Questões de Concurso sobre ABNT NBR ISO 31000 (Gestão de Riscos)

 
 
Disciplina
Assunto 1
Banca
Instituição
Cargo
Ano
Carreira
Área de formação
Escolaridade
Dificuldade
 
Comentários:
Professores
Alunos
Meus Comentários
Vídeo
 
Minhas questões:
Resolvidas
Não resolvidas
Certas
Erradas
 
Tipo de questão:
Certo e errado
Múltipla escolha
Incluir questões:
Anuladas
Desatualizadas
 
Questões:
Todas as questões
 
Filtro simplificado
 
Questões
Todas as questões
 
54 questões encontradas
Questões por página
20
Mais recentes
 

O setor de gestão de riscos está sendo reestruturado, e o novo gestor está avaliando os resultados anteriores para implementar melhorias na organização. Ao analisar os relatórios de gestões anteriores, o novo gestor percebeu que os riscos eram tratados como burocracia e que havia monitoramento apenas dos riscos operacionais.


Diante das informações mapeadas, o novo gestor deve implementar, respectivamente, as seguintes ações para tratar os problemas identificados:


A

incentivar liderança ativa e desenvolvimento cultural e incluir riscos estratégicos na gestão;


B

ampliar a comunicação com a alta gestão e priorizar os riscos conforme critérios estabelecidos;


C

desenvolver uma cultura organizacional e implementar registro e relato formal de riscos;


D

ampliar a comunicação e conscientização e implantar monitoramento contínuo dos riscos;


E

integrar a gestão de riscos à governança e aos processos organizacionais, ampliando escopo do contexto e tipos de riscos.

A norma NBR ISO 31000:2018 apresenta uma definição ampliada de risco. Assinale a opção em que é corretamente apresentado o conceito de risco adotado pela referida norma.


A

situação que deve ser sempre evitada


B

evento indesejado que causa prejuízo financeiro


C

probabilidade de ocorrência de falhas operacionais


D

efeito da incerteza sobre os objetivos da organização


E

ameaça externa que pode gerar incidentes

De acordo com o processo de gestão de riscos estabelecido pela norma ISO 31000, a etapa de tratamento de riscos envolve um ciclo iterativo de formulação e seleção de opções para modificar o risco, que pode incluir desde a remoção da fonte do risco até a aceitação do risco residual por meio de uma decisão fundamentada, sendo essencial que essas ações sejam compatíveis com o apetite ao risco da organização conforme preconizado também pelo framework COSO.


C

Certo


E

Errado

O gerenciamento de riscos deve ser integrado a todas as atividades organizacionais, independentemente do contexto e customização interna e externa das organizações.


C

Certo


E

Errado

De acordo com a ISO 31000, que define uma estrutura para integrar a gestão de riscos à governança e as atividades organizacionais, a estrutura de gestão de riscos tem como objetivo


A

apoiar a implementação eficaz do processo de gestão de riscos.


B

centralizar decisões sobre riscos em uma única área.


C

criar relatórios exclusivamente para auditoria.


D

substituir sistemas de controle interno.


E

padronizar controles operacionais.

Na gestão de riscos, a transferência do risco afasta, por si só, a sua ocorrência potencial no ambiente da organização, razão pela qual dispensa controles complementares de mitigação.


C

Certo


E

Errado

A Diretoria de Tecnologia da Informação da ALEGO está conduzindo um projeto estratégico para a implantação de um novo sistema integrado de gestão (ERP), que envolve múltiplas áreas administrativas da Casa, fornecedores externos e um cronograma rígido estabelecido pela alta administração. Durante as fases iniciais do projeto, o gerente de projetos identificou incertezas relacionadas a prazos de entrega, dependência de terceiros, capacitação da equipe interna e possíveis impactos orçamentários. Diante desse cenário, a equipe de gestão precisa realizar a avaliação de riscos do projeto, analisando a probabilidade e o impacto dos eventos identificados, bem como definindo estratégias de resposta para mitigar ameaças e potencializar oportunidades.


Considerando a avaliação e o gerenciamento de riscos, assinale a alternativa que representa corretamente uma abordagem eficaz para a priorização de riscos.


A

Focar exclusivamente no impacto financeiro dos riscos, ignorando a probabilidade de sua ocorrência, pois os riscos mais onerosos sempre demandam mais atenção.


B

Utilizar a análise qualitativa e quantitativa de riscos para avaliar tanto a probabilidade de ocorrência quanto o impacto no projeto, permitindo uma priorização equilibrada e fundamentada para a alocação de recursos.


C

Ignorar a probabilidade e tratar todos os riscos como sendo de alta probabilidade de ocorrência, uma vez que essa abordagem garante que os maiores problemas sejam mitigados.


D

Classificar os riscos com base na opinião individual dos membros da equipe sem considerar dados ou análises adicionais, pois isso promove um ambiente colaborativo.


E

Avaliar riscos apenas no início do projeto e ignorá-los nas fases subsequentes, já que uma avaliação inicial determina a robustez do plano.

No que se refere à governança de TIC, julgue o próximo item.


O gerenciamento de riscos na governança de TIC não visa à eliminação total de ameaças, mas à manutenção da exposição ao risco dentro dos níveis de apetite definidos pela organização.


C

Certo


E

Errado

A aplicação da norma ISO 31000 permite identificar eventos que possam comprometer a integridade dos dados da organização, servindo como fundamento para o cumprimento de normas de compliance e diretrizes de órgãos de controle.


C

Certo


E

Errado

A ISO 31000:2018 promove uma compreensão compartilhada dos riscos, e suas diretrizes ajudam a incorporar o gerenciamento de riscos na governança, estratégia, planejamento, processos de relatórios, políticas, valores e cultura de uma organização.


C

Certo


E

Errado

De acordo com a NBR ISO/IEC 27005:2023, o processo de avaliação de risco e o tratamento de riscos devem ser atualizados regularmente e fundamentados em mudanças.


Assinale a opção que indica os dois ciclos de gestão de riscos em que as atualizações podem ser divididas.


A

Organizacional e operacional.


B

Organizacional e estratégico.


C

Estratégico e operacional.


D

Estratégico e tecnológico.


E

Estrutural e tecnológico.

De acordo com a ABNT ISO/IEC 31000:2009, dentro do processo de gerenciamento de risco, há uma etapa específica dedicada à aplicação de medidas que visam modificar a probabilidade de ocorrência ou as consequências (ou ambas) de eventos de risco identificados. Essa etapa é denominada:


A

Tratamento dos Riscos.


B

Avaliação dos Riscos.


C

Análise dos Riscos.


D

Identificação dos Riscos.

De acordo com os conhecimentos sobre avaliação de riscos previstos na ISO 31000:2018, o propósito da avaliação de riscos é apoiar decisões.


A avaliação de riscos envolve a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde é necessária ação adicional. Isto pode levar a uma decisão de:


1. Eliminar os critérios de risco em funcionamento.

2. Considerar as opções de tratamento de riscos.

3. Manter os controles existentes.

4. Reconsiderar os objetivos.

5. Diminuir os padrões de medição de riscos.


Assinale a alternativa que indica todas as afirmativas corretas.


A

São corretas apenas as afirmativas 1, 2 e 5.


B

São corretas apenas as afirmativas 1, 3 e 4.


C

São corretas apenas as afirmativas 1, 4 e 5.


D

São corretas apenas as afirmativas 2, 3 e 4.


E

São corretas apenas as afirmativas 2, 3 e 5.

A implementação de um processo de gestão de riscos de segurança da informação conforme as normas ISO 31000, 31010 e 27005 garante que todas as vulnerabilidades de um sistema sejam eliminadas.


C

Certo


E

Errado

No gerenciamento de riscos, é uma forma de estimar a eficácia de cada controle para avaliar o efeito dos controles internos na mitigação de riscos:


A

Severidade do risco.


B

Risco de controle.


C

Nível de confiança.


D

Nível de risco residual.

De acordo com a ISO 31000, o propósito da estrutura da gestão de riscos é apoiar a organização na integração da gestão de riscos em atividades significativas e funções. A eficácia da gestão de riscos dependerá da sua integração na governança e em todas as atividades da organização, incluindo a tomada de decisão. Entre os componentes dessa estrutura, um estabelece o desenvolvimento de um plano adequado, incluindo prazos e recursos, a modificação dos processos de tomada de decisão aplicáveis, quando necessário, além da garantia de que os arranjos da organização para gerenciar riscos sejam claramente compreendidos e praticados. Outro componente envolve mensurar periodicamente o desempenho da estrutura de gestão de riscos em relação aos seus objetivos, indicadores e comportamento esperado, além de determinar se permanece adequada para apoiar o alcance das metas da organização.


Esses componentes da gestão de riscos são conhecidos, respectivamente, como:


A

Avaliação e homologação.


B

Implementação e avaliação.


C

Concepção e implementação.


D

Homologação e concepção.

A gestão de riscos é um processo contínuo no gerenciamento de projetos, visando identificar, analisar e responder a potenciais ameaças que podem impactar os objetivos do projeto. Uma ação típica da análise qualitativa de riscos consiste em


A

realizar simulações estatísticas complexas para calcular o impacto financeiro esperado de cada risco.


B

ignorar riscos com baixa probabilidade, embora eles possam ter um alto impacto para o projeto.


C

classificar os riscos em uma matriz de probabilidade e impacto para definir prioridades de tratamento.


D

aplicar soluções de contorno que eliminem todos os riscos identificados antes do início do projeto.

Uma equipe de Analistas do Tribunal Regional do Trabalho estava discutindo aspectos técnicos das práticas de gestão e governança propostas por consagrados quias, metodologias e normas ABNT. Uma Analista afirmou corretamente que, de acordo com


A

o COBIT 2019, não existe risco relacionado à TI, apenas existe risco empresarial, que engloba aqueles que podem potencialmente impactar o negócio. Enquanto a gestão de riscos tem foco na criação de valor, a entrega de valor tem foco na Sua preservação.


B

a metodologia OKR (Objective Key Results), é necessário criar diversas métricas de rastreamento que as equipes possam usar para medir o desempenho em relação às metas, embora não considere riscos como parte de seus objetivos e resultados-chave.


C

o PMBOK 7° edição, o risco geral é expresso em função da complexidade, vulnerabilidade e versatilidade do projeto. As respostas ao risco geral do projeto variam para cada ameaça e oportunidade, sendo aplicadas a um evento específico. Se o risco geral do projeto for muito alto, a organizado deve optar por cancelar o projeto.


D

a norma ABNT NBR ISO 31000:2018, o processo de avaliação de riscos é o processo global de identificação, análise e avaliação de riscos e deve ser conduzido de forma sistemática, interativa e colaborativa.


E

a lTIL 4, o objetive do processo de gestão de riscos é assegurar a melhoria contínua da governança e criar valor para os stakeholders. A gestão de riscos faz parte do Sistema de Valor Sustentável (SVS) da organização.

Segundo a NBR ISO/IEC 27002:2022, o tipo de controle é um atributo para visualizar os controles da perspectiva de quando e como o controle modifica o risco, com relação à ocorrência de um incidente de segurança da informação.


Assinale a opção que indica, corretamente, os valores de atributo.


A

Proativo, prescritivo e normativo.


B

Prescritivo, normativo e corretivo.


C

Prescritivo, detectivo e normativo.


D

Preventivo, prescritivo e corretivo.


E

Preventivo, detectivo e corretivo.

Com relação à gestão de riscos, assinale a alternativa correta.


A

A mitigação de riscos consiste exclusivamente na transferência da responsabilidade para terceiros por meio de seguros ou contratos de outsourcing.


B

A análise quantitativa de riscos é sempre preferida à análise qualitativa por sua maior precisão, mesmo quando há escassez de dados.


C

A aceitação de riscos é inadequada em qualquer cenário e deve ser sempre evitada, mesmo quando o custo de mitigação é superior ao impacto estimado.


D

A gestão de riscos envolve a identificação sistemática dos ativos, ameaças, vulnerabilidades e impactos, permitindo a priorização de ações conforme o apetite ao risco da organização.


E

A avaliação de riscos deve ser realizada apenas uma vez, no início do projeto, pois riscos residuais não precisam ser monitorados.

 
Gerar simulado