (Total
QualityControl) como uma ferramenta que representava melhor o gerenciamento de uma
atividade.
4.3 FINALIDADE
O ciclo PDCA tem dois fins, atingir metas e melhoria, em atingir metas é utilizado o
SDCA, que tem as fases S (de standard ou padrão) onde estabelece metas, D - treinamento
e supervisão do trabalho, C - verificação da efetividade, avaliando se a meta foi ou não
alcançada, A - caso a meta não tenha sido atingida adotar ação corretiva removendo os
sintomas, agindo nas causas.
Já o ciclo PDCA para melhoria o processo não é repetitivo como no ciclo SDCA. A
fase P consiste nas etapas de identificação do problema, observação (reconhecimento das
características do problema), análise do processo (descoberta das causas principais que
impedem o atingimento das metas) e plano de ação (contramedidas sobre as causas
principais). A fase D do PDCA de melhoria é a de ação, ou atuação de acordo com o plano
de ação para bloquear as causas fundamentais. Na fase C, é feita a verificação, ou seja, a
confirmação da efetividade do plano de ação para ver se o bloqueio foi efetivo. Já na fase A

11. existem duas etapas, a de padronização e a de conclusão. Na etapa de padronização, caso o
bloqueio tenha sido efetivo, é feita a eliminação definitiva das causas para que o problema
não reapareça. Na etapa de conclusão ocorre a revisão das atividades e planejamento para
trabalhos futuros. Caso na fase C (check), o bloqueio não tenha sido efetivo, deve-se voltar
na etapa observação da fase P (plan).
4.9 REFERÊNCIAS
http://wiki.ifsc.edu.br/mediawiki/images/7/76/PDCA.pdf
http://www.abepro.org.br/biblioteca/ENEGEP2006_TR470319_8411.pdf
http://www.datalyzer.com.br/site/suporte/administrador/info/arquivos/info80/80.html
http://www.esnips.com/doc/dd9f609e-636a-41b4-8067-
e930c27705a2/dissertacao_FABIOFA%20ciclo%20PDCA
www.isssbrasil.usp.br/pdfs2/ana.pdf

12. 5 COSO – CONTROL OBJECTIVES FOR SARBANES- OXLEY
5.1 CONCEITO (O QUE É?)
O sistema C.O.S.O. Report auxilia na identificação dos objetivos essenciais do
negócio de qualquer organização e define controle interno e seus componentes, fornecendo
critérios a partir dos quais os sistemas de controle podem ser avaliados. Essa definição
satisfaz as necessidades de diversos usuários e provê uma matriz com a qual a entidade
pode avaliar e melhorar seus sistemas de controles internos.
5.2 ORIGEM / HISTÓRICO
Em 1985, foi criada, nos Estados Unidos, a National Commission on Fraudulent
Financial Reporting (Comissão Nacional sobre Fraudes em Relatórios Financeiros) e seu
primeiro objeto de estudo foi os controles internos.
Por fim, em 1992, foi publicado o trabalho "Internal Control – Integrated Framework"
(Controles Internos – Um Modelo Integrado). Esta publicação tornou-se referência mundial
para o estudo e aplicação dos controles internos.
Posteriormente a Comissão transformou-se em Comitê, que passou a ser conhecido
como C.O.S.O. - The Comitee of Sponsoring Organizations (Comitê das Organizações
Patrocinadoras). O C.O.S.O. é uma entidade sem fins lucrativos e dedicada à melhoria dos
relatórios financeiros através da ética, efetividade dos controles internos e governança
corporativa.
5.3 FINALIDADE
Com base na missão ou visão estabelecida por uma organização, a administração
estabelece os planos principais, seleciona as estratégias e determina o alinhamento dos
objetivos nos níveis da organização.
Essa estrutura de gerenciamento de riscos corporativos é orientada a fim de alcançar
os objetivos de uma organização e são classificados em quatro categorias:

13. 1. Estratégicos – metas gerais, alinhadas com o que suportem a sua missão.
2. Operações – utilização eficaz e eficiente dos recursos.
3. Comunicação – confiabilidade de relatórios.
4. Conformidade – cumprimento de leis e regulamentos aplicáveis.
Essa classificação possibilita um enfoque nos aspectos distintos do gerenciamento de
riscos de uma organização. Apesar de essas categorias serem distintas, elas se inter-
relacionam, uma vez que determinado objetivo pode ser classificado em mais de uma
categoria, tratam de necessidades diferentes da organização e podem permanecer sob a
responsabilidade direta de diferentes executivos. Essa classificação também permite
diferenciar o que pode ser esperado de cada categoria de objetivos. A salvaguarda dos
recursos, outra categoria utilizada por algumas organizações, também é descrita.
5.9 REFERÊNCIAS
http://www.scribd.com/doc/221693/COSO-um-resumo
http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Portuguese.pdf
http://www.infinitaweb.com.br/albruni/artigos/a0704_IntCustos_COSO.pdf
http://www.abbc.org.br/IMAGENS/AN
%C3%81LISE/coco_sarbanes_oxley_e_a_crise_atual.pdf
http://www.abepro.org.br/biblioteca/ENEGEP2007_TR630468_0476.pdf

14. 6 SARBANES-OXLEY
6.1 CONCEITO (O QUE É?)
A Lei Sarbanes-Oxley de 2002 reescreveu, literalmente, as regras para a governança
corporativa, relativas à divulgação e à emissão de relatórios financeiros.
Contudo, sob a infinidade de páginas da Lei, repletas de “legalismos”, reside uma premissa
simples: a boa governança corporativa e as práticas éticas do negócio não são mais
requintes – são leis.
6.2 ORIGEM / HISTÓRICO
A Lei Sarbanes-Oxley (em inglês, Sarbanes-Oxley Act) é uma lei estadunidense,
assinada em 30 de julho de 2002 pelo senador Paul Sarbanes (Democrata de Maryland) e
pelo deputado Michael Oxley (Republicano de Ohio).
6.3 FINALIDADE
A Lei Sarbanes-Oxley torna Diretores Executivos e Diretores Financeiros
explicitamente responsáveis por estabelecer, avaliar e monitorar a eficácia dos controles
internos sobre relatórios financeiros e divulgações.
Inegavelmente, as novas regras propostas pela Securities and Exchange
Commission – SEC (instituição equivalente à Comissão de Valores Mobilários – CVM
brasileira) que fazem cumprir a Lei Sarbanes-Oxley são complicadas, e a implementação
deverá ser demorada e custosa.
Entretanto, há alguns fatores atenuantes:
1. Normalmente, todas as companhias de capital aberto já possuem alguma estrutura
de controles internos, ainda que de maneira informal e não suficientemente documentada.
2. Muitas companhias poderão adaptar os processos já existentes para cumprir as
medidas de controles internos determinadas pela Lei Sarbanes-Oxley.

15. 3. A construção de uma forte estrutura de controles internos para atender às
exigências da Lei Sarbanes-Oxley pode promover benefícios que extrapolam o
cumprimento das regras. Na verdade, o potencial para revisar e concretizar novas visões
corporativas e atingir novos níveis de excelência corporativa é inesgotável.
Alguns observadores descreveram a Lei Sarbanes-Oxley como a peça mais
significativa da legislação comercial nos últimos cinqüenta anos. A nova Lei Sarbanes-
Oxley muda fundamentalmente o ambiente empresarial e regulador. Portanto, as
companhias de capital aberto não podem permitir-se subestimar o trabalho que têm pela
frente. Qualquer demora em tratar essa questão pode acarretar sérias conseqüências para as
companhias.
É imprescindível a ação imediata e decisiva.
6.9 REFERÊNCIAS
http://www.deloitte.com/dtt/cda/doc/content/guia_sarbanes_oxley(1).pdf
http://www.abepro.org.br/biblioteca/ENEGEP2006_TR550371_8309.pdf
http://biblioteca.universia.net/ficha.do?id=29388595
http://www.comexito.com.br/elearning_SOX.asp
http://bdtd.unisinos.br/tde_busca/arquivo.php?codArquivo=465