DISCIPLINA GESTÃO E ANALISE DE RISCOS

Prévia do material em texto

DISCIPLINA GESTÃO E ANALISE DE RISCOS
 
QUESTIONÁRIO I
· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	Estudar o risco é compreender suas origens. Determinar as causas e efeitos é fundamental, pois assim é possível mitigar possíveis danos e como controlá-los. O tratamento e a gestão dos riscos passam por um processo que, resumidamente contempla:
	
	
	
	
		Resposta Selecionada:
	a. 
Identificar ameaças e vulnerabilidades – Estimar o risco de cada vulnerabilidade – Decidir sobre a melhor forma de tratar o risco.
	Respostas:
	a. 
Identificar ameaças e vulnerabilidades – Estimar o risco de cada vulnerabilidade – Decidir sobre a melhor forma de tratar o risco.
	
	b. 
Acionar o responsável pelo risco – Notificar os gestores – Contatar os órgãos estaduais de riscos.
	
	c. 
Avaliar a economia nacional – Acionar o Sistema Financeiro Nacional – Identificar ameaças e vulnerabilidades.
	
	d. 
Avaliar a parte interessada – Notificar a Alta direção – Implantar sistema informatizado para gestão de riscos.
	
	e. 
Modificar os processos de tomada de decisão – Decidir sobre a melhor forma de tratar o risco – Notificar a Alta direção.
	Comentário da resposta:
	Resposta: A
Comentário: O primeiro passo para o tratamento e gestão dos riscos passa por identificar as ameaças e vulnerabilidades, antes de partir para qualquer tomada de decisão, pois primeiro deve-se conhecer as ameaças e vulnerabilidades às quais há exposição. Uma vez com essa lista, pode-se estimar o risco de cada ameaça e vulnerabilidade para assim decidir e definir a melhor forma de tratar o risco.
	
	
	
· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	A ISO 31000 (2018) apresenta princípios que levam à gestão eficaz dos riscos. Isso porque a intenção da gestão de riscos é a criação e a proteção de valor. Os princípios apresentados na ISO 31000 (2018) devem ser respeitados antes do estabelecimento da estrutura e dos processos que irão suportar a gestão corporativa dos riscos. Considerando o exposto, pode-se afirmar que:
	
	
	
	
		Resposta Selecionada:
	c. 
A visão baseada na Melhor Informação Disponível tem como objetivo manter sempre atualizadas as informações históricas, pois são a base da gestão de riscos, por permitir conhecer o passado.
	Respostas:
	a. 
A visão integrada tem como foco analisar como o comportamento e cultura interferem nos aspectos da gestão de riscos em cada nível e estágio.
	
	b. 
A visão dinâmica tem como objetivo manter sempre atualizadas as informações históricas, pois são a base da gestão de riscos, por permitir conhecer o passado.
	
	c. 
A visão baseada na Melhor Informação Disponível tem como objetivo manter sempre atualizadas as informações históricas, pois são a base da gestão de riscos, por permitir conhecer o passado.
	
	d. 
A visão nos Fatores Humanos e Culturais foca no aprimoramento continuado por meio de aprendizado e experiências.
	
	e. 
A visão Estrutura e abrangente atua na organização das pessoas envolvidas na gestão de riscos.
	Comentário da resposta:
	Resposta: C
Comentário: Manter sempre atualizadas as informações permite conhecer o passado, alia as expectativas futuras que levam a gestão de riscos a considerar as limitações e incertezas ligadas a essas expectativas. Isso é função da visão Baseada na Melhor Informação Disponível.
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	A estrutura da gestão de riscos tem como propósito apoiar a Organização na integralização da gestão de riscos em atividades relevantes e atribuições. Por esse motivo, o sucesso da gestão de riscos depende da integração com a governança em todas as áreas da Organização. Isso inclui a análise de riscos no processo decisório da Alta Direção. Baseado nisso e considerando a estrutura da gestão de riscos apresentada na ISO 31000 (2018), pode-se afirmar que:
	
	
	
	
		Resposta Selecionada:
	e. 
No caso da Integração da gestão de riscos, a ISO 31000 (2018) orienta que a gestão de riscos seja uma parte do todo e que não seja separada do propósito organizacional.
	Respostas:
	a. 
A respeito da Liderança e comprometimento, a Alta Direção não é a responsável por gerenciar riscos.
	
	b. 
A respeito da Liderança e comprometimento, a área de Conformidade é a responsável por gerenciar riscos.
	
	c. 
Apenas a Alta Direção deve demonstrar seu comprometimento contínuo com a gestão de riscos.
	
	d. 
Apenas a área de Conformidade deve demonstrar seu comprometimento contínuo com a gestão de riscos.
	
	e. 
No caso da Integração da gestão de riscos, a ISO 31000 (2018) orienta que a gestão de riscos seja uma parte do todo e que não seja separada do propósito organizacional.
	Comentário da resposta:
	Resposta: E
Comentário: No que se refere à Liderança e comprometimento é responsabilidade da Alta Direção gerenciar os riscos, e não a área de Conformidade. Sobre a integração de riscos, a gestão de riscos deve ser uma parte do todo e não separada do propósito da organização. Tanto a Alta Direção quanto a área de Conformidade devem demonstrar e articular o seu comprometimento contínuo com a gestão de riscos.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	O processo de gestão de riscos é crítico para qualquer organização. Isso pois requer aplicação sistemática de políticas, normas, procedimentos e práticas para as atividades de comunicação e consulta, entre outras. O processo de gestão de riscos aplica-se aos níveis estratégico, operacional, de programa e de projeto. Por isso, pode-se afirmar:
	
	
	
	
		Resposta Selecionada:
	b. 
O objetivo da comunicação e consulta é auxiliar as partes interessadas na compreensão do risco. A comunicação busca promover a conscientização e o entendimento do risco.
	Respostas:
	a. 
O processo de gestão de riscos muitas vezes não é interativo e sim sequencial.
	
	b. 
O objetivo da comunicação e consulta é auxiliar as partes interessadas na compreensão do risco. A comunicação busca promover a conscientização e o entendimento do risco.
	
	c. 
A comunicação e consulta não se preocupa em reunir diferentes áreas de especialização, nem fornece informações suficientes para facilitar a supervisão dos riscos.
	
	d. 
A natureza dinâmica e variável do comportamento humano não é considerada ao longo do processo de gestão de riscos.
	
	e. 
O escopo, contexto e critérios têm o mesmo objetivo da comunicação e consulta.
	Comentário da resposta:
	Resposta: B
Comentário: O processo de gestão de riscos é interativo e não sequencial. O objetivo da comunicação é realmente auxiliar todos os interessados e busca conscientizar, entender o risco, além de expor o retorno e informação para ajudar na tomada de decisão. Segundo a ISO 31000 (2018) há várias seções estabelecidas na seção de processos de gestão de riscos, sendo que atividades “Comunicação e consulta” e “Escopo, contexto e critérios” têm objetivos distintos.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	Mesmo em meio às incertezas, é possível medir ou estimar o risco. O risco é determinado pela combinação da probabilidade de ocorrência de um evento e sua gravidade, o que leva à análise do risco e determinar a aceitação ou não desse risco. Considerando a medição de risco é possível afirmar:
 
I.  Segundo o princípio do “tão baixo quanto possível”, o risco é sempre inaceitável mesmo depois de todas as medidas de prevenção, mitigação e de transferência terem sido devidamente mapeadas e implantadas.
II.  Os princípios “tão baixo quanto possível” e “princípio da precaução” são termos que se referem aos riscos sempre inaceitáveis.
III.  O princípio “tão baixo quanto possível” parte do pressuposto de que um risco somente é aceitável se todas as medidas de prevenção, mitigação ou transferência estiverem devidamente mapeadas e implantadas.
IV. O “princípio da precaução” deve ser devidamente analisado e mapeado para poder subsidiar as decisões sobre a aceitação ou não dos riscos.
Está correto o que se apresenta nas afirmações:
	
	
	
	
		Resposta Selecionada:
	e. 
III e IV.
	Respostas:
	a. 
I, apenas.
	
	b. 
I e II.
	
	c. 
III, apenas.
	
	d. 
I, II e III.
	
	e. 
IIIe IV.
	Comentário da resposta:
	Resposta: E
Comentário: Os princípios “tão baixo quanto possível” e “princípio da precaução” são termos próximos e se referem em que o risco deve ser analisado, mapeado e mitigado para poder deliberar sobre sua aceitação ou não, mas não indicam que todos os riscos são inaceitáveis.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	É importante definir a diferença entre perigo e risco, pois essa diferença deve ser bem caracterizada para uma análise de risco eficaz. Considerando que há diferenças entre risco e perigo analise as afirmações a seguir:
 
I.  O risco é a entidade a ser administrada, uma vez que decorre da interação com o perigo.
II.  O risco é proporcional à razão entre o perigo e as medidas de segurança.
III. O perigo é a condição inerente a uma exposição ou atividade capaz de causar danos a ativos.
Estão corretas as afirmações:
	
	
	
	
		Resposta Selecionada:
	d. 
I, II e III.
	Respostas:
	a. 
I, apenas.
	
	b. 
II, apenas.
	
	c. 
III, apenas.
	
	d. 
I, II e III.
	
	e. 
I e III, apenas.
	Comentário da resposta:
	Resposta: D
Comentário: Todas as afirmações estão corretas, uma vez que há diferenças entre risco e perigo, mas eles estão relacionados.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	Considerando que o Risco é prioritário e que o processo de gestão de riscos é crítico para qualquer organização, pode-se definir um modelo de priorização de riscos, segundo Galante (2015). Por isso pode-se estabelecer que a priorização considera a frequência, severidade e cenários. Baseado nisso, pode-se afirmar que:
	
	
	
	
		Resposta Selecionada:
	d. 
Os riscos mínimos se encontram na combinação de baixa severidade e impacto com baixa frequência.
	Respostas:
	a. 
Baixa severidade e impacto sempre implicam em riscos mínimos.
	
	b. 
Baixa frequência sempre implica em riscos mínimos.
	
	c. 
Alta frequência sempre implica em riscos mínimos.
	
	d. 
Os riscos mínimos se encontram na combinação de baixa severidade e impacto com baixa frequência.
	
	e. 
Os riscos máximos se encontram na combinação de baixa severidade e impacto com alta frequência.
	Comentário da resposta:
	Resposta: D
Comentário: A combinação entre frequência e severidade e impacto permite concluir a região dos riscos (máximos ou mínimos). Alta frequência de ocorrência, mesmo para riscos de severidade e impacto baixos, os colocam em riscos máximos. O mesmo ocorre para um risco de baixa frequência, mas de alta severidade.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	Poder definir os riscos em máximos e mínimos auxilia a futura tomada de decisões na Organização. Uma forma de facilitar a visualização dos riscos se dá com o Mapa de Calor de Riscos. Acerca do Mapa de Calor de Riscos, analise as afirmações a seguir.
 
I.  O Mapa de Calor de Riscos não considera a frequência de ocorrência dos riscos.
II.  O Mapa de Calor de Riscos se baseia na severidade e impacto em conjunto com a frequência e se refere a uma forma diferente de apresentar os resultados da análise de riscos de maneira visual.
III.  O Mapa de Riscos contempla apenas três categorias possíveis: Baixo, Moderado e Alto.
Estão corretas as afirmações:
	
	
	
	
		Resposta Selecionada:
	b. 
II, apenas.
	Respostas:
	a. 
I, apenas.
	
	b. 
II, apenas.
	
	c. 
III, apenas.
	
	d. 
I e II.
	
	e. 
I, II e III.
	Comentário da resposta:
	Resposta: B
Comentário: O Mapa de Calor de Riscos compreende uma forma visual de demonstrar e identificar os riscos. Contudo, as categorias dependem da organização e podem contemplar além de Baixo, Moderado e Alto, categorias intermediárias como Muito Baixo, entre outras.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	A gestão de riscos e a segurança da informação estão intrinsecamente ligadas, pois a gestão de riscos leva às ações de segurança da informação a serem aplicadas pelas Organizações. Acerca dos Riscos e a Segurança da Informação, conforme a NBR ISO 27001 (2018), analise as afirmações a seguir.
 
I.  A NBR ISO 27001 (2018) contempla assegurar que o Sistema de Gestão de Segurança da Informação alcance os resultados indicados.
II.  Não faz parte do processo de avaliação de riscos de segurança da informação a contínua avaliação dos riscos de segurança da informação.
III.  No processo de avaliação de riscos de segurança da informação deve-se avaliar as consequências da materialização dos riscos avaliando a probabilidade real da ocorrência dos riscos, bem como determinar os níveis de risco.
Estão corretas as afirmações:
	
	
	
	
		Resposta Selecionada:
	e. 
I e III.
	Respostas:
	a. 
II, apenas.
	
	b. 
III, apenas.
	
	c. 
I e II.
	
	d. 
I, II e III.
	
	e. 
I e III.
	Comentário da resposta:
	Resposta: E
Comentário: É parte integrante da gestão de riscos alinhada à segurança da informação assegurar que o Sistema de Gestão de Segurança da Informação alcance os resultados indicados, a contínua avaliação dos riscos de segurança da informação e avaliar a materialização dos riscos e sua probabilidade de ocorrência.
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	Considerando a Equação do Risco à Segurança da Informação proposto por Sêmola (2014), analise o risco considerando o cenário a seguir. Uma determinada organização, em uma análise de riscos, identificou 25 vulnerabilidades em seu sistema de atendimento virtual baseado em chatbot. As ameaças estão disponíveis para cada um de seus 50 clientes, contudo, o impacto é baixo e incluído na categoria 4. Há 100 medidas de segurança existentes na Organização capazes de mitigar as vulnerabilidades. Na Organização os riscos acima ou iguais a 50 são considerados altos e devem ser tratados. Além disso, o atendimento virtual baseado em chatbot é de fundamental importância com relação à visibilidade da Organização no mercado. Por esse motivo, é possível afirmar que:
	
	
	
	
		Resposta Selecionada:
	a. 
O gerente de segurança deve reservar capital proporcional ao impacto identificado, uma vez que o Risco é igual ou superior a 50.
	Respostas:
	a. 
O gerente de segurança deve reservar capital proporcional ao impacto identificado, uma vez que o Risco é igual ou superior a 50.
	
	b. 
Como o risco é igual a 50 a Organização deve desconsiderar qualquer tratamento, pois o Risco está abaixo do valor considerado para tratamento pela Organização.
	
	c. 
O risco está abaixo do definido pela empresa para qualquer atuação pelo gerente de segurança.
	
	d. 
O risco está abaixo do definido pela empresa para tratamento, contudo deve ser tratado pelo gerente de segurança.
	
	e. 
O risco é superior a 50, mas não deve ser tratado.
	Comentário da resposta:
	Resposta: A
Comentário: Considerando que, segundo Sêmola (2014), o Risco é a proporção da combinação de vulnerabilidades, ameaças e impacto, em razão das medidas de segurança, conclui-se que o Risco é igual a 50. Na Organização os riscos iguais ou superiores a 50 são considerados altos e devem ser tratados, o que consta na alternativa correta.
	
	
	
Quinta-feira, 10 de Novembro de 2022 19h27min59s GMT-03:00
QUESTIONÁRIO III
· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	A definição e direcionamento do sistema de gestão da segurança da informação é o primeiro passo para uma governança eficaz e isso exige necessariamente a compreensão dos riscos da Organização. Quais são as três etapas do planejamento do sistema de segurança?
	
	
	
	
		Resposta Selecionada:
	a. 
(1) Definição do escopo; (2) Análise de risco; (3) Planejamento de tratamento de risco.
	Respostas:
	a. 
(1) Definição do escopo; (2) Análise de risco; (3) Planejamento de tratamento de risco.
	
	b. 
(1) Definição de relevância; (2) Estruturação; (3) Implementação de ferramentas de risco.
	
	c. 
(1) Definição de controle; (2) Análise e controle de danos; (3) Comunicação do risco.
	
	d. 
(1) Organização; (2) Vendas; (3) Produção.
	
	e. 
(1) Definição de relevância; (2) Definição do escopo; (3) Implementação de ferramentas de risco.
	Comentário da resposta:
	Resposta: A
Comentário: Essas 3 etapas listadas na alternativa A sãoo trio que garante a governança do sistema de gestão da segurança.
	
	
	
· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	A cadeia de valor é uma ferramenta/método que é usado em conjunto com a Gestão da Segurança da Informação. O que é a cadeia de valor?
	
	
	
	
		Resposta Selecionada:
	c. 
É uma ferramenta que auxilia na definição do escopo da gestão e análise de riscos e na priorização dos tratamentos.
	Respostas:
	a. 
É uma ferramenta que auxilia a determinar o custo do impacto de um incidente não calculado.
	
	b. 
É uma ferramenta que auxilia a determinar o custo do impacto de um incidente já calculado.
	
	c. 
É uma ferramenta que auxilia na definição do escopo da gestão e análise de riscos e na priorização dos tratamentos.
	
	d. 
É uma ferramenta que permite a troca de dados entre as etapas iniciais e finais de uma análise de segurança (ameaças e vulnerabilidades).
	
	e. 
É uma ferramenta que permite a definição de valores (custo) desde as etapas iniciais da governança da segurança.
	Comentário da resposta:
	Resposta: C
Comentário: Uma das principais metodologias para identificar a melhor maneira de definir o escopo para o SGSI é realizar uma análise de cadeia de valor da Organização.
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	Aponte qual alternativa traz uma vantagem da definição do grau de relevância dos processos para uma organização.
	
	
	
	
		Resposta Selecionada:
	a. 
É possível perceber e priorizar os processos mais importantes.
	Respostas:
	a. 
É possível perceber e priorizar os processos mais importantes.
	
	b. 
O custo pode ser mais bem calculado, pois está diretamente ligado à relevância.
	
	c. 
Isso permite que o escopo da análise de risco possa ser alterado ao longo dos processos.
	
	d. 
Isso impede que o escopo da análise de risco possa ser alterado ao longo dos processos.
	
	e. 
Com isso a documentação do escopo não precisa passar por reavaliações.
	Comentário da resposta:
	Resposta: A
Comentário: Se o risco levar em conta a relevância do processo, isto significa dizer que o tratamento de risco, de algum modo, atenderá primeiro ou de forma mais definitiva aos processos mais relevantes.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	Payback é um termo técnico usado em várias áreas, inclusive na análise de risco. Qual alternativa melhor define o termo?
	
	
	
	
		Resposta Selecionada:
	d. 
É o período que um investimento leva para dar retorno à empresa.
	Respostas:
	a. 
Trata-se do retorno sobre a documentação implantada em análise de risco.
	
	b. 
É uma análise que mede se a comunicação de risco foi ou não efetuada de forma coerente durante a análise de risco.
	
	c. 
Trata-se do custo de mudança em um projeto de análise de risco.
	
	d. 
É o período que um investimento leva para dar retorno à empresa.
	
	e. 
Período que leva para um risco ser eliminado.
	Comentário da resposta:
	Resposta: D
Comentário: O conceito se refere ao tempo que a organização vai levar para fazer com que algum dinheiro aplicado retorne ao caixa.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	Há diferenças entre os métodos quantitativos e qualitativos. Marque a alternativa correta a respeito das características que definem esses dois métodos.
	
	
	
	
		Resposta Selecionada:
	b. 
O qualitativo não faz valoração do risco. O quantitativo faz valoração do risco.
	Respostas:
	a. 
O quantitativo usa cálculos mais simples. O qualitativo usa cálculos mais complexos.
	
	b. 
O qualitativo não faz valoração do risco. O quantitativo faz valoração do risco.
	
	c. 
O qualitativo facilita a determinação do custo/benefício. O quantitativo dificulta a determinação do custo-benefício.
	
	d. 
O quantitativo facilita a atribuição das taxas de risco, ao contrário do qualitativo.
	
	e. 
No qualitativo, os resultados são baseados em objetivos; enquanto no quantitativo, os resultados se baseiam em dados mais subjetivos.
	Comentário da resposta:
	Resposta: B
Comentário: No método quantitativo, os valores financeiros são atribuídos ao risco; enquanto no qualitativo, não há essa valoração de riscos.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	Para o cálculo de risco algumas variáveis são muito importantes. Marque a alternativa que traz uma explicação errada sobre estas variáveis.
	
	
	
	
		Resposta Selecionada:
	e. 
Controles de segurança: se refere à condução organizacional da análise de risco para um incidente.
	Respostas:
	a. 
Probabilidade: se refere à chance que existe de o incidente acontecer.
	
	b. 
Impacto: se refere ao impacto no negócio que o incidente vai provocar caso ocorra.
	
	c. 
Ocorrências: se refere ao número de vezes que este incidente já ocorreu no passado.
	
	d. 
Relevância do processo: se refere à importância do processo para a organização.
	
	e. 
Controles de segurança: se refere à condução organizacional da análise de risco para um incidente.
	Comentário da resposta:
	Resposta: E
Comentário: Os controles de segurança são as medidas protetivas de segurança para barrar um incidente.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	O ativo de pessoal também deve ser levado em conta na análise de riscos. Há várias ameaças e vulnerabilidades que podem acontecer com as pessoas e/ou por causa delas. Marque a alternativa que não traz uma ameaça ou vulnerabilidade associada ao ativo de pessoal.
	
	
	
	
		Resposta Selecionada:
	b. 
Tecnologia.
	Respostas:
	a. 
Doença.
	
	b. 
Tecnologia.
	
	c. 
Cansaço.
	
	d. 
Descontentamento.
	
	e. 
Corrupção.
	Comentário da resposta:
	Resposta: B
Comentário: A tecnologia não está diretamente ligada ao ativo de pessoal quando se analisa a geração de ameaças ou vulnerabilidades.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	Após o processo de identificação e categorização é necessário dar uma resposta ao risco e isso pode ocorrer basicamente de quatro formas de tratamento. Marque a alternativa que não expressa uma destas formas de tratamento do risco.
	
	
	
	
		Resposta Selecionada:
	a. 
Medir o risco.
	Respostas:
	a. 
Medir o risco.
	
	b. 
Evitar o risco.
	
	c. 
Controlar o risco.
	
	d. 
Transferir o risco.
	
	e. 
Aceitar o risco.
	Comentário da resposta:
	Resposta: A
Comentário: Medir o risco não é uma resposta/tratamento ao risco. Pode ser encarado mais como uma análise.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	A conformidade é uma sugestão presente na norma ABNT NBR ISO/IEC 27002. A ideia de conformidade preconizada na lei e que pode ser aplicada ao processo de análise de risco pode ser entendida como:
	
	
	
	
		Resposta Selecionada:
	b. 
Os procedimentos de segurança e de análise de risco devem estar de acordo com as leis vigentes.
	Respostas:
	a. 
Não pode haver desvios entre os objetivos de uma análise de riscos.
	
	b. 
Os procedimentos de segurança e de análise de risco devem estar de acordo com as leis vigentes.
	
	c. 
Sistemas devem estar em conformidade com as diretrizes traçadas pelos programadores.
	
	d. 
Uma organização deve estar de acordo com os critérios, escopos e parâmetros definidos durante o planejamento da segurança.
	
	e. 
Métodos e controles de segurança devem estar em conformidade e alinhados com as estratégias da empresa.
	Comentário da resposta:
	Resposta: B
Comentário: A conformidade sugerida na ABNT 27002 está no amparo legal (leis).
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	O processo para tratamento de não conformidades tem 5 etapas. Assinale a alternativa errada em relação a esses passos.
	
	
	
	
		Resposta Selecionada:
	c. 
Etapa 3: Implemente uma análise de riscos para saber o impacto da não conformidade.
	Respostas:
	a. 
Etapa 1: Identifique as causas da não conformidade.
	
	b. 
Etapa 2: Avalie se ações devem ser tomadas para atender à não conformidade.
	
	c. 
Etapa 3: Implemente uma análise de riscos para saber o impacto da não conformidade.
	
	d. 
Etapa 4: Divida a implementação da ação em módulos de análise.
	
	e. 
Etapa 5: Registre os resultados para futuras aferições.
	Comentário da resposta:
	Resposta: C
Comentário:Na verdade, a etapa 3 é: Implemente ação corretiva apropriada.
	
	
	
Quinta-feira, 10 de Novembro de 2022 19h33min46s GMT-03:00
QUESTIONÁRIO IV
· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	Os projetos são marcados por algumas características básicas que são comuns a todos os processos. Marque a alternativa que não é uma característica básica de um projeto.
	
	
	
	
		Resposta Selecionada:
	a. 
Ter um início definido e fim que depende das interações que vão acontecer durante o projeto.
	Respostas:
	a. 
Ter um início definido e fim que depende das interações que vão acontecer durante o projeto.
	
	b. 
Conter um plano organizado para a implementação do projeto.
	
	c. 
Possuir uma equipe competente.
	
	d. 
Ter metas estabelecidas previamente.
	
	e. 
Possuir recursos para sua execução.
	Comentário da resposta:
	Resposta: A
Comentário: O fim do projeto também deve estar bem definido.
	
	
	
· Pergunta 2
0 em 0,25 pontos
	
	
	
	O que é a singularidade (unicidade), uma característica bastante comum em projetos?
	
	
	
	
		Resposta Selecionada:
	d. 
Trata-se do nível de complexidade único de um projeto.
	Respostas:
	a. 
Trata-se da unificação dos recursos de um projeto.
	
	b. 
Mostra que projetos sempre são diferentes entre si em alguma característica.
	
	c. 
Indefinição causada pelos níveis de risco.
	
	d. 
Trata-se do nível de complexidade único de um projeto.
	
	e. 
Trata-se da divisão de um projeto em tarefas únicas.
	
	
	
· Pergunta 3
0 em 0,25 pontos
	
	
	
	Durante a criação de um projeto, existem pessoas afetadas pelo resultado do projeto, como clientes, fornecedores ou executivos de outras áreas da empresa. Há alguns termos técnicos que definem estes elementos. Dentre estes termos, quem é o membro-chave?
	
	
	
	
		Resposta Selecionada:
	d. 
Inicia um projeto, reforça a autoridade na equipe e, nela, é o membro mais graduado.
	Respostas:
	a. 
Pessoa que, em tempo integral ou não, executa tarefas para o andamento do projeto.
	
	b. 
Dá assistência ao gerente e fornece a quantidade de conhecimento necessária.
	
	c. 
Responsável pela obtenção dos objetivos do projeto e pela liderança da equipe.
	
	d. 
Inicia um projeto, reforça a autoridade na equipe e, nela, é o membro mais graduado.
	
	e. 
Com isso a documentação do escopo não precisa passar por reavaliações.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	Há uma série de complexidades que envolvem um projeto. Muitas vezes fatores externos podem influenciar os rumos de um projeto. Há as chamadas forças impulsoras e forças resistentes. Marque a alternativa que melhor explica estes termos.
	
	
	
	
		Resposta Selecionada:
	d. 
Resistentes: razões pelas quais um projeto pode não dar certo. Impulsoras: razões pelas quais um projeto pode dar certo.
	Respostas:
	a. 
Impulsoras: garantem os baixos custos que impulsionam um projeto. Resistentes: garantem os altos custos que dificultam o projeto.
	
	b. 
Impulsoras: impedem ameaças ao projeto pela introdução de medidas de segurança. Resistentes: medem a resistência de um projeto às ameaças e incidentes.
	
	c. 
Resistentes: impedem ameaças ao projeto pela introdução de medidas de segurança. Impulsoras: medem a resistência de um projeto às ameaças e incidentes.
	
	d. 
Resistentes: razões pelas quais um projeto pode não dar certo. Impulsoras: razões pelas quais um projeto pode dar certo.
	
	e. 
Impulsoras: razões pelas quais um planejamento pode não dar certo. Resistentes: razões pelas quais um incidente pode ser resolvido.
	Comentário da resposta:
	Resposta: D
Comentário: As forças impulsoras criam impulsos para que um projeto esteja sempre em andamento. As resistentes são os entraves para o funcionamento do projeto.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	Há três elementos essenciais para o sucesso dos projetos: tempo, custo e qualidade. Contudo, a relação entre esses três elementos não é amistosa, visto que a melhora de um deles pode significar a piora de outro. Baseado nisso, há uma série de fatores que juntos, indicam o sucesso de um projeto. Qual alternativa não representa um fator para o sucesso de um projeto?
	
	
	
	
		Resposta Selecionada:
	b. 
Conclusão com grandes alterações no escopo.
	Respostas:
	a. 
Conclusão dentro do prazo previsto.
	
	b. 
Conclusão com grandes alterações no escopo.
	
	c. 
Conclusão dentro do orçamento previsto.
	
	d. 
Uso eficiente dos recursos alocados.
	
	e. 
Ter atingido o nível esperado de qualidade.
	Comentário da resposta:
	Resposta: B
Comentário: Para que um projeto seja considerado um sucesso, poucas alterações devem ser realizadas no escopo original. Isso indica aumento de custos e tempo.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	Segundo o PMBOK (2013), devido ao seu caráter temporário, todo projeto apresenta um ciclo de vida que nada mais é do que as fases em que o projeto está dividido. O PMBOK (2013) divide o ciclo de vida do gerenciamento do projeto em 5 processos:
	
	
	
	
		Resposta Selecionada:
	a. 
Iniciação, Planejamento, Execução, Monitoramento/Controle e Encerramento.
	Respostas:
	a. 
Iniciação, Planejamento, Execução, Monitoramento/Controle e Encerramento.
	
	b. 
Plano de Gerenciamento, Entradas, Ferramentas, Geração de alternativas e Saídas.
	
	c. 
Especificação, Escopo, Business Case, Acordos e Encerramento.
	
	d. 
Especificação, Desenvolvimento, Implantação, Operação e Descarte.
	
	e. 
Planejamento, Escopo, Entradas, Operação e Conclusão.
	Comentário da resposta:
	Resposta: A
Comentário: Iniciação: identificação da necessidade e do escopo do projeto.
Planejamento: detalhamento do projeto.
Execução: executar as atividades do projeto.
Monitoramento e controle: controle do que está sendo executado e ações corretivas.
Encerramento: avaliação de tudo o que foi feito no projeto.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	O Control Objectives for Information and Related Technologies (Cobit) é um modelo de boas práticas que define um modelo de análise de capacidades que podem ser usadas como metodologia para a análise de riscos. As Capacidades a serem analisadas são cinco, Governança, Organização, Processos, Tecnologia e Métrica que ao final resultam em um plano de ação factível e orientado a projetos. O que vem a ser a Capacidade de Métrica?
	
	
	
	
		Resposta Selecionada:
	c. 
É quem define os indicadores para medir a gestão e análise de risco no atendimento das estratégias.
	Respostas:
	a. 
É quem define quais são os valores reais que foram investidos ao longo do desenrolar do projeto de análise de risco.
	
	b. 
É quem define quais são os valores previstos que serão investidos no projeto de análise de risco.
	
	c. 
É quem define os indicadores para medir a gestão e análise de risco no atendimento das estratégias.
	
	d. 
É quem define a execução das atividades da gestão de risco a partir de uma ótica voltada para a medição dos tempos e períodos necessários.
	
	e. 
É quem define a medição das competências que as pessoas envolvidas no projeto de análise de risco devem ter.
	Comentário da resposta:
	Resposta: C
Comentário: Cada indicador deve ser relativo ao atendimento aos controles e direcionadores indicados nas demais capacidades analisadas e deve fornecer informações para que os gestores da Organização possam tomar decisões.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	Existem riscos em todas as atividades, inclusive naquelas em que os riscos não são aceitáveis, um bom exemplo disso são os processos de Auditoria, por isso é importante identificar esses riscos e procurar reduzir sua probabilidade. Os riscos que produzam erros nas diversas áreas devem ser identificados. Existem cinco passos sugeridos para essa identificação. Marque a alternativa que traz um passo inválido, que não
existe quando se identificam riscos na auditoria.
	
	
	
	
		Resposta Selecionada:
	a. 
1 – Planejamento de análise.
	Respostas:
	a. 
1 – Planejamento de análise.
	
	b. 
2 – Identificação dos sistemas.
	
	c. 
3 – Avaliação preliminar do risco.
	
	d. 
4 – Provas sobre sistemasde controle interno.
	
	e. 
5 – Avaliação definitiva do risco.
	Comentário da resposta:
	Resposta: A
Comentário: Não existe planejamento de análise. O passo correto é: Identificação dos itens mais importantes.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	Uma atividade, ativo ou processo que possui riscos em sua própria estrutura, cuja natureza contém ameaças e vulnerabilidades intrínsecas, em relação ao risco, pode ser classificada como:
	
	
	
	
		Resposta Selecionada:
	b. 
Risco inerente.
	Respostas:
	a. 
Risco relativo.
	
	b. 
Risco inerente.
	
	c. 
Risco estratégico.
	
	d. 
Risco de controle.
	
	e. 
Risco de detecção.
	Comentário da resposta:
	Resposta: B
Comentário: É o risco que se origina da natureza própria da conta ou do tipo de operação analisada.
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	O risco de detecção é aquele que não foi detectado pelos processos normais. É relativo à combinação das possibilidades de que nem os procedimentos de verificação analítica, nem as provas substantivas dos controles impostos aos ativos de segurança reduzam os erros não detectados a um montante que em conjunto não tenham importância. O risco de detecção pode, então, ser analisado por dois aspectos:
	
	
	
	
		Resposta Selecionada:
	d. 
Risco de verificação analítica e risco de procedimentos substantivos.
	Respostas:
	a. 
Risco de verificação substantiva e risco de verificação linear.
	
	b. 
Risco de procedimento substantivo e risco de procedimento estratégico.
	
	c. 
Risco de imposição e risco de revisão.
	
	d. 
Risco de verificação analítica e risco de procedimentos substantivos.
	
	e. 
Risco de controle e risco de ingerência.
	Comentário da resposta:
	Resposta: D
Comentário: Risco de verificação analítica: é o erro significativo que pode não ser detectado pelas verificações utilizadas. Risco de procedimentos substantivos, que representa a variável dependente da equação do risco de auditoria.
	
	
	
Quinta-feira, 10 de Novembro de 2022 19h35min48s GMT-03:00