ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000 ... · 2016-05-03 · 31000 (ABNT, 2009) , para a gestão de riscos ser eficaz, ... Gestão de riscos,

RELATÓRIOS DE PESQUISA EM ENGENHARIA DE PRODUÇÃO v.14, n.A13, p.159-172

Artigo submetido em 2/6/2014. Versão final recebida em 15/7/2014. Publicado em 16/7/2014.

ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000: APLICAÇÃO NUMA EMPRESA DE ENERGIA

Renata de Oliveira Ferreira Eletrobras

[email protected]

Gilson Brito Alves Lima Universidade Federal Fluminense

[email protected]

Gabriela Franco dos Santos Vasconcelos Maciel Universidade Federal Fluminense

[email protected]

Antônio João Queiroz Lima Eletrobras

[email protected]

Resumo

A gestão de riscos vem se tornando uma importante aliada para que as organizações sobrevivam no ambiente corporativo, que é dinâmico e competitivo. Assim, o objetivo deste artigo é analisar a implantação do processo de gestão de riscos numa empresa de energia a partir do modelo proposto pela norma ISO 31000. O processo metodológico consistiu em analisar o modelo apresentado na ISO 31000 e a implantação do processo de gestão de riscos na empresa, além de investigar o gap entre eles através de uma análise crítica dos resultados. Concluiu-se que a norma carece de orientações para que o seu modelo seja aplicado e que existem diferenças entre o processo metodológico de gestão de riscos adotado pela empresa e a orientação teórica indicada pela referida norma. A partir da pesquisa realizada, foi possível propor ferramentas para auxiliar a implantação do processo de gestão de riscos.

Palavras-chave: Gestão de riscos, ISO 31000, empresa de energia

ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000

1. Introdução

O elevado dinamismo dos sistemas globaisa existência das organizações no mercado. surgiram visando auxiliar as empresas desenvolvimento de vantagens compde indicadores de desempenho (KAPLANconstrução de um planejamento estratégico capaz de direcionar os rumos da (MINTZBERG, 2006).

Com isso, destaca-se o desenvolvimento da gestão de riscos corporativos, estudo focado em identificar, analisaras organizações a atingirem os seus objetivosconsciência dos riscos incorridos, a capacidade de administrádecisões são elementos chaves para a

À medida que a abrangência e a relevância dosurgiram normas e práticas reconhecidas no mercadoorganizações. Uma delas, a ISO 31000, é um modelo utilizado por organizações que pretendem reduzir sua exposição aos riscos

Este artigo tem por objetivonuma empresa de energia a partir do modelo proposto pela norma ISO 31000gaps entre o modelo teórico da norma e aquele utilizado pela empresa

A estrutura do artigo é composta pordos conceitos de gestão de riscos mametodológica utilizada para o desenvolvimento do estudoimplantação do processo de gestão de riscos discussão dos resultados a partir da comparação entre o modelo da ISO 31000 e o modelo implantado na empresa. Na quinta

2. Contextualização dos modelos de gestão de riscos

A gestão de riscos é um processo interativoestratégico da empresa (ALMEIDA e SANT’ANNA, 2009)

Diversos são os modelos de gestão de riscos propostos por instituições espalhadas por todo o mundo, sendo que cada uma delas possui um entendimento particular do conceito de risco. A Tabela 1 cita alguns dessede risco.

Tabela 1 - Modelos de gestão de riscos existentes


160

O elevado dinamismo dos sistemas globais exige práticas de gestão capazes de manter a existência das organizações no mercado. Nesse sentido, diversos foram os modelos que

as empresas a alcançarem o sucesso. Alguns basearde vantagens competitivas (PORTER, 1989), outros, em sistemas de medição

de indicadores de desempenho (KAPLAN e NORTON, 1997), e há ainda os roteiros para a construção de um planejamento estratégico capaz de direcionar os rumos da

se o desenvolvimento da gestão de riscos corporativos, um campo de estudo focado em identificar, analisar, avaliar e tratar os riscos capazes de dificultar

os seus objetivos. Segundo Almeida e Sant’Anna (2009), incorridos, a capacidade de administrá-los e a capacidade de tomar

es são elementos chaves para a boa gestão de uma empresa.

À medida que a abrangência e a relevância do tema foram percebidas e valorizadas, ráticas reconhecidas no mercado direcionadas a vários tipos de

Uma delas, a ISO 31000, é um modelo utilizado por organizações que pretendem reduzir sua exposição aos riscos (FERREIRA, 2013).

tem por objetivo analisar a implantação do processo de gestão de riscos a partir do modelo proposto pela norma ISO 31000, identificando os

entre o modelo teórico da norma e aquele utilizado pela empresa.

é composta por cinco partes. A primeira parte traz uma revisão dos conceitos de gestão de riscos mais relevantes. Na segunda, é apresentada a abordagem

odológica utilizada para o desenvolvimento do estudo. Já na terceira, apresenta-implantação do processo de gestão de riscos na empresa. Na quarta parte, realiza-se

ssão dos resultados a partir da comparação entre o modelo da ISO 31000 e o modelo a quinta parte, são apresentadas as conclusões da pesquisa

Contextualização dos modelos de gestão de riscos

A gestão de riscos é um processo interativo que deve estar integrado ao planejamento (ALMEIDA e SANT’ANNA, 2009).

os modelos de gestão de riscos propostos por instituições espalhadas por , sendo que cada uma delas possui um entendimento particular do conceito de

cita alguns desses modelos com suas respectivas instituições e entendimentos

Modelos de gestão de riscos existentes e seus entendimentos de risco

Fonte: adaptado de Ferreira (2013)


exige práticas de gestão capazes de manter diversos foram os modelos que

a alcançarem o sucesso. Alguns basearam-se no em sistemas de medição

e há ainda os roteiros para a construção de um planejamento estratégico capaz de direcionar os rumos da empresa

um campo de dificultar, ou ajudar,

Segundo Almeida e Sant’Anna (2009), a los e a capacidade de tomar

tema foram percebidas e valorizadas, direcionadas a vários tipos de

Uma delas, a ISO 31000, é um modelo utilizado por organizações que pretendem

analisar a implantação do processo de gestão de riscos , identificando os

parte traz uma revisão é apresentada a abordagem

-se o caso de se a análise e

ssão dos resultados a partir da comparação entre o modelo da ISO 31000 e o modelo onclusões da pesquisa.

que deve estar integrado ao planejamento

os modelos de gestão de riscos propostos por instituições espalhadas por , sendo que cada uma delas possui um entendimento particular do conceito de

respectivas instituições e entendimentos

e seus entendimentos de risco


No contexto nacional, a Associação Brasileira de Normas Técnicas (ABNT), com o intuito de uniformizar conceitos relativos a anteriores, lançou em novembro de 2009 uma versão da norma ISO 31000: Principles and guidelines, cujo modelo foi selecionado como referência para a elaboração deste artigo por, além de ser abrangentestudos de sua aplicação.

De acordo com Ferreira (2013), a norma NBR ISO 31000 pode ser usada por qualquer empresa pública, privada ou comunitária, associação, grupo ou indivíduo, para qualquer tipo de risco, independentemente de sua natureza, quer tenha consequências positivas ou negativas. certificação e tem por objetivo apoiar outras normas que tratem de riscos e/ou setores específicos, e não substituí-las, servindo também de guia para programas de auditoria interna e externa.

A gestão de riscos proposta pela ISO 31000 inclui prgerenciar riscos eficazmente. Esses três itens e o relacionamento entre eles são apresentados Figura 1.

Figura 1- Relacionamento entre os princípios da gestão de riscos, estrutura e processo

Fonte: adaptado da ISO

A norma em questão sugere queestrutura e o processo presentes na Figura 1 devem seravaliar e tratar os riscos que podem vir a dificultar mecanismos para combater as suas causas, minimizar os seus efeitos ou até mesmo admitir a sua existência e aprender a conviver com eles (MACIEL, 2013).

A seguir, são detalhadas cada uma das etapas do processopela ISO 31000:

a) Comunicação e consulta

Segundo a norma, essa etapa do processo de gestão de riscos. Os planos de comunicação e consulta devem abrelacionadas ao risco propriamente dito, suas causas, suas consequmedidas que estão sendo tomadas para tratá

A ISO 31000 afirma que uma comunicação e consulta eficazesresponsáveis pela implantação do processo de gestão de riscos e as partes interessadas


161

No contexto nacional, a Associação Brasileira de Normas Técnicas (ABNT), com o zar conceitos relativos a risco abordados em normas e publicações

anteriores, lançou em novembro de 2009 uma versão da norma ISO 31000: Risk Management

, cujo modelo foi selecionado como referência para a elaboração deste artigo por, além de ser abrangente em sua sistemática de implantação, permitir avanços nos

Ferreira (2013), a norma NBR ISO 31000 define em seu escopopode ser usada por qualquer empresa pública, privada ou comunitária, associação, grupo ou indivíduo, para qualquer tipo de risco, independentemente de sua natureza, quer tenha consequências positivas ou negativas. No entanto, essa norma não deve ser usada certificação e tem por objetivo apoiar outras normas que tratem de riscos e/ou setores

las, servindo também de guia para programas de auditoria interna e

A gestão de riscos proposta pela ISO 31000 inclui princípios, estrutura e processo para gerenciar riscos eficazmente. Esses três itens e o relacionamento entre eles são apresentados

Relacionamento entre os princípios da gestão de riscos, estrutura e processo

Fonte: adaptado da ISO 31000 (ABNT, 2009)

A norma em questão sugere que, para a gestão de riscos ser eficaz, os princípios, a presentes na Figura 1 devem ser atendidos. A fim de identificar, analisar,

avaliar e tratar os riscos que podem vir a dificultar as atividades da empresa, esta precisa criar mecanismos para combater as suas causas, minimizar os seus efeitos ou até mesmo admitir a sua existência e aprender a conviver com eles (MACIEL, 2013).

A seguir, são detalhadas cada uma das etapas do processo de gestão de riscos proposto

Comunicação e consulta

essa etapa deve acontecer simultaneamente a todas as outras etapas do processo de gestão de riscos. Os planos de comunicação e consulta devem abordar questões

o risco propriamente dito, suas causas, suas consequências, se conhecidas,medidas que estão sendo tomadas para tratá-los.

que uma comunicação e consulta eficazes devem assegurar que os responsáveis pela implantação do processo de gestão de riscos e as partes interessadas


No contexto nacional, a Associação Brasileira de Normas Técnicas (ABNT), com o abordados em normas e publicações

Risk Management –

, cujo modelo foi selecionado como referência para a elaboração deste e em sua sistemática de implantação, permitir avanços nos

u escopo que ela pode ser usada por qualquer empresa pública, privada ou comunitária, associação, grupo ou indivíduo, para qualquer tipo de risco, independentemente de sua natureza, quer tenha

ssa norma não deve ser usada com fins de certificação e tem por objetivo apoiar outras normas que tratem de riscos e/ou setores

las, servindo também de guia para programas de auditoria interna e

incípios, estrutura e processo para gerenciar riscos eficazmente. Esses três itens e o relacionamento entre eles são apresentados na

Relacionamento entre os princípios da gestão de riscos, estrutura e processo

os princípios, a identificar, analisar,

as atividades da empresa, esta precisa criar mecanismos para combater as suas causas, minimizar os seus efeitos ou até mesmo admitir a

gestão de riscos proposto

deve acontecer simultaneamente a todas as outras etapas ordar questões

ências, se conhecidas, e as

devem assegurar que os responsáveis pela implantação do processo de gestão de riscos e as partes interessadas


162

compreendam os fundamentos sobre os quais as decisões são tomadas e as razões pelas quais ações específicas são requeridas.

Conforme Dias et al (2011), esta etapa deve descrever como as pessoas envolvidas no processo de gerenciamento de riscos devem se comunicar e trabalhar em cada etapa do projeto.

b) Estabelecimento do contexto

Segundo a ISO 31000, a organização, ao estabelecer um contexto, articula seus objetivos, define os parâmetros externos e internos a serem levados em consideração ao gerenciar riscos, e estabelece o escopo e os critérios de risco para o restante do processo. Além disso, convém que a organização, durante esta etapa, defina os critérios a serem utilizados para avaliar a significância dos riscos.

Purdy (2010) afirma que nesta etapa a organização deve definir os objetivos que pretende alcançar e quais os fatores externos e internos que podem influenciar esta busca. Já Dias et al (2011) dizem que nesta etapa deve-se definir se os objetivos do projeto são técnicos, financeiros ou sociais, além de descrever o método de trabalho com relação ao tempo e espaço, e os stakeholders internos e externos.

c) Avaliação de riscos

A ISO 31000 define o macro processo de avaliação de riscos como aquele que engloba as etapas de identificação, análise e avaliação de riscos.

A identificação de riscos tem por finalidade gerar uma lista abrangente de riscos baseada em eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização dos objetivos. Deve-se atentar para que todos os riscos sejam incluídos, pois um risco não identificado nesta fase não será incluído em análises posteriores.

Já a análise de riscos envolve a compreensão dos riscos e a apreciação de suas consequências e probabilidades. De acordo com as circunstâncias, a análise pode ser qualitativa, semiqualitativa ou quantitativa, ou uma combinação destas.

Quanto à avaliação de riscos, a ISO 31000 afirma que nessa etapa ocorre a comparação entre o nível de risco encontrado durante o processo anterior e os critérios de risco estabelecidos. Com base nesta comparação, a necessidade e a prioridade de tratamento podem ser definidas.

d) Tratamento dos riscos

Essa etapa é composta por: avaliação do tratamento dos riscos já materializados; decisão se os níveis de risco residual são toleráveis; implantação de um novo tratamento para os riscos, caso esses níveis não sejam toleráveis; e avaliação da eficácia desse tratamento.

De acordo com a norma em questão, ao selecionar a opção mais desejável de tratamento, a organização deve equilibrar, de um lado, os custos e os esforços de implantação e, de outro, os benefícios decorrentes relativos a requisitos legais, regulatórios, de responsabilidade social, de proteção do ambiente natural e outros.

e) Monitoramento e análise crítica

O monitoramento e a análise crítica devem ser contínuos, com atualização periódica ou em resposta a um fato específico. Os resultados desse processo representam uma medida de desempenho da gestão de riscos e devem ser comunicados apropriadamente.


Moraes (2010) afirma que esta etapa deve ser conduzida pela alta administração por meio de reuniões periódicas que analisem criticamente o desempenho do sisteriscos.

3. Abordagem metodológica

A partir do entendimento dogestão de riscos implantada na empresa de energiaanalisar as suas similaridades e

A Figura 2 apresenta a sequência de passos dados ao longo do desenvolvimento desta pesquisa.

Figura 2

O passo 1 da Figura 2 proposto pela norma ISO 31000, o que foi poss31000: Gestão de riscos, princípios e diretrizes (ABNT, 2009)

O passo 2 envolveu a coleta de informações sobre o processo de gestão de riscos implantado na empresa em questão

• Instrumento de pesquisapor questionários com perguntas abertasdo processo de gestão de riscos obtidas nas entrevistas,

• Amostra: foram efetuadas de Riscos da empresa.

• Período e processo de aplicaçãoatravés de rodadas sequenciadas buscando o aprofundamento ddo processo.

• Ferramentas de análisecomo o Excel e o Power Point

melhor apresentados na análise e discussão de resultados.

O passo 3 consistiu em traçar um paralelo entre cada umas das etapas integrantes do processo implantado na empresa pontos comuns e os que se diferenciava


163

Moraes (2010) afirma que esta etapa deve ser conduzida pela alta administração por meio de reuniões periódicas que analisem criticamente o desempenho do sistema de gestão de

do entendimento do modelo proposto pela ISO 31000 e da compreensão na empresa de energia, compararam-se esses dois objetos a fim de

analisar as suas similaridades e diferenças.

apresenta a sequência de passos dados ao longo do desenvolvimento desta

Figura 2 - Processo metodológico aplicado

Fonte: os autores

a Figura 2 consistiu na compreensão do processo de gestão de riscos proposto pela norma ISO 31000, o que foi possível através da leitura o documento NBR ISO 31000: Gestão de riscos, princípios e diretrizes (ABNT, 2009).

envolveu a coleta de informações sobre o processo de gestão de riscos questão. A coleta foi desenvolvida da seguinte forma:

Instrumento de pesquisa: A pesquisa foi desenvolvida através de entrevistas orientadas por questionários com perguntas abertas, cujo objetivo foi compreender a implado processo de gestão de riscos na empresa. A fim de complementar as informações obtidas nas entrevistas, lançou-se mão de comunicação por correio eletrônico.

: foram efetuadas 10 entrevistas presenciais com a gerência da áre

de aplicação: A pesquisa foi realizada durante período de 10 mesesatravés de rodadas sequenciadas buscando o aprofundamento do nível de conhecimento

Ferramentas de análise: O conhecimento obtido foi compilado utilizando Power Point e analisado a partir de gráficos, tabelas e fluxogramas,

melhor apresentados na análise e discussão de resultados.

consistiu em traçar um paralelo entre cada umas das etapas integrantes do na empresa e aquelas apresentadas pela ISO 31000, estabelecendo

pontos comuns e os que se diferenciavam.


Moraes (2010) afirma que esta etapa deve ser conduzida pela alta administração por ma de gestão de

e da compreensão da dois objetos a fim de

apresenta a sequência de passos dados ao longo do desenvolvimento desta

consistiu na compreensão do processo de gestão de riscos ível através da leitura o documento NBR ISO

envolveu a coleta de informações sobre o processo de gestão de riscos

olvida através de entrevistas orientadas jetivo foi compreender a implantação

A fim de complementar as informações correio eletrônico.

da área de Gestão

durante período de 10 meses, o nível de conhecimento

: O conhecimento obtido foi compilado utilizando softwares e analisado a partir de gráficos, tabelas e fluxogramas,

consistiu em traçar um paralelo entre cada umas das etapas integrantes do as apresentadas pela ISO 31000, estabelecendo-se os


Já no passo 4 foram analisadas as comparações reaferramentas encontradas na literatura com o intuito de facilitar a implantação das etapas de “Comunicação e consulta” e “Estabelecimento do contexto”.

4. A implantação da NBR ISO 31000

Em 2008, a empresa, por meio do para implantar a gestão integrada de riscosimplantar um modelo de gestão de riscos corporativos (FERREIRA, 2013).

No ano seguinte, foi criada uma estrutura organizacional de gestão de riscos e de controles internos que incluiu um comitê de riscos permanente para cadacomitê mais amplo com representantes de todas ilustra a estrutura organizacional adotada.

Figura 3 – Estrutura de gestão de riscos adotada pela

De acordo com Ferreira (2013maior eficiência das áreas de risco e proprietários dos riscos (risk owners

as subsidiárias, pois cada uma delas

Segundo a proposição, a função de gestão de riscos deve ser orientada para a identificação, tratamento e monitoramento dos riscos, associada ao uso de ferramentas e processos para uma gestão eficiente dos riscos. Já a função de controles internos deve atuforma integrada com a área de gestão de riscos, área de documentação e desenho de processos, gestores de negócio, fornecendo informações consolidadas para a Auditoria Interna e visando possibilitar a obtenção de sinergia operacional, redução de recontroles da empresa.

Os comitês devem ser responsáveis pelos aspectos estratégicos da gestão relacionados às exposições relevantes da empresa, pela definição do perfil de risco da empresa e pela priorização das ações a serem implementadas. Devesuas decisões devem ser submetidas à aprovação da Diretoria Executiva da empresa e, quando necessário, à deliberação do Conselho de Administração da empresa.

Ainda como parte do modelo, composto por cada um dos gerentes da área de gestão de riscos caracterizado por ter uma estrutura transversal e serve como um fórum para a discussão de sugestões de ajustes em documresponsável pelo alinhamento das práticas e dos processos que envolvem a gestão de riscos entre as subsidiárias.


164

Já no passo 4 foram analisadas as comparações realizadas no passo 3 e foram propostasferramentas encontradas na literatura com o intuito de facilitar a implantação das etapas de “Comunicação e consulta” e “Estabelecimento do contexto”.

A implantação da NBR ISO 31000 na empresa de energia

por meio do seu plano estratégico, criou um projeto específico implantar a gestão integrada de riscos, contratando uma consultoria para sugerir e

e gestão de riscos corporativos (FERREIRA, 2013).

e, foi criada uma estrutura organizacional de gestão de riscos e de controles internos que incluiu um comitê de riscos permanente para cada subsidiáriacomitê mais amplo com representantes de todas as subsidiárias (FERREIRA, 2013)

a estrutura organizacional adotada.

Estrutura de gestão de riscos adotada pela empresa


De acordo com Ferreira (2013), a estrutura criada é descentralizada a fim de permitirmaior eficiência das áreas de risco e melhor aproveitamento do conhecimento detido pelos

risk owners). Por outro lado, esse modelo exige forte integração entre uma delas implantou uma estrutura própria.

Segundo a proposição, a função de gestão de riscos deve ser orientada para a identificação, tratamento e monitoramento dos riscos, associada ao uso de ferramentas e processos para uma gestão eficiente dos riscos. Já a função de controles internos deve atuforma integrada com a área de gestão de riscos, área de documentação e desenho de processos, gestores de negócio, fornecendo informações consolidadas para a Auditoria Interna e visando

rgia operacional, redução de retrabalhos, eficiência de g

s comitês devem ser responsáveis pelos aspectos estratégicos da gestão relacionados às exposições relevantes da empresa, pela definição do perfil de risco da empresa e pela

em implementadas. Devem também funcionar como um fórum e suas decisões devem ser submetidas à aprovação da Diretoria Executiva da empresa e, quando necessário, à deliberação do Conselho de Administração da empresa.

inda como parte do modelo, foi criado o Comitê Operacional de Riscos (Corisco), composto por cada um dos gerentes da área de gestão de riscos das subsidiárias. Esse comitê é caracterizado por ter uma estrutura transversal e serve como um fórum para a discussão de sugestões de ajustes em documentos e processos relacionados à gestão de riscos, além de ser responsável pelo alinhamento das práticas e dos processos que envolvem a gestão de riscos


oram propostas ferramentas encontradas na literatura com o intuito de facilitar a implantação das etapas de

plano estratégico, criou um projeto específico uma consultoria para sugerir e

e, foi criada uma estrutura organizacional de gestão de riscos e de subsidiária e um

). A Figura 3

utura criada é descentralizada a fim de permitir o conhecimento detido pelos

). Por outro lado, esse modelo exige forte integração entre

Segundo a proposição, a função de gestão de riscos deve ser orientada para a identificação, tratamento e monitoramento dos riscos, associada ao uso de ferramentas e processos para uma gestão eficiente dos riscos. Já a função de controles internos deve atuar de forma integrada com a área de gestão de riscos, área de documentação e desenho de processos, gestores de negócio, fornecendo informações consolidadas para a Auditoria Interna e visando

balhos, eficiência de gestão de

s comitês devem ser responsáveis pelos aspectos estratégicos da gestão relacionados às exposições relevantes da empresa, pela definição do perfil de risco da empresa e pela

também funcionar como um fórum e suas decisões devem ser submetidas à aprovação da Diretoria Executiva da empresa e, quando

o Comitê Operacional de Riscos (Corisco), . Esse comitê é

caracterizado por ter uma estrutura transversal e serve como um fórum para a discussão de entos e processos relacionados à gestão de riscos, além de ser

responsável pelo alinhamento das práticas e dos processos que envolvem a gestão de riscos


O modelo de gestão de riscos corporativos longo de dois anos (2010 a 2012) e seguiu uma metodologia comparável ao proposto pela norma ISO 31000.

O processo de implantação de gestão de riscos consulta. A Tabela 2 apresenta o P

Tabela 2


165

O modelo de gestão de riscos corporativos implantado na empresa foi desenvolvido(2010 a 2012) e seguiu uma metodologia comparável ao proposto pela

O processo de implantação de gestão de riscos iniciou-se pela etapa de comunicação e consulta. A Tabela 2 apresenta o Plano de Comunicação desenvolvido.

Tabela 2 – Plano de Comunicação da empresa



foi desenvolvido ao (2010 a 2012) e seguiu uma metodologia comparável ao proposto pela

pela etapa de comunicação e


166

O Plano de Comunicação buscou definir o tipo de informação que cada público deve oferecer, com que periodicidade e qual o meio que deve ser utilizado.

A segunda etapa, que trata do estabelecimento do contexto, foi desenvolvida com a utilização da metodologia “modelo-maturidade”. Segundo Rocha e Vasconcelos (2004), esse modelo fornece aos gestores das organizações um poderoso instrumento para determinar em que estágio de maturidade a empresa se encontra e, assim, planejar as ações necessárias para a empresa progredir em direção a uma maturidade superior e, por consequência, alcançar os objetivos desejados.

Essa metodologia foi aplicada por meio de duas técnicas: entrevistas presenciais e questionários eletrônicos. A primeira técnica foi aplicada a cinco diretores executivos da empresa. Já a segunda, foi aplicada aos assessores, chefes de departamento, chefes de divisão e especialistas da empresa.

As duas técnicas foram estruturadas por meio de perguntas relacionadas às práticas de gestão de riscos na empresa, as quais são divididas em três pilares com cinco dimensões cada, conforme mostrado na Tabela 3.

Tabela 3 - Pilares e dimensões utilizados no modelo-maturidade


Para o questionário, os participantes responderam o quão aderente a empresa está em relação a um modelo apresentado, utilizando como resposta o nível de escala mostrado na Tabela 4.

Tabela 4 - Opções de respostas aos executivos que participaram do questionário


Ao final do processo de aplicação da metodologia “modelo-maturidade”, concluiu-se que, quanto ao desenvolvimento de um processo de Gestão Integrada de Riscos (GIR), a empresa encontra-se no nível “Em desenvolvimento”, escala 2 da Tabela 4.

Governança Pessoas Métodos e práticas

Alta administração e corpo diretivo

Cultura e performance Identificação e avaliação de riscos

Estratégias e objetivos Alinhamento e coordenação Desenho, identificação e avaliação de condutas

Normas e procedimentos Competências e capacidades Desenho e eficiência dos processos

Estrutural organizacional Cargos e responsabilidades Monitoramento e reporte

Compliance Comunicação Tecnologia

Escala Nível 1 Básico 2 Em desenvolvimento 3 Estabelecido 4 Avançado 5 Modelo


Com base no cenário atual, identificado de acordo com a maturidade definida pelos executivos, e no cenário futuro, esperado pela companhia, foram concebidos planos de ação necessários para a implantação de uma GIR.

A macro etapa de avaliação de riscos foi Figura 4 mostra como foi conduzida esta etapa na

Figura 4- Processo de condução da identificação de riscos

A macro etapa de avaliação de riscosrealizada a partir de uma lista genérica contratada e composta de 104 riscos. Essworkshops com a participação final, num universo de 125 riscos, que, por fim, foram classificados nas categorias de riscos propostas no manual do Coso.

Com base na lista final obtida, três atividades que trouxeram os respectivos produtos descritos na Tabela 5

Tabela 5 – Atividades para a condução da priorização de riscos

Com base nesta sequência Comitê de Riscos da empresa priorizou cinco como modelo-piloto, de forma que pudesdemais subsidiárias da empresa

Para cada um dos cinco riscos prioricom responsabilidade e autoridade pelo gerenciamenrealizado um trabalho conjunto entre o departamento de riscos da owners, objetivando localizar os

Para mensurar o impacto, cada algumas informações financeiras relevantes eclassificação do impacto de acordo com o percentual da Receita Operacional Líquida (ROL).

Já o mapeamento da vulnerabilidade foicontroles. Primeiramente, a área de risco

AtividadeEntrevistas com a Diretoria Executiva e Conselho de Administração da empresa

Aplicação de questionários com o corpo gerencial

Identificação dos temas de riscos considerados pelas empresas pertencentes ao E8 (grupo formado pelas 10 maiores empresas de energia elétrica em países do G8).


167

Com base no cenário atual, identificado de acordo com a maturidade definida pelos executivos, e no cenário futuro, esperado pela companhia, foram concebidos planos de ação necessários para a implantação de uma GIR.

de avaliação de riscos foi iniciada pela identificação dos riscos. A mostra como foi conduzida esta etapa na empresa.

Processo de condução da identificação de riscos na empresa


valiação de riscos foi iniciada com a identificação dos riscospartir de uma lista genérica para o segmento de Utilities sugerida pela consultoria

104 riscos. Essa lista foi avaliada através de discussões em das áreas de riscos das subsidiárias da empresa, chegando, ao

final, num universo de 125 riscos, que, por fim, foram classificados nas categorias de riscos

Com base na lista final obtida, foi conduzida uma priorização dos riscos atividades que trouxeram os respectivos produtos descritos na Tabela 5.

Atividades para a condução da priorização de riscos na empresa


a sequência metodológica, a área de gestão de riscos em conjunto com o priorizou cinco riscos, cujo processo de avaliação foi entendido

piloto, de forma que pudesse ser posteriormente aplicado aos demais riscos e àdiárias da empresa.

cinco riscos priorizados, a empresa designou risk owner

esponsabilidade e autoridade pelo gerenciamento dos mesmos. Na sequênciaum trabalho conjunto entre o departamento de riscos da empresa e cada uma dos

os cinco riscos no mapa de impacto versus vulnerabilidade.

Para mensurar o impacto, cada risk owner preencheu uma planilha que solicitava ormações financeiras relevantes e, com o resultado da planilha, foi feita uma

classificação do impacto de acordo com o percentual da Receita Operacional Líquida (ROL).

mapeamento da vulnerabilidade foi feito com base na medição da situação dos iramente, a área de riscos listou as possíveis causas e consequências no caso de

Atividade Produto vistas com a Diretoria Executiva e Conselho de

empresa Lista de riscos prioritários

Aplicação de questionários com o corpo gerencial Mapa de Impacto vs

Vulnerabilidade

Identificação dos temas de riscos considerados pelas entes ao E8 (grupo formado pelas 10

maiores empresas de energia elétrica em países do G8). Lista de riscos prioritários


Com base no cenário atual, identificado de acordo com a maturidade definida pelos executivos, e no cenário futuro, esperado pela companhia, foram concebidos planos de ação

tificação dos riscos. A

identificação dos riscos, sugerida pela consultoria

a lista foi avaliada através de discussões em , chegando, ao

final, num universo de 125 riscos, que, por fim, foram classificados nas categorias de riscos

por meio de

na empresa

em conjunto com o riscos, cujo processo de avaliação foi entendido

se ser posteriormente aplicado aos demais riscos e às

risk owners das áreas . Na sequência, foi

e cada uma dos risk

vulnerabilidade.

preencheu uma planilha que solicitava foi feita uma

classificação do impacto de acordo com o percentual da Receita Operacional Líquida (ROL).

feito com base na medição da situação dos as possíveis causas e consequências no caso de

vs


168

haver a ocorrência dos riscos. Em seguida, os risk owners identificaram os fatores de riscos aplicáveis e, em seguida, a área de riscos e os risk owners criaram juntos uma lista com os controles necessários para o risco analisado.

Como última atividade, foi definida uma classificação de vulnerabilidade, em função do desempenho dos controles implementados. Se o desempenho estiver adequado, a vulnerabilidade tende a zero.

Para a etapa de tratamento de riscos foram desenvolvidos planos de tratamento com o objetivo de reduzir a vulnerabilidade e/ou o impacto que os cinco eventos de risco tratados expõem a empresa. Esta etapa está em implantação através da transformação destes planos em projetos que tragam resultado de redução do nível de exposição da empresa.

A etapa de monitoramento e análise crítica, última do processo de gestão de riscos, também encontra-se na fase de implantação. Buscar-se-á planejar os indicadores para acompanhar a evolução da empresa com relação aos riscos identificados.

5. Análise e discussão dos resultados

Na etapa de comunicação e consulta implantada na empresa, a mobilização por meio de comitês seguiu a proposta defendida por Beer, Eisentat e Spector (1990). Estes autores propõem que os representantes dos comitês compartilhem os problemas e os métodos de solução vivenciados na unidade em que trabalham para que os demais participantes possam levar esse conhecimento para sua unidade, contribuindo assim, para a mudança desejada e, ao mesmo tempo, para o alinhamento das tarefas na organização.

Com relação à identificação dos stakeholders, verificou-se que os públicos de interesse prioritários são: Conselhos de Administração, Diretoria Executiva, Comitês de riscos, Corisco, gerências de riscos, gerência de controles internos e áreas proprietárias de riscos. Além disso, os acionistas foram o único público de interesse externo citado no plano de comunicação. A ausência de identificação explícita do stakeholder governo, por exemplo, enquanto público prioritário, pode não permitir uma identificação de pontos fracos e ameaças potenciais à organização.

Analisando-se o processo de gestão de riscos implantado na empresa, também não foi observada a existência de um plano de comunicação formal que seguisse grande parte das sugestões da ISO 31000. A norma propõe que sejam abordadas questões relacionadas ao risco e que as partes interessadas compreendam os fundamentos sobre as decisões tomadas e sobre as ações requeridas. O plano de comunicação do caso estudado limitou-se a endereçar as informações ao público adequado, não abordando sugestões da norma, como questões relacionadas ao risco e a compreensão, pelas partes interessadas, dos fundamentos sobre as decisões tomadas e sobre as ações requeridas. Conforme detalhado em Ferreira et al (2013), sugere-se a adoção da ferramenta “círculo de stakeholder” proposta por Bourne (2010) como uma metodologia de priorização de stakeholders de acordo com a classificação da influência, poder, proximidade e urgência.

Na análise da etapa de estabelecimento do contexto, verificou-se que as principais atividades executadas foram a de identificação do cenário atual e a de elaboração de um plano de ação. Além disso, destacam-se os parâmetros fatores-chave tendências e requisitos técnicos e legais citados pela norma, os quais têm aderência peculiar ao setor elétrico brasileiro, já que este vem passando por mudanças regulatórias desde o início da década de 90. As frequentes alterações no modelo de regulação trazem dúvidas quanto às expectativas de retorno dos investimentos e tornam a questão regulatória bastante relevante para as organizações pertencentes a esse setor.


169

Tendo em vista a contextualização deste ambiente, no qual as questões regulatórias estão em processo de consolidação e existe forte intervenção do governo brasileiro no modelo de funcionamento do setor, destaca-se a governança corporativa, um dos pilares abordados na metodologia modelo-maturidade aplicada na empresa e citado na etapa de estabelecimento do contexto da norma. Este é tema-chave para a empresa, já que é uma organização que tem a União como acionista majoritária.

Destaca-se que o trabalho de compreensão do ambiente interno e externo realizado na empresa, por meio da aplicação da metodologia modelo-maturidade, foi detalhado e completo. Porém, a norma propõe que, na etapa de estabelecimento do contexto, a empresa também definisse, metas e objetivos, responsabilidades, escopo e metodologia relacionados ao processo de gestão de riscos. Essas ações não foram realizadas no estabelecimento do contexto da empresa.

De uma maneira geral, percebeu-se uma dificuldade da ISO 31000 em definir quais atividades e métodos devem ser realizadas em cada etapa do macro processo avaliação de riscos. Aven (2012) e Leitch (2010) também destacaram isto.

Leitch (2010) destaca que um mesmo risco pode ser registrado e analisado de diversas formas, além de poder ser dividido ou agregado em diversas partes. Nesse sentido, pode-se inferir que a lista genérica dos 104 riscos foi um direcionador do processo, porém, mostrou certa dificuldade da organização em mapear os riscos e obter um conjunto de riscos aplicáveis à empresa. Por outro lado, a ISO 31000 não define uma regra e deixa a decisão para o gestor de riscos da organização, o que, para o autor, é indesejável.

Na etapa de análise dos riscos, foi feita a priorização daqueles identificados anteriormente. A priorização foi feita por meio de métodos qualitativos: entrevistas com a Diretoria e o Conselho de Administração da empresa e pesquisa dos temas de riscos considerados pelas empresas pertencentes ao E8. Chegou-se, então, a cinco riscos priorizados.

A ISO 31000 não define se a análise de riscos deve ser um processo qualitativo, quantitativo ou semiquantitativo. A norma afirma que esta etapa pode ser realizada em diversos graus de detalhe e que esta definição depende do risco, da finalidade da análise e das informações e recursos disponíveis. O uso de uma abordagem qualitativa ou quantitativa foi citado pelos autores Moraes (2010), Ribeiro (2007) e Aven (2012).

Na etapa de avaliação de riscos, os cinco riscos priorizados foram mensurados através dos critérios de impacto e vulnerabilidade. O primeiro critério foi avaliado por meio do potencial de impacto do risco estudado comparado com a ROL (Receita Operacional Líquida) da empresa, enquanto que a vulnerabilidade foi classificada através da quantidade de controles relacionados ao risco estudado, que estão implementados.

De uma forma geral, para a macro etapa de avaliação de riscos percebe-se uma dificuldade em definir quais atividades devem ser feitas em cada etapa da ISO 31000 (AVEN, 2012). Existem incertezas quanto ao momento em que se devem buscar as probabilidades, fontes, consequências e impactos. Não existe, segundo Aven (2012), uma definição dos métodos científicos e os campos (áreas) a serem utilizados na análise e na avaliação dos riscos.

Além disso, foi possível observar diferenças entre o sugerido pela norma e o que foi aplicado na empresa quanto às etapas de análise e avaliação. A ISO 31000 indica a determinação do nível de cada evento de risco identificado, para somente depois, no processo de avaliação de riscos, ser feita priorização e tomada de decisões. Na empresa, a avaliação de riscos mensurou apenas os cinco riscos priorizados na etapa de análise de riscos.

Na etapa de tratamento de riscos, foram desenvolvidos planos de tratamento com o objetivo de reduzir a vulnerabilidade e o impacto que o evento de risco tratado expõe a empresa. Esta etapa, no entanto, está em processo de implantação.


170

Discorrendo sobre a etapa de tratamento de riscos, Leitch (2010), percebe uma inconsistência no proposto pela ISO 31000. Para o autor, ao mesmo tempo em que a norma sugere que a decisão pelo tratamento de riscos deve ser feita por meio da comparação do critério de risco (decisão pelo nível aceitável ou não) com o nível obtido em cada risco, a norma sugere também que a decisão pelo tratamento deve considerar os custos e os esforços de implantação.

A etapa de monitoramento e análise crítica está em implantação na empresa estudada e a mesma deverá basear-se na medição de indicadores. Segundo a ISO 31000, esta é uma etapa contínua que deve ocorrer em paralelo com as demais, sendo que ela deve ocorrer periodicamente ou em resposta a um fato específico.

6. Conclusões

A partir da compreensão dos conceitos apresentados pela norma ISO 31000, foi possível identificar pontos críticos no processo de implantação da gestão de riscos corporativos. Vale destacar as indefinições metodológicas referentes às ações e às ferramentas a serem utilizadas ao longo do processo proposto pela norma. Tal indefinição pode ser justificada pelo fato de a ISO 31000 ser um documento abrangente. Além disso, a norma não tem fins de certificação, o que a caracteriza apenas como um documento direcionador de etapas, definindo o que fazer e não como fazer.

Outro fator a ser destacado é a dificuldade de colocar em prática a macro etapa de avaliação de riscos (identificação, análise e avaliação dos riscos). Ações como identificação de fontes, causas e consequências dos riscos, além da priorização dos eventos de riscos, não estão claramente definidas na norma e, portanto, causam dúvidas quanto à ordem e à necessidade de aplicação.

Com relação às ferramentas, esta pesquisa identificou uma indefinição sobre quais métodos aplicar em cada etapa do processo de gestão de riscos proposto pela ISO 31000. Este trabalho sugere o “círculo de stakeholder” (BOURNE, 2010) como ferramenta a ser utilizada na etapa de comunicação e consulta. Além deste, o “modelo-maturidade”, método aplicado pela empresa, é sugerido para o estabelecimento do contexto de riscos numa organização. Por fim, a mensuração, por meio do mapa impacto e vulnerabilidade, de acordo com critérios estabelecidos pela empresa, também representa um método para a construção de uma abordagem quantitativa na etapa de avaliação de riscos.

Com isso, apesar de se ter percebido uma aderência entre o modelo proposto pela norma e a aplicação do processo gestão de riscos na empresa, vale ressaltar a diferença entre os dois objetos no que diz respeito a alguns aspectos relacionados às etapas de análise e avaliação de riscos. Após identificar os riscos, a empresa decidiu, por meio de uma análise qualitativa, priorizar cinco riscos e somente depois mensurar quantitativamente o nível de exposição da empresa quanto à vulnerabilidade e impacto. A ISO 31000 afirma que a análise de riscos pode ser realizada em diversos graus de detalhe e que a aplicação de métodos quantitativos nesta etapa é opcional, porém, a norma indica a determinação do nível de cada evento de riscos identificado, para somente depois, no processo de avaliação de riscos, ser feita priorização e tomada de decisões.

Referências

ABNT - Associação Brasileira de Normas Técnicas. NBR ISO 31000: Gestão de riscos, princípios e diretrizes. Rio de Janeiro, 2009.


171

ALMEIDA, R. & SANT’ANNA, A. (2009). Composição probabilística na avaliação do risco de operadoras de planos de assistência à saúde. Relatórios de pesquisa em Engenharia de Produção da UFF, 9.

AVEN, T. (2012). Foundational Issues in Risk Assessment and Risk Management. EUA: Risk Analysis, 32, 1647-1656.

BEER, M., EISENTAT, R. & SPECTOR, B. (1990). Why change programs don’t produce change. Harvard Business Review, n. 90601, EUA.

BOURNE, L. Stakeholder relationship management: using the stakeholder engagement of senior management. 7th Project Management National Benchmarking Forum, Rio de Janeiro, 2010.

COSO - Committee of Sponsoring Organizations of the Treadway Commission. Gerenciamento de Riscos Corporativos - Estrutura Integrada. Jersey City, EUA, 2007.

DIAS, S., GUEN, Y., POUPARD, O. & SHTIVELMAN, V. (2011). Risk assessment of Mustang project experimental site – Methodological development. Amsterdã, Holanda, Energy Procedia 4, 4109-4116.

FERREIRA, R. Análise do processo de gestão de riscos corporativos: uma abordagem a partir da ISO 31000. Dissertação (Mestrado em Engenharia de Produção) – Universidade Federal Fluminense (UFF). Niterói, 2013.

FERREIRA, R., LIMA, A., LIMA, G. & TREINTA, F. Contribuição do “Círculo de Stakeholders” na etapa de Comunicação e Consulta da ISO 31000 em uma empresa do setor de energia. In: Encontro Nacional de Engenharia de Produção – XXXIII ENEGEP. Salvador, 2013.

ISACA – Information Systems Audit and Control Association. Risk IT Framework for Management of IT Related Business Risks. <http://www.isaca.org/Knowledge-Center/Risk-IT-IT-RiskManagement/Pages/ Risk-IT1.aspx >. Acesso em 2 de junho de 2014.

KAPLAN, R. & NORTON, D. Balanced Scorecard – a estratégia em ação. Campus, São Paulo, 1997.

LEITCH, M. (2010). ISO 31000:2009 - The New International Standard on Risk Management. EUA: Risk Analysis, 30.

MACIEL, G. Proposta de modelo para suporte ao processo de avaliação de riscos corporativos no contexto da norma ISO 31000. Projeto final (Graduação em Engenharia de Produção) – Universidade Federal Fluminense (UFF). Niterói, 2013.

MINTZBERG, H. O processo da estratégia. 4. Bookman, São Paulo, 2006.

MORAES, G. Sistema de gestão de riscos – princípios e diretrizes – ISO 31000/2009 comentada e ilustrada. Gerenciamento Verde Editora, Rio de Janeiro, 2010.

PMI – Project Management Institute. Um guia do conhecimento em gerenciamento de projetos (Guia PMBOK). Atlanta, EUA, 2008.

PORTER, M. Vantagem competitiva: criando e sustentando um desempenho superior. Elsevier, Rio de Janeiro, 1989.


172

PURDY, G. (2010). ISO 31000:2009 – Setting a New Standard for Risk Management. EUA: Risk Analysis, 30, 881-886.

RIBEIRO, A. M. Gestão de Riscos Operacionais – GRO para um Sistema de Abastecimento de Água: ênfase no risco de escorregamentos no processo de distribuição. Dissertação (Mestrado em Tecnologia Ambiental) – Instituto de Pesquisas Tecnológicas do Estado de São Paulo. São Paulo, 2007.

ROCHA, A. & VASCONCELOS, J. (2004). Os modelos de maturidade na gestão de sistemas de informação. Revista da Faculdade de Ciência e Tecnologia da Universidade Fernando Pessoa, 1,93-107.

Documents

ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000 ... · 2016-05-03 · 31000 (ABNT, 2009) , para a gestão de riscos ser eficaz, ... Gestão de riscos,