Manual Riscos Processos

Manual de Gestão de
Riscos Processos
Metodologia de Gestão de Riscos da ANEEL
Brasília, 02 de maio de 2018
1a Versão
1
Comitê de Riscos e Controles – CRC
Tiago de Barros Correia (DIR) Presidente
Alessandro D´Afonseca Cantarino (SFG) Macroprocesso de Fiscalização e

Camilla de Andrade Gonçalves Fernandes - Suplente Substituto do Presidente
Alex Sandro Feil (SCR)

Macroprocesso de Relações com a Sociedade
Paulo César Montenegro Ávila e Silva - Suplente
André Ramon (GDG)

Macroprocesso de Assessoramento
Nara Rúbia de Souza - Suplente
Christiano Vieira da Silva (SRG)

Macroprocesso de Outorgas
Gentil Nogueira de Sá Júnior - Suplente
Francisco José Pereira da Silva (SAF)

Macroprocesso de Planejamento
Lauro Borges Pereira - Suplente
Ivo Sechi Nazareno (SCT)

Macroprocesso de Regulação Técnica
Adilson Sincotto Rufato - Suplente
Júlio César Rezende Ferraz (SRM)

Macroprocesso de Regulação Econômica
Ricardo Takemitsu Simabuku - Suplente
Secretaria Executiva
José Renato Pinto da Fonseca
Auditoria Interna
Sidnei Furlan - Suplente
Grupo Técnico de Apoio à Gestão de Riscos - GTAGR

Marco Aurélio Silva dos Santos (AIN)
Coordenação das atividades do Grupo e apoio à
Maria Greisimare Goulart (AIN)
Secretaria Executiva
Zuley Ferreira Pontes Júnior(AIN) (coordenador)
Catarina Finazzi Postigo (SCR) Macroprocesso de Relações com a Sociedade
Fábio Araujo Cruz(SGI) Macroprocesso de Planejamento
Luiz Fernando Troncoso C. Marques (SCG) Macroprocesso de Outorgas
Ricardo Martins (SGT) Macroprocesso de Regulação Econômica
Pedro Mello Lombardi (SRD) Macroprocesso de Regulação Técnica
Vera Lúcia Barrela Ávila (SFF) Macroprocesso de Fiscalização
Vinicius Magela Venturim B. da Silva (GDG) Macroprocesso de Assessoramento
2
SUMÁRIO
1. OBJETIVO DO DOCUMENTO ....................................................................................... 4
2. PÚBLICO ALVO............................................................................................................. 4
3. REFERÊNCIAS TÉCNICAS E MELHORES PRÁTICAS................................................ 4
4. CONTEXTUALIZAÇÃO SOBRE GERENCIAMENTO DE RISCOS CORPORATIVOS .. 5
5. APETITE AO RISCO ...................................................................................................... 7
6. DESCRIÇÃO DA METODOLOGIA ................................................................................ 9
7. SIGLAS ........................................................................................................................ 67
8. GLOSSÁRIO ................................................................................................................ 67
9. ANEXOS ...................................................................................................................... 74
3
1. OBJETIVO DO DOCUMENTO
Este documento visa estabelecer o Manual de Gestão de Riscos Corporativos da

Agência Nacional de Energia Elétrica - ANEEL.
2. PÚBLICO ALVO
Servidores e contratados que colaboram para o cumprimento dos objetivos da ANEEL.
3. REFERÊNCIAS TÉCNICAS E MELHORES PRÁTICAS
Foram utilizados como referência teórica os seguintes documentos:
 COSO II. ERM - Enterprise Risk Management, 2004;

 COSO Report. Internal Control: Integrated Framework. 1992;
 ABNT NBR ISO 31.000: 2009, Gestão de Riscos - Princípios e Diretrizes;
 ABNT NBR ISO 31010:2009, Gestão de Riscos - Técnicas para o processo de
avaliação de riscos;
 IBGC. Cadernos de Governança Corporativa. Gerenciamento de Riscos
Corporativos - Evolução em Governança e Estratégia, 2017 - Caderno nº 19
Publicado em maio de 2017;
 Referencial Básico de Governança - TCU - 2ª versão;
 Instrução Normativa Conjunta CGU/MP nº 01, de 10/5/2016;
 Guia do GesPública sobre Orientação para Gerenciamento de Riscos.
 Declaração de Posicionamento do IIA - Instituto dos Auditores Internos: As Três
Linhas de Defesa no Gerenciamento Eficaz de Riscos e Controles.
 Manual de Gestão de Integridade, Riscos e Controles Internos da Gestão -
Ministério do Planejamento, Desenvolvimento e Gestão – MP - Assessoria
Especial de Controles Internos - AECI 31/01/2017.
 Brasiliano, Antonio Celso Ribeiro Brasiliano. Inteligência em Riscos - Gestão
Integrada em Riscos Corporativos. São Paulo: Sicurezza, 2017.
 Portaria - SEGECEX Nº 2 - TCU, de 22 de janeiro de 2018.
4
4. CONTEXTUALIZAÇÃO SOBRE GERENCIAMENTO DE RISCOS
CORPORATIVOS
Com vistas ao cumprimento da Iniciativa Estratégica 15.2.4 – Implementar a Gestão

de Riscos como suporte à tomada de decisões, associado ao Objetivo Estratégico nº
15 – Desenvolver a cultura de gestão para resultados, do Planejamento Estratégico
2014-2017 e com o objetivo de dar continuidade às ações para implantação da Gestão
de Riscos, foram aprovados, em 27 setembro de 2016, por meio da Portaria n° 4.211,
a revisão da Política de Gestão de Riscos da ANEEL e o Regimento Interno do Comitê
de Riscos e Controle - CRC.
Dentro do contexto acima, ocorreu a necessidade de desenvolver e implantar um

Manual de Gestão de Riscos Corporativos, composto por um processo estruturado,
atrelado a metodologia e critérios personalizados para a ANEEL.
As incertezas permeiam a estratégia, os processos, as atividades e as áreas de

qualquer organização. É dever do gestor que, de forma proativa, se antecipe as
incertezas, estabelecendo um processo estruturado e robusto de Gestão de Riscos
proporcionando garantia razoável de que os objetivos sejam alcançados.
A Gestão de Riscos Corporativos é primordial para que a organização tenha maiores

garantias de atingir os objetivos fixados, estabelecendo diretrizes e controles
conforme o apetite ao risco, prevenindo, desta forma, surpresas indesejadas, como a
concretização de riscos inesperados, bem como, a perda de oportunidades.
Visando estabelecer a Gestão de Riscos Corporativos no âmbito da ANEEL, foi

estabelecido um processo detalhado no capítulo “6. Descrição da Metodologia”,
sumariamente descrito abaixo:
5
• A Comunicação e Consulta é a forma de se
estabelecer contato e relacionamento com os
públicos de interesse internos e externos da
1. Comunicação e Consulta ANEEL. É extremamente estratégico, porque tem a
função de informar e sensibilizar cada um dos
envolvidos no processo e deve acompanhar todas
as fases do Manual de Gestão de Riscos.
• Ao estabelecer o contexto, a organização articula

seus objetivos e define os parâmetros externos e
2. Contexto Estratégico internos a serem levados em consideração ao
gerenciar riscos, e estabelece o escopo e os
critérios de risco para o restante do processo.
• Na fase de identificação de riscos em processos, é

necessária profunda análise do processo para
identificar todos os fatores de riscos (causas) e os
3. Identificação de Riscos controles associados. A identificação deve incluir
todos os riscos, estando suas fontes sob o controle
da Agência ou não, aplicando ferramentas e
técnicas adequadas.
• A análise e avaliação de riscos inerentes visa

promover o entendimento do risco sem levar em
consideração os controles existentes, auxiliando na
4. Análise e Avaliação de definição de prioridades. Por meio dela, é possível
Riscos - Inerente saber qual a probabilidade dos riscos virem a
acontecer e calcular seus respectivos impactos nos
processos da ANEEL.
• Entende-se por risco residual a análise e avaliação

dos riscos considerando os controles já existentes.
5. Análise e Avaliação de
Esse conceito permite que os controles sejam
Riscos - Residual avaliados e, posteriormente, que sua efetividade
seja comprovada durante os testes.
• Realizada a identificação, análise e avaliação dos

riscos, levando-se em consideração o Apetite ao
Risco e a Matriz de Riscos Residuais, a
6. Respostas aos Riscos administração determina como responderá aos
riscos. As respostas incluem evitar, reduzir,
compartilhar ou aceitar os riscos.
• Os indicadores são elaborados para que os

responsáveis tenham condições de acompanhar a
evolução do ambiente de risco.
7. Monitoramento e Análise
Crítica • Como parte do processo de retroalimentação, o
monitoramento deve acontecer periodicamente
através dos indicadores, propiciando alerta
tempestivo para mudanças que podem alterar o
nível de risco, impactando o negócio.
6
5. APETITE AO RISCO
5.1 Alinhar o apetite a risco e a estratégia da ANEEL
A administração da ANEEL deve considerar em primeiro lugar o apetite a risco, ao

avaliar as opções estratégicas e fixar objetivos compatíveis com a estratégia
escolhida, bem como desenvolver mecanismos para administrar os riscos implícitos.
Abaixo a Matriz de Riscos da ANEEL e os respectivos níveis de apetite, tolerância e

capacidade aos Riscos. Suas definições são:
i. Apetite ao Risco: Trata-se de quadrantes cuja criticidade é aceita pela ANEEL,

mediante tratativas estabelecidas pelos gestores para atingir seus objetivos,
representado com o numeral “1” na matriz abaixo. Deve-se planejar e aprovar
planos de ação preventivos (visando reduzir a probabilidade) e/ou corretivos
(visando reduzir impactos) no prazo máximo de 30 dias;
ii. Tolerância a Risco: Trata-se de quadrantes cuja criticidade está além do apetite
ao risco, desta forma, o risco não é aceito pela ANEEL, representado com o
numeral “2” na matriz abaixo. Deve-se planejar e aprovar planos de ação
preventivos (visando reduzir a probabilidade) e/ou corretivos (visando reduzir
impactos) no prazo máximo de 15 dias;
iii. Capacidade de Risco: Trata-se de quadrantes cuja criticidade é extrema,

demandando ações imediatas, representado com o numeral “3” na matriz
abaixo. Deve-se planejar e aprovar planos de ação preventivos (visando reduzir
a probabilidade) e/ou corretivos (visando reduzir impactos) imediatamente.
7
Figura 1: Matriz de Riscos com os Níveis de Apetite, Tolerância e Capacidade aos Riscos
A Capacidade de Risco foi definida levando-se em consideração riscos cujo Impacto

são massivos ou severos e Probabilidade de concretização elevada, sendo assim,
tratam-se de riscos que, no ambiente de estudo, devem ser tratados prioritariamente
haja vista possuírem grande potencial de danos a estratégia da Agência.
A Tolerância a Risco foi definida levando-se em consideração Riscos com

probabilidade considerável de se concretizar, cujo impacto trará danos significativos a
estratégia da Agência e, desta forma, devem ser tratados com regime de urgência.
O Apetite ao Risco foi definido levando-se em consideração duas premissas: Riscos

de alta probabilidade de concretização com impacto gerenciável e Riscos de baixa
probabilidade de concretização com impacto severo ou massivo, demandando, desta
forma, ações a médio prazo.
Os demais quadrantes são Riscos cuja probabilidade e impacto podem ser aceitas
pela Agência, sendo necessário somente o constante monitoramento.
8
6. DESCRIÇÃO DA METODOLOGIA
6.1 Fases do Manual de Gestão de Riscos Corporativos
O Manual de Gestão de Riscos Corporativos da ANEEL possui como base a estrutura

do framework da Norma ISO 31000:2009 Gestão de Riscos e os fundamentos e
conceitos do COSO II - ERM, 2004.
O Manual de Gestão de Riscos Corporativos da ANEEL é composto de sete fases,

interconectadas, conforme descrição abaixo:
1. Comunicação e Consulta
2. Contexto Estratégico
3. Identificação de Riscos
4. Análise e Avaliação de Riscos - Inerente
5. Análise e Avaliação de Riscos - Residual
6. Respostas aos Riscos
7. Monitoramento e Análise Crítica
9
Abaixo framework com as subfases e as respectivas ferramentas a serem utilizadas
no Manual de Gestão de Riscos Corporativos da ANEEL.
Figura 2: Framework do Manual de Gestão de Riscos da ANEEL
6.2 Descrição das Fases do Manual de Gestão de Riscos Corporativos
Fase 1. Comunicação e Consulta
Descrição
10
A Comunicação e Consulta é a forma de estabelecer contato e relacionamento com
os públicos de interesse da ANEEL, internamente com os gestores, empregados,
prestadores de serviço, parceiros e externamente com os clientes, fornecedores,
parceiros, entidades, associações, ONG’s, governo, imprensa, comunidades, entre
outros.
A comunicação deve acompanhar todas as fases do Manual de Gestão de Riscos. É

extremamente estratégico, porque tem a função de informar e sensibilizar cada um
dos envolvidos no processo, para que o plano alcance os melhores resultados.
O plano de comunicação e consulta deve abordar questões relacionadas com o risco

propriamente dito, suas causas (fatores de riscos), suas consequências e as medidas
que estão sendo tomadas para tratá-los.
É importante que a comunicação e consulta interna e externa sejam realizadas a fim

de assegurar que os responsáveis pela implementação do Manual de Gestão de
Riscos e as partes interessadas compreendam os fundamentos sobre os quais as
decisões são tomadas e as razões pelas quais ações especificas são requeridas.
As informações colhidas por meio da consulta embasam e orientam as partes no

processo de tomada de decisão ou de definição da direção a respeito de uma questão
específica.
Uma abordagem da equipe consultiva pode:
 Auxiliar a estabelecer o contexto apropriadamente;

 Assegurar que os interesses das partes interessadas sejam compreendidos e
considerados;
 Auxiliar a assegurar que os riscos sejam identificados adequadamente;
 Reunir diferentes áreas de especialização em conjunto para análise dos riscos;
 Assegurar que diferentes pontos de vista sejam devidamente considerados
quando da definição dos critérios de riscos e na avaliação dos riscos;
 Garantir o aval e o apoio para um plano de tratamento;
11
 Aprimorar a gestão de mudanças durante o processo de gestão de riscos;
 Desenvolver um plano apropriado para comunicação interna e externa.
Fluxograma
Figura 3: Fluxograma - Comunicação e Consulta
1.1 Contextualização da Política e da Gestão de Riscos
 Responsável: CRC;
 Executante: CRC;
 Envolvidos: Superintendência de Comunicação e Relacionamento
Institucional - SCR e CRC;
 Entrada: Política de Gestão de Riscos, Manual de Gestão de Riscos,
Regimento Interno do CRC e demais dados aplicáveis;
 Periodicidade: Anualmente, quando forem identificadas mudanças
significativas, ou em caso de outras necessidades;
 Entrega (produto): Registro das ações pretendidas (Anexo I – Registro de
Evento);
 Descrição (como): O CRC define quais objetivos devem ser alcançados, quem
deve ser sensibilizado e prazos aplicáveis.
12
1.2 Elaborar o Plano de Comunicação e Consulta
 Responsável: SCR;
 Executante: SCR;
 Envolvidos: CRC;
 Entrada: Registro das ações pretendidas pelo CRC e cronograma do
Planejamento Estratégico;
 Periodicidade: Quando a SCR for demandada pelo CRC;
 Entrega (produto): Plano de Ação de Comunicação e Consulta (ver exemplo
no Anexo II – Plano de Comunicação);
 Descrição (como): O plano, baseado na contextualização, deve ser elaborado
contendo tipos de ações a serem realizadas, o público alvo a ser atingido,
objetivos, datas, responsáveis e demais itens relevantes, conforme padrão da
SCR.
1.3 Execução do Plano de Comunicação e Consulta
 Responsável: SCR;
 Executante: SCR;
 Envolvidos: Conforme definido no Plano de Ação de Comunicação e Consulta;
 Entrada: Plano de Ação de Comunicação e Consulta;
 Periodicidade: Conforme estabelecido no cronograma do Plano de Ação de
Comunicação e Consulta;
 Entrega (produto): Registro de Execução (ver exemplo no anexo I – Registro
de Evento);
 Descrição (como): Serão realizadas as ações planejadas com o objetivo de
sensibilizar sobre a importância da identificação dos riscos que possam
impactar os processos e, por consequência, as estratégias e os objetivos
estratégicos, além de discutir e explicar a utilização e aplicação das
ferramentas e métricas, as causas dos riscos (fatores de riscos), controles,
13
criticidade dos riscos e as medidas preventivas e de contingência para mitigar
os impactos.
1.4 Acompanhamento do plano de comunicação e consulta
 Executante: Grupo de Técnico de Apoio à Gestão de Riscos - GTAGR;
 Envolvidos: SCR;
 Entrada: Plano de Ação de Comunicação e Consulta e os Registros de
Execução;
 Periodicidade: Conforme cronograma do Plano de Ação de Comunicação e
Consulta;
 Entrega (produto): Relatórios de acompanhamento (ver exemplo no anexo I –
Registro de Evento);
 Descrição (como): De forma periódica, para garantir a aferição do progresso
obtido, ou o desvio, em relação ao plano de comunicação e consulta
previamente estabelecido. Esta atividade servirá também para
retroalimentação do processo de gestão de riscos corporativos.
Fases (etapas) de inter-relacionadas
A fase em questão interage em todas outras fases, garantindo o fluxo de informações

e dados de forma transparente e tempestiva, essencial para que a Gestão de Riscos
atinja seus objetivos. Não necessariamente há formalização na comunicação
realizada, normalmente, são realizados workshops no início de cada ciclo com os
gestores das áreas, além de checkpoints de alinhamento, caso necessário.
14
Fase 2. Contexto Estratégico
Descrição
Ao estabelecer o contexto, a organização articula seus objetivos e define os

parâmetros externos e internos a serem levados em consideração ao gerenciar riscos,
e estabelece o escopo e os critérios de risco para o restante do processo.
Portanto, temos três contextos a serem definidos e alinhados:
 Contexto Interno e Externo;

 Política e Manual de Gestão de Riscos; e,
 Identificação dos Processos Críticos.
Fluxograma
Figura 4: Fluxograma - Contexto Estratégico
2.1 Contexto Interno e Externo
 Executante: CRC e Grupo Técnico de Apoio à Gestão de Riscos - GTAGR;
 Envolvidos: Gestores dos Processos e Áreas técnicas;
15
 Entrada: Estrutura organizacional, cadeia de valor, fatores críticos de sucesso,
planejamento estratégico, política de gestão de riscos, Balanced Scorecard
(BSC), manual de gestão de riscos, regimento do CRC e demais documentos
e informações aplicáveis e disponíveis;
 Entrega (produto): Registro do Contexto Interno e Externo (ver exemplo no
Anexo III – Contexto Estratégico);
 Descrição (como): O CRC deve possuir perfeito entendimento do ambiente
interno e externo da ANEEL para, desta forma, planejar e orientar as atividades
de Gestão de Riscos, bem como, prover as revisões e atualizações conforme
mudanças identificadas.
O CRC da ANEEL deve identificar variáveis externas incontroláveis que podem

impactar os processos, objetivos estratégicos e a estratégia da ANEEL.
A contextualização deve ser de amplo conhecimento dos facilitadores das

áreas técnicas para que, quando aplicável, as variáveis externas identificadas
sejam incorporadas ao Diagrama de Causa e Efeito na macro causa do
Ambiente Externo, proporcionando, caso necessário, seu monitoramento.
2.2 Política e Processo de Gestão de Riscos
 Executante: CRC;
 Envolvidos: Gabinete do Diretor-Geral - GDG;
 Entrada: Política e Manual de Gestão de Riscos vigente, Regimento do CRC,
Registro do Contexto Interno e Externo e demais informações relevantes;
 Entrega (produto): Política e Manual de Gestão de Riscos;
 Descrição (como): Esta etapa faz referência à necessidade da construção de
uma Política de Gestão de Riscos Corporativos, estabelecendo as diretrizes
16
estratégicas, e de um Manual de Gestão de Riscos Corporativos,
estabelecendo a metodologia a ser aplicada, ambas, aderentes a realidade e
necessidades da Agência. Tratam-se de documentos essenciais para o
desenvolvimento da Gestão de Riscos no âmbito da ANEEL.
2.3 Identificação dos Processos Críticos
 Executante: Gestores dos Processos (Com apoio técnico do CRC);
 Envolvidos: Líderes, áreas técnicas coparticipantes, CRC e GTAGR;
 Entrada: Lista de Processos;
 Periodicidade: Preferencialmente de forma concomitante à elaboração do
Planejamento Estratégico, bem como em suas revisões, quando forem
identificadas mudanças significativas, ou em caso de outras necessidades;
 Entrega (produto): Matriz do Business Impact Analysis – BIA e Lista de
processos classificados por criticidade;
 Descrição (como): Necessário entender e compreender quais são os
processos considerados críticos para os objetivos estratégicos e as estratégias
da ANEEL.
A partir da lista de processos e de critérios previamente definidos obtém-se a

classificação dos processos segundo escala de criticidade.
Pontos de Atenção:
 O método precisa ter foco no negócio da ANEEL, considerando sua missão,

e não nas unidades organizacionais.
 Os processos de maior criticidade são aqueles que garantem as operações

vitais da Agência.
17
 O objetivo não é identificar riscos, mas sim levantar a criticidade dos
processos quanto ao impacto no negócio versus sua importância no
planejamento estratégico.
São utilizados dois critérios de avaliação: Impacto no Negócio e Tempo de

Tolerância. A pontuação obtida será o Nível de Criticidade do processo (NC),
permitindo classificá-los por ordem de importância para o negócio da
organização.
 Impacto no Negócio: Qual o impacto para a ANEEL que o processo provoca

caso seu funcionamento seja interrompido (independente do motivo -
incêndio, quebra de máquina, greve, sistemas de TI, entre outros). A ANEEL
define que a avaliação do impacto é realizada sob duas óticas: Imagem e
Operação. Cada uma destas óticas possui uma ponderação (peso) distinta.
Segue abaixo ilustração:
Figura 5: Critérios de Impacto - BIA
18
Cada critério de impacto possui os seguintes referenciais para pontuação:
Imagem (peso 5): Refere-se ao impacto na reputação da ANEEL e na

sua credibilidade perante os agentes do setor, a sociedade, os servidores da Pontuação
Agência ou a Administração Pública.
Impacta massivamente: Há massiva exposição por um longo período, havendo
5
amplo interesse da sociedade.
Impacta severamente: Há exposição significativa por um período considerável,
4
havendo interesse da sociedade.
Impacta moderadamente: O impacto vai além das partes envolvidas provocando a
3
exposição por um curto período.
Impacta levemente: O impacto limita-se às partes envolvidas ou gera impacto
2
interno.
Não impacta ou pouco impacta: Não impacta a imagem da ANEEL ou o impacto não
1
é significativo.
Operação (peso 4): Refere-se ao impacto na Regulação, Fiscalização, Outorgas

Pontuação
e/ou Relações com a Sociedade
Impacta massivamente: Gera a paralisação na Regulação, Fiscalização, Outorgas e/ou
5
Relações com a Sociedade.
Impacta severamente: Compromete a eficácia na Regulação, Fiscalização, Outorgas
4
e/ou Relações com a Sociedade.
Impacta moderadamente: Compromete a eficiência na Regulação, Fiscalização,
3
Outorgas e/ou Relações com a Sociedade.
Impacta levemente: Gera um pequeno impacto na Regulação, Fiscalização, Outorgas
2
ou Relações com a Sociedade.
Não impacta ou não é percebido: Não impacta ou não é percebido o impacto no
1
processo de Regulação, Fiscalização, Outorgas e/ou Relações com a Sociedade.
Determinação do Nível de Impacto: O nível de impacto é o resultado da média

ponderada de dois critérios de impacto (multiplicação do peso versus a nota dividido
pela soma dos pesos), conforme demonstrado abaixo:
( çã ∗ ) + ( ∗ )
é − =
O resultado do nível de impacto está representado na tabela abaixo:
Grau de Impacto Escala Nível de Impacto

4,51 – 5,00 5 Massivo
3,51 – 4,50 4 Severo
2,51 – 3,50 3 Moderado
1,51 – 2,50 2 Leve
1,00 – 1,50 1 Muito leve
19
 Tempo de Tolerância: Tempo de tolerância é o tempo máximo que o processo
pode ficar paralisado, sem comprometer de forma significativa as atribuições
organizacionais da ANEEL, ou seja, deve-se estimar por quanto tempo o
processo pode ficar indisponível (“fora do ar”), sem causar impactos massivos e
severos. A escala de valoração para tempo de tolerância está definida abaixo:
Tempo em Horas Pontuação

Até 48 Horas 6
Até 1 semana 5
Até 2 semanas 4
Até 1 mês 3
Até 3 meses 2
Acima de 3 meses 1
Exemplo:
Operação Imagem Nível de Tempo de

Objeto de Estudo M.P.I Status
(4) (5) Impacto Tolerância
Fiscalização dos Serviços de
5 5 5 Massivo 5
Distribuição
Protocolo Geral 4 3 3,5 Moderado 3
Folha de Pagamento 2 2 2 Leve 1
Figura 6: Impacto e Importância no Planejamento Estratégico - Pontuação
Matriz do BIA - Business Impact Analysis: O resultado do cruzamento dos eixos nível
de impacto com o nível de tempo de tolerância é a Matriz do BIA, que define 3 níveis de
criticidade para os processos avaliados. Podem ser críticos, moderados ou leves,
conforme tabela abaixo:
Alta Criticidade Média Criticidade Baixa Criticidade

Prioritário: É primordial e Segunda prioridade: Possui Terceira prioridade: Leve
deve possuir uma atenção um nível de importância impacto para o negócio da
especial dos gestores. médio. ANEEL.
20
Exemplo:
Figura 7: Matriz do BIA
A etapa em questão interage com a fase “8. Monitoramento e Análise Crítica”, onde
ocorre a retroalimentação, essencial para a obtenção de insumos que amparam as
demais fases do estudo, além da fase “1. Comunicação e Consulta”.
Fase 3. Identificação de Riscos
Descrição
Na fase de identificação de riscos, é necessária profunda análise de todas as

atividades do processo propiciando a identificação de todos os fatores de riscos
(causas), os controles e riscos associados.
A identificação deve incluir todos os riscos, estando suas fontes sob o controle da
Agência ou não, aplicando ferramentas e técnicas adequadas. A identificação dos
riscos compreende cinco sub etapas.
21
Fluxograma
Figura 8: Fluxograma - Identificação de Riscos
3.1 Análise Situacional - Fluxograma do Processo
 Responsável: Superintendente (Dono do Processo);

 Executante: Facilitador da Gestão de Riscos;
 Entrada: Fluxograma do processo e Registro do Contexto Interno e Externo;
 Entrega (produto): Fluxograma do Processo e Listagem de Fatores de Risco
e Controles;
 Descrição (como): Para a realização da análise situacional, os dados devem
ser extraídos a partir da análise do fluxograma dos processos de cada área da
ANEEL, realizando entrevistas com gestores e estudo de políticas, normas e
procedimentos existentes, sendo assim, é extremamente importante que as
áreas possuam seus processos mapeados.
Para possuir uma visão holística e bem acurada dos riscos, primeiramente, é
realizada a identificação dos fatores de riscos (causas) e controles do processo,
conforme descrito abaixo, realizando:
22
 Avaliação situacional do processo: O facilitador da gestão de riscos da
área deve avaliar o processo com o objetivo de identificar pontos fortes
(controles) e fracos (fatores de riscos), que sirvam de fatores para
mitigar ou potencializar a concretização dos riscos. A visão para
identificar fragilidades (pontos fracos) deve ser, sempre, pensando como
“burlar” os controles existentes. Nessa fase é necessário evidenciar as
fragilidades.
 Identificação de Histórico: Mapear histórico de ocorrências, caso exista.
Nota: Controle é uma ação tomada para certificar-se de que algo se cumpra.
Os controles também são meios usados para verificar que certa ação é eficiente
ao seu propósito e suas possíveis falhas.
Os controles, após identificados, devem ser registrados com os dados abaixo:
 Código: Identificação alfa numérica do controle (Exemplo: C001)

 Controle: Nome do controle (Exemplo: Aprovação segregada)
 Definição: Descrição detalhada do controle;
 Objetivo: Refere-se a finalidade do controle;
 Tipo: Se o controle é “Manual”, realizado através da intervenção
humana, ou “Automático”, realizado independente da intervenção
humana;
 Categoria: Se o controle é “Preventivo”, quando previne a concretização
do risco, ou “Detectivo”, quando provê alerta sobre a iminência de
concretização do risco;
 Periodicidade: Refere-se ao intervalo de execução do controle, podendo
ser “Sob demanda”, “Diário”, “Semanal”, “Mensal”, “Trimestral”,
“Semestral” e “Anual”.
23
Exemplo Controles:
Cód. Controle Definição Objetivo Tipo Categoria Periodicidade
Figura 9: Tabela de registro de controles
Os fatores de risco, após identificados, devem ser registrados com os dados

abaixo:
 Código: Identificação alfa numérica do controle (Exemplo: FR001)

 Fator de Risco: Nome do fator de risco (Exemplo: Ausência de
aprovação segregada)
 Definição: Descrição detalhada do fator de risco;
 Macrofator: Refere-se a categoria do fator de risco, podendo ser
“Processos”, “Pessoal”, “Infraestrutura”, “Tecnologia” e “Ambiente
Externo”.
Exemplo Fator de Risco:
Cód. Fator de Risco Definição Macrofator
Figura 10: Tabela de registro de Fatores de Risco
Quando finalizada a análise situacional, pode-se utilizar o fluxograma do

processo em estudo, para ilustrar os controles e fatores de riscos.
24
Quando finalizada a análise situacional, pode-se utilizar o fluxograma do processo em estudo, para ilustrar os controles e
fatores de riscos.
Figura 11: Fluxograma do Processo com Fatores de Riscos e Controles, com base na Análise Situacional
25
3.2 Listagem, Definição e Classificação dos Riscos

 Entrada: Fluxograma do processo, lista de fatores de risco e controles;
 Entrega (produto): Listagem e Classificação dos Riscos;
 Descrição (como): Risco no processo é qualquer evento que pode impedir ou
dificultar o cumprimento integral dos objetivos do processo, em outras palavras,
eventos que comprometem a entrega (saída) do processo e, desta forma,
impactam a organização.
A listagem dos riscos deve ser realizada através de reuniões do tipo

brainstorming, levantando tanto os riscos já identificados como aqueles que
nunca aconteceram no contexto da ANEEL, porém são riscos exequíveis, ou
seja, poderão ocorrer.
Cabe destacar que, após a realização da seção de Brainstorming, deve-se

realizar o saneamento da lista de Riscos sugeridos, sendo assim, considerar
somente os riscos que não forem julgados incoerentes, repetidos e/ou fora do
escopo do processo em estudo.
Visando garantir uniformidade de entendimento, o “risco” deve ser conceituado

e explicitado em dicionário de Riscos Corporativos, conforme modelo abaixo:
Cód. Risco Definição Classificação

O risco está relacionado às fragilidades na Operacional
Processamento da folha com
análise dos exames admissionais,
informações não autorizadas
R.6 proporcionado a incompatibilidade de
ou sem a respectiva
funções atribuídas ao integrante, por
documentação suporte
questões técnicas ou físicas.
O risco está relacionado ao pagamento de Operacional

R.7 Pagamento incorreto de salário
valores incorretos de salários
26
Cód. Risco Definição Classificação
Fraude no pagamento de O risco está relacionado ao pagamento Operacional
R.8 salários quanto a valores e/ou indevido em caso de erro ou manipulação
favorecidos no ajuste do arquivo .txt.
O risco está relacionado à troca de Operacional

Fuga de informações informações por e-mail relativas a folha de
R.9 confidenciais de funcionários pagamento, podendo ocorrer vazamento
de informações particulares dos
integrantes.
O risco está relacionado à manipulação do Operacional
Pagamento de salário para cadastro, possibilitando o registro de
R.10 funcionário fantasma integrantes "fantasmas" visando o
recebimento financeiro de salários ou
benefícios.
Figura 12: Listagem, Definição e Classificação dos Riscos
 Código: Identificação alfa numérica do risco (Exemplo: R001)

 Risco: Nome do risco (Exemplo: Pagamento Indevido de Fornecedor)
 Definição: Descrição detalhada do risco;
 Categoria: A classificação auxilia a organização a ter visão do portfólio
dos riscos, na medida em que os agrupa de acordo com suas principais
causas. Cabe destacar que a classificação está relacionada à
origem/natureza do risco e não ao seu impacto. A ANEEL decide utilizar
a seguinte classificação de riscos:
 Estratégico: Os riscos estratégicos estão associados à tomada de

decisão da Diretoria Colegiada, e podem gerar impactos substanciais
ao cumprimento do Planejamento Estratégico da ANEEL. Exemplos:
Corte Orçamentário Severo, Estiagem prolongada e demais.
 Operacional: Os riscos operacionais estão associados à

possibilidade de ocorrência de perdas, resultantes de falhas,
deficiências ou inadequação de processos internos, pessoas e
sistemas, assim como, quando aplicável, de eventos externos como
catástrofes naturais, fraudes, greves e atos terroristas que afetam
diretamente o processo. Exemplos: Falhas em aspectos lógicos do
27
processamento eletrônicos, Erro não intencional, Falha em
elementos de infraestrutura, Sabotagem, Catástrofes, entre outros.
 Conformidade e Integridade: Relacionados a inobservância de

dispositivos legais ou regulamentares ou, ainda, ao descumprimento
de contrato. Exemplos: Descumprimento de determinações do TCU,
não aderência a políticas internas, normas de organização, código de
ética, regimento interno, entre outros.
 Qualidade Regulatória: Refere-se a inobservância de melhores

práticas relacionadas por exemplo a transparência, controle social e
análise de impacto regulatório.
 Financeiro: Relacionadas com a gestão e controle ineficazes dos

meios financeiros da organização e com efeitos dos fatores externos.
Exemplo: Disponibilidade de crédito, taxas de câmbio, movimento
das taxas de juros, entre outros.
3.3 Identificação dos Fatores de Riscos

 Entrada: Fatores de risco e riscos do processo em estudo;
 Entrega (produto): Diagrama de Causa e Efeito dos Riscos identificados;
 Descrição (como): Os fatores de risco são na realidade a origem e/ou causa
de cada risco estratégico identificado, tanto positivo como negativo.
Para compreender o risco, sua composição, existe a necessidade de dissecar

o risco em causas. Nesse caso utiliza-se a técnica do Diagrama de Causa e
28
Efeito, o chamado Diagrama de Ishikawa e/ou de Espinha de Peixe para
entender quais são os fatores de riscos que influenciam a concretização de
cada risco.
Em 1953 o Professor Kaoru Ishikawa, da Universidade de Tóquio Japão,

sintetizou as opiniões dos engenheiros de uma fábrica na forma de um
diagrama de causa e efeito, enquanto eles discutiam problemas de qualidade.
Neste contexto, foi adaptado o diagrama de causa e efeito da qualidade para a

área de Gestão de Riscos conforme macro causas estabelecidas pelo COSO
ERM.
Figura 13: Diagrama de Causa e Efeito - Macro Causa COSO
Macro Causa Definição

Processo Influência da existência de processos, políticas, normas e
procedimentos para a materialização do risco.
Pessoal Influência do nível da equipe envolvida, considerando-se perfil e
qualificação, para a materialização do risco, bem como do nível de
relacionamento dos servidores.
Infraestrutura Influência da existência de recursos físicos e sistemas eletrônicos
para a materialização do risco.
Tecnologia Influência dos sistemas de informação utilizados pela agência para a
materialização do risco.
Ambiente Externo Influência das variáveis externas incontroláveis para a materialização
do risco.
29
Exemplo:
Processo Pessoal Tecnologia
FR.5 Ausência de autorização de pagamento da FR.8 Ausência de atualização legislativa dos FR.10 Envio do arquivo .txt ao contas a pagar via
folha pela diretoria funcionários que processam a folha e-mail
FR.11 Ausência de conciliação pelo rh dos FR.4 Ausência de comunicação ao rh de

pagamentos efetuados funcionários com afastamento
FR.7 Ausência de comprovação de recebimento FR.6 Ausência de rotatividade nas funções pelos
do arquivo pelo contas a pagar funcionários da área de folha de pagamento
FR.1 Erros nos lançamentos manuais de

FR.12 Realização de pagamentos manuais em
processos que compõem o fechamento da folha
bancos não conveniados
de pagamento
FR.13Recebimento de informações incorretas das

áreas origens
Risco
Pagamento incorreto de salário
Ambiente Externo Infraestrutura
Figura 14: Diagrama de Causa e Efeito
Ressalta-se que para cada risco identificado existe a necessidade da elaboração de um diagrama de causa e efeito específico.
Se estivermos estudando 10 eventos teremos que elaborar 10 diagramas de causa e efeito.
30
3.4 Identificação da Relevância dos Fatores de Riscos – SWOT

 Entrada: Fatores de Riscos e respectivas frequências;
 Entrega (produto): Relevância dos Fatores de Riscos (Magnitude x
Importância);
 Descrição (como): Após a identificação dos fatores de riscos é necessário
identificar aqueles que são comuns no universo de riscos mapeados. Dentre os
fatores de riscos classificados nesta condição é preciso determinar quais são
os considerados relevantes, os que possuem maior condição de influenciar na
concretização do risco.
Para identificar a relevância dos fatores de riscos utiliza-se a Matriz SWOT,

técnica conhecida por identificar os pontos fracos, fortes, oportunidades e
ameaças do contexto da empresa.
A avaliação das forças e fraquezas diz respeito ao ambiente interno. São as

condicionantes que a Agência possui domínio de ação e decisão, os chamados
fatores de riscos internos ou variáveis internas, podendo ser negativas
(fraquezas) ou positivas (forças).
Os fatores de riscos considerados incontroláveis dizem respeito à ambiência

externa, podendo ser negativa (ameaças) ou positiva (oportunidades).
Para identificar a relevância dos fatores de riscos são utilizados dois critérios
de avaliação, Magnitude e Importância.
 Magnitude: representa o número de vezes que o fator de risco é identificado

nos diagramas de causa e efeito dos riscos mapeados e, por consequência,
31
seu potencial influenciador perante o contexto definido na etapa 2. A magnitude
é ranqueada, utilizando-se uma pontuação que varia de 1 a 3, sendo positiva
(Forças e Oportunidades) ou negativa (Fraquezas e Ameaças).
Exemplo de cálculo para a nota de magnitude:
Exemplo 1 - Números Inteiros
Caso um determinado fator de risco apareça 5 (cinco) vezes em 6 (seis) riscos

identificados, significa que este fator de risco possui uma frequência Alta,
conclui-se, pela metodologia sugerida, que sua magnitude terá uma nota “-3”,
conforme tabela de cálculo abaixo:
Total de Riscos (6) / Constante (3) = 2 (intervalo linear das notas – classificação
das ocorrências do fator de risco).
Notas Intervalo de Ocorrências

Quantidade de Riscos 6 -1 1a2
-2 3a4
Amplitude do Intervalo 2 -3 5a6
Exemplo 2 - Números Decimais
Caso um determinado fator de risco apareça 5 (cinco) vezes em 7 (sete) riscos

identificados, significa que este fator de risco possui uma frequência Alta,
conclui-se, pela metodologia sugerida, que sua magnitude terá uma nota “-3”,
conforme tabela de cálculo abaixo:
Total de Riscos (7) / Constante (3) = 2,33 (intervalo linear das notas –
classificação das ocorrências do fator de risco).
Notas Intervalo de Ocorrências

Quantidade de Riscos 7 -1 Até 2,33
-2 De 2,34 até 4,66
Amplitude do Intervalo 2,33 -3 Acima de 4,67
32
Nota: A frequência e a tabela de pontuação irão variar sempre que a quantidade
de riscos for alterada.
 Importância: Trata-se da sensibilidade do quão importante é o Fator de Risco

para a concretização dos riscos no contexto em análise. É uma nota subjetiva
com base na percepção dos envolvidos na avaliação do contexto. A valoração
da importância situa-se em 3 níveis de pontuação:
o 3 (Alta importância - grande potencial para concretização do risco);

o 2 (Média importância - potencial moderado para concretização do risco);
o 1 (Pouca importância - potencial baixo para concretização do risco).
Para definição de ranking dos fatores de riscos utiliza-se o resultado do produto

da pontuação atribuída à magnitude e à importância. Os fatores de riscos com
maior pontuação são considerados os mais relevantes, uma vez que possuem
maior potencial de influenciar os riscos identificados.
A Matriz SWOT demonstra o conjunto de fatores de riscos (fraquezas e

ameaças), e seus pontos fortes e oportunidades. Com esta fotografia pode-se
enxergar as maiores fragilidades e forças, que permitem alavancar e otimizar
recursos e tempo. Sob o ponto de vista das fraquezas e ameaças contidas na
Matriz, pode-se afirmar que a Matriz SWOT é um resumo de todos os
diagramas de causa e efeito, sem a repetição dos fatores de riscos comuns.
Exemplo:
FRAQUEZAS AMEAÇAS
Fator
Cód. Fator de Risco Qtde. Mag. Imp. Total Cód. de Qtde. Mag. Imp. Total
Risco
Erros nos lançamentos
manuais de processos que
FR.1 1 -1 3 -3 Nenhuma ameaça encontrada
compõem o fechamento da
folha de pagamento
Manipulação nos lançamentos
manuais de processos que
FR.2 3 -2 3 -6
compõem o fechamento da
folha de pagamento
33
FRAQUEZAS AMEAÇAS
Descumprimento do prazo
FR.3 para fechamento da folha de 1 -1 2 -2
pagamento
Ausência de comunicação ao
FR.4 rh de funcionários com 3 -2 2 -4
afastamento
Ausência de autorização de
FR.5 pagamento da folha pela 4 -3 3 -9
diretoria
Ausência de rotatividade nas
FR.6 funções pelos funcionários da 3 -2 2 -4
área de folha de pagamento
Ausência de comprovação de
FR.7 recebimento do arquivo pelo 3 -2 2 -4
contas a pagar
Ausência de atualização
FR.8 legislativa dos funcionários 3 -2 2 -4
que processam a folha
Manipulação dos arquivos .txt
FR.9 3 -2 3 -6
enviados ao contas a pagar
Envio do arquivo .txt ao contas
FR.10 3 -2 3 -6
a pagar via e-mail
Ausência de conciliação pelo
FR.11 3 -2 3 -6
rh dos pagamentos efetuados
Realização de pagamentos
FR.12 manuais em bancos não 4 -3 2 -6
conveniados
Recebimento de informações
FR.13 3 -2 3 -6
incorretas das áreas origens
Figura 15: Cálculo - Identificação da Relevância dos Fatores de Riscos
Desta forma, pode-se concluir que a Matriz SWOT adaptada para a gestão de
riscos permite visualizar o conjunto de objetivos ou a perspectiva do BSC,
identificando os fatores relevantes de maneira a enxergar a “Floresta”,
enquanto que o diagrama de causa e efeito visualiza somente o risco analisado,
ou seja, enxerga unicamente uma “Árvore” da floresta.
Figura 16: Matriz SWOT
34
3.5 Matriz da Relevância dos Fatores de Riscos

 Entrada: Fatores de Riscos classificados pela relevância;
 Entrega (produto): Matriz de Relevância dos Fatores de Riscos;
 Descrição (como): Com base na pontuação de magnitude e importância dada
para cada fator de risco caracterizados como fraqueza ou ameaça, podemos
apresentar o resultado matriciado, possibilitando a visualização estratégica da
motricidade de cada fator.
O resultado do cruzamento da magnitude com a importância, define o nível de

motricidade de cada fator de risco, representados na Matriz da Relevância dos
Fatores de Riscos que possui três quadrantes: vermelho, laranja e verde. Com
base nesta matriz o executante pode determinar a prioridade de tratamento do
fator de risco, sempre considerando como primeiro nível o vermelho, segundo
nível o laranja e o terceiro nível o verde.
Cabe destacar que a Matriz da Relevância dos Fatores de Riscos deve ser
construída para os fatores de riscos caracterizados como fraqueza (por
representar o ambiente interno da organização e, desta forma, passível de
tratamento) e ameaças (por representar o ambiente externo - considerados
incontroláveis, sendo possível apenas monitorar).
35
Exemplo:
Figura 17: Matriz Magnitude x Importância
A etapa em questão interage com a fase “2. Contexto Estratégico”, de onde recebe
insumos, através de informações e dados da organização, para iniciar com a subfase
“3.1 Análise Situacional / Fluxograma do Processo”, além das fases “1. Comunicação
e Consulta” e “8. Monitoramento e Análise Crítica”, que ocorrem em todas as fases do
processo, sendo a primeira responsável pelo fluxo de informações e a segunda por
retroalimentar todo o processo, promovendo a dinamicidade necessária que a Gestão
de Riscos exige.
Fase 4. Análise e Avaliação de Riscos Inerente
Descrição
Segundo o COSO ERM 2004 o Risco Inerente é o risco que se apresenta a uma
organização na ausência de qualquer medida gerencial que poderia alterar a sua
probabilidade ou o seu impacto.
36
Realizar a análise e avaliação de riscos inerente proporcionará:
 Identificar qual a necessidade do risco por controles, sendo assim, quanto

maior a criticidade do risco maior a necessidade de controles;
 Orientar, futuramente, a Auditoria Baseada em Riscos, uma vez que se saberá
qual a dependência do risco por controles, assim, quanto maior a criticidade
inerente, maior deverá ser o número de horas investidos na análise dos
controles; e,
 Identificar riscos de baixa criticidade e que, desta forma, não necessitam de
controle, liberando recursos a serem investidos em riscos de maior criticidade.
A análise de riscos visa promover o entendimento do nível de risco e de sua natureza,

auxiliando na definição de prioridades e opções de tratamento aos riscos identificados.
Por meio dela, é possível saber qual a chance, a probabilidade de os riscos virem a
acontecer e calcular seus respectivos impactos na ANEEL.
Os riscos são avaliados de maneira qualitativa, ou seja, utiliza critérios pré-

estabelecidos com uma escala de valoração para a determinação do nível do risco. A
metodologia a ser utilizada para a avaliação de riscos possui dois parâmetros a serem
analisados:
 Saber qual a chance, a probabilidade, dos riscos virem a acontecer, frente à

condição existente da ANEEL.
 Calcular o impacto caso ocorra o risco.
37
Fluxograma
Figura 18: Fluxograma - Análise e Avaliação de Riscos - Inerente
4.1 Probabilidade x Impacto - Inerente

 Entrada: Lista de riscos e contextualização (histórico de ocorrências e
entendimento do ambiente interno e externo);
significativas ou em caso de outras necessidades;
 Entrega (produto): Mensuração de Probabilidade e Impacto inerente dos
Riscos;
 Descrição (como): A probabilidade do risco é calculada através de três
critérios, sendo que, cada um deles possuirá um peso diferenciado
(ponderação), tendo em vista seu grau de importância. Os critérios de
probabilidade são:
Figura 19: Critérios de Probabilidade
38
Segurança e Controle: É avaliada a existência e interrelação dos fatores de
riscos e controles identificados na análise situacional. Quanto maior a nota pior
é a condição de segurança e dos controles. Na avaliação de riscos inerentes
não deve ser levado em consideração os controles existentes. Essa nota deve
ser com base no Diagrama de Causa e Efeito (condição do risco) de cada risco
e a Relevância dos Fatores de Riscos (Matriz SWOT).
Segurança e Controle (peso 5)
Conceito Descritivo da Escala Pontuação

Não há nenhum Controle atuando nos Fatores de Riscos e/ou
Muito ruim 5
no Risco.
Os Controles que atuam nos Fatores de Riscos e/ou no Risco
Ruim 4
não previnem ou detectam a concretização do Risco.
Média 3
previnem ou detectam parcialmente a concretização do Risco.
Bom previnem ou detectam satisfatoriamente a concretização do 2
Risco.
Muito bom 1
previnem ou detectam plenamente a concretização do Risco.
Frequência / Exposição: Mede a frequência que o risco costuma manifestar-

se na ANEEL, no segmento de energia elétrica ou regulatório.
Frequência / Exposição (peso 4)

Pontuação / Frequência Observada /
Descritivo da Escala
Conceito Esperada
Evento esperado que ocorra na maioria das
5 - Quase certo Anual
circunstâncias
Evento provavelmente ocorrerá na maioria
4 - Provável Bienal
das circunstâncias
3 - Possível Evento deve ocorrer em algum momento Quinquenal
2 - Improvável Evento pode ocorrer em algum momento Decenal
Evento pode ocorrer em circunstâncias
1 - Raro > 10 anos
excepcionais
39
Intervalo: É avaliada a questão da frequência de avaliação/auditoria e revisão
dos controles do processo, incluindo, quando aplicável, a revisão do próprio
processo. Quanto maior é o intervalo maior é sua fragilidade. Na avaliação de
riscos inerentes não deve ser levado em consideração as avaliações e
auditorias existentes.
Intervalo (peso 3)
Descritivo da Escala Pontuação
Não realiza revisão 5
Realiza avaliação/auditoria Bienal 4
Realiza avaliação/auditoria Anual 3
Realiza avaliação/auditoria Semestral 2
Realiza avaliação/auditoria Trimestral 1
O Nível de Probabilidade (Pb) é o resultado da média ponderada dos três

critérios de probabilidade, conforme demonstrado abaixo:
( ç / ∗ )+ ( / çã ∗ ) + ( ∗ )
í =
O nível de probabilidade possui a seguinte classificação:
Grau de Probabilidade Escala Nível de Probabilidade
4,51 – 5,00 5 Elevada
3,51 – 4,50 4 Muito Alta
2,51 – 3,50 3 Alta
1,51 – 2,50 2 Média
1,00 – 1,50 1 Baixa
40
Determinação do Nível de Impacto: Com o objetivo de obter uma visão
holística do impacto, há a necessidade de projetar todas as consequências que
os riscos causam. A avaliação do impacto na Agência é realizada sob três
critérios: Imagem, Operação e Recursos Públicos, sendo atribuída ponderações
(pesos) distintas. Segue abaixo ilustração:
Figura 20: Critérios de Impacto
Cada critério de impacto possui os seguintes referenciais para pontuação:
Imagem (peso 5): Refere-se ao impacto na reputação da ANEEL e na sua

credibilidade perante os agentes do setor, a sociedade, os servidores da Agência ou a Pontuação
Administração Pública.
Impacta massivamente: Com destaque na mídia internacional. 5
Impacta severamente: Com destaque na mídia nacional, provocando exposição
4
significativa.
Impacta moderadamente: O impacto vai além das partes envolvidas, podendo chegar
3
na mídia, provocando a exposição por um curto período de tempo.
Impacta levemente: O impacto limita-se às partes envolvidas ou gera impacto interno. 2
Não impacta ou pouco impacta: Não impacta a imagem da ANEEL ou o impacto não
1
é significativo.
41
Operação (peso 4): Refere-se ao impacto na Regulação, Fiscalização, Outorgas
Pontuação
e/ou Relações com a Sociedade
Impacta massivamente: Gera a paralisação na Regulação, Fiscalização, Outorgas e/ou
5
Relações com a Sociedade.
Impacta severamente: Compromete a eficácia na Regulação, Fiscalização, Outorgas
4
e/ou Relações com a Sociedade.
Impacta moderadamente: Compromete a eficiência na Regulação, Fiscalização,
3
Outorgas e/ou Relações com a Sociedade.
Impacta levemente: Gera um pequeno impacto na Regulação, Fiscalização, Outorgas
2
ou Relações com a Sociedade.
Não impacta ou não é percebido: Não impacta ou não é percebido o impacto no
1
processo de Regulação, Fiscalização, Outorgas e/ou Relações com a Sociedade.
Recursos públicos (peso 2): Refere-se a eficiência da utilização dos

Pontuação
recursos públicos.
Impacta massivamente 5
Impacta severamente 4
Impacta moderadamente 3
Impacta levemente 2
Não impacta ou pouco impacta 1
Determinação do Nível de Impacto: O nível de impacto é o resultado da média

ponderada dos três critérios de impacto (multiplicação do peso versus a nota
dividido pela soma dos pesos), conforme demonstrado abaixo:
( çã ∗ ) + ( ∗ )+( ú ∗ )
í =
O resultado do nível de impacto está representado na tabela abaixo:
Grau de Impacto Escala Nível de Impacto

4,51 – 5,00 5 Massivo
3,51 – 4,50 4 Severo
2,51 – 3,50 3 Moderado
1,51 – 2,50 2 Leve
1,00 – 1,50 1 Muito leve
42
Exemplo:
S/C FRE INT Nível de OPE IMG RP Nível de

Cód. M.P.P M.P.I Matriz
(5) (4) (3) Probabilidade (4) (5) (2) Impacto
R.6 5 5 5 5.00 Elevada 5 4 5 4.54 Massivo
R.7 5 2 5 4.00 Muito Alta 4 3 2 3.18 Moderado
R.8 5 1 4 3.41 Alta 5 3 1 3.36 Severo
Figura 21: Análise de Risco Inerente (Probabilidade e Impacto)
MPP = Média Ponderada de Probabilidade
( / ∗ )+( ∗ )+( ∗ )
=
MPI = Média Ponderada de Impacto
( ∗ )+ ( ∗ )+( ∗ )
=
4.2 Matriz de Riscos - Inerente

 Entrada: Mensuração das Probabilidades e Impactos Inerentes dos Riscos;
 Entrega (produto): Matriz de Riscos Inerentes do Processo;
43
 Descrição (como): A avaliação de riscos visa comparar os níveis de riscos em
relação aos critérios pré-estabelecidos. A relevância dos riscos possui como
parâmetro a matriz de riscos e o seu resultado é o grau de criticidade do risco,
ou seja, é a priorização que a Agência deve utilizar para tratar cada risco, frente
ao seu apetite ao risco. A matriz é dividida em quadrantes e para cada
quadrante existe uma estratégia de tratamento e priorização.
A matriz de riscos demonstra os pontos de cruzamento (horizontal e vertical)

da probabilidade de ocorrência e do impacto. Quanto maior for a probabilidade
e o impacto de um risco, maior será o nível do risco.
Diretrizes do apetite ao risco:
 A ANEEL não admite riscos no quadrante vermelho. Cabe ao gestor do

risco realizar os devidos esforços para mitigação do risco, reduzindo a sua
probabilidade e/ou impacto. Casos específicos em que a redução da
probabilidade e do impacto não o retira do quadrante vermelho, pode-se
assumir o risco através de formalização (Anexo IV).
Diretrizes para Planos de Ação:
 Apetite ao Risco: Trata-se de quadrantes cuja criticidade é aceita pela

Aneel para atingir seus objetivos, representado com o numeral “1” na matriz
de riscos. Visando otimizar o nível de riscos da ANEEL, mesmo para riscos
dentro do apetite, deve-se planejar e aprovar planos de ação preventivos
(visando reduzir a probabilidade) e/ou corretivos (visando reduzir impactos)
no prazo máximo de 60 dias;
 Tolerância a Risco: Trata-se de quadrantes cuja criticidade está além do

apetite ao risco, desta forma, o risco não é aceito pela ANEEL,
representado com o numeral “2” na matriz de riscos. Deve-se planejar e
aprovar planos de ação preventivos (visando reduzir a probabilidade) e/ou
corretivos (visando reduzir impactos) no prazo máximo de 45 dias;
44
 Capacidade de Risco: Trata-se de quadrantes cuja criticidade é extrema,
de riscos. Deve-se planejar e aprovar planos de ação preventivos (visando
reduzir a probabilidade) e/ou corretivos (visando reduzir impactos) no prazo
máximo de 30 dias;
Caso não ocorra a resposta ao risco dentro do prazo estimado para tratamento,
a pendência existente será encaminhada pelo CRC à Diretoria Colegiada para
conhecimento e providências.
Exemplo:
Figura 22: Avaliação de Risco Inerente (Matriz de Risco)
4.3 Nível de Riscos - Inerente

 Entrada: Média Ponderada de Probabilidade (M.P.P) e Média Ponderada de
Impacto (M.P.I) dos riscos;
 Entrega (produto): Nível de Risco Inerente do Processo;
 Descrição (como): Após a finalização da etapa para determinar a criticidade
de cada risco, isto é, sua probabilidade e impacto, deve ser elaborado o nível
45
de risco do processo, que proporcionará posteriormente o ranqueamento dos
processos.
O Nível de Risco é um índice calculado com base na M.P.P e M.P.I dos riscos
identificados, conforme cálculo abaixo:
Nível de Risco = Média das Probabilidades x Média dos Impactos
Para identificarmos o Nível de Risco é necessário utilizar a tabela de conversão

abaixo:
Nível de Risco Tratamento

Processos que estão na zona de conforto, devendo ser
1a5 1 Verde
gerenciados e administrados.
Processos com grau de riscos consideráveis, mas que
5,1 a 10 2 Amarelo causam consequências gerenciáveis. Devem ser
monitorados de forma rotineira ou sistemática.
Processos que devem receber tratamento em médio e
curto prazo. Possui riscos com probabilidades e/ou
10,1 a 15 3 Laranja
impactos consideráveis. Devem ser constantemente
monitorados.
Processos que tem alto grau de risco e poderão resultar
em impacto extremamente severo. Exigem
15,1 a 25 4 Vermelho
implementação imediata de estratégias de prevenção
e/ou continuidade.
É importante ressaltar que quanto maior o nível do risco, maior sua criticidade para o
processo.
46
Exemplo:
Cód. Risco Probabilidade Impacto
Processamento da folha com informações não autorizadas ou
R.6 5,00 4,60
sem a respectiva documentação suporte
R.7 Pagamento incorreto de salário 4,00 3,40
Fraude no pagamento de salários quanto a valores e/ou
R.8 3,41 3,40
favorecidos
Nível de Risco
Probabilidade Impacto
Total 12,41 11,40
Média 4,14 3,80
Nível de Risco 15,72
Figura 23: Nível de Risco - Inerente
A fase em questão se relaciona com a fase “3. Identificação de Riscos”, de onde

recebe a análise situacional e listagem e definição dos riscos, além das fases “1.
Comunicação e Consulta” e “8. Monitoramento e Análise Crítica”, que ocorrem em
todas as fases do processo, sendo a primeira responsável pelo fluxo de informações
e a segunda por retroalimentar todo o processo, promovendo a dinamicidade
necessária que a Gestão de Riscos exige.
47
Fase 5. Análise e Avaliação de Riscos Residuais
Descrição
Segundo o COSO ERM 2004 o Risco Residual é o risco que resta após a
administração ter adotado medidas para alterar a sua probabilidade ou o impacto.
Desta forma, entende-se por risco residual a análise e avaliação dos riscos
considerando os controles já existentes. Esse conceito permite que os controles sejam
avaliados e posteriormente que sua efetividade seja comprovada durante os testes.
Fluxograma
Figura 24: Fluxograma - Análise e Avaliação de Riscos Residuais
5.1 Avaliação dos Controles

 Entrada: Fluxograma do Processo e Listagem de Fatores de Risco e Controles;
 Entrega (produto): Avaliação dos Controles do Processo;
 Descrição (como): Com o objetivo de confirmar a eficácia dos controles
identificados no processo em estudo, é necessário realizar a avaliação dos
controles. No final desta etapa, a informação disponível permitirá ao executante
conhecer a eficácia, ineficácia ou inexistência dos controles, bem como, sua
48
relação com os fatores de risco ou riscos, desta forma, possibilitando a análise
de riscos residuais.
Para registro da avaliação dos controles deve-se preencher o Resultado e o

Parecer, conforme descrito abaixo:
 Resultado: Descrever como o controle analisado atua embasando o

parecer final;
 Parecer: Com base no resultado obtido, indicar se o controle é eficaz ou
ineficaz.
Exemplo:
Cód. Controle Definição Objetivo Tipo Categoria Periodicidade Resultado Parecer
Comitê que
Comitê formado
promove
Proporcionar e discutido
Comitê Técnico discussões
melhores anualmente, não
C.8 de técnicas a Manual Preventivo Sob demanda Ineficaz
práticas nas existindo um
Direcionamento respeito de
regulamentações processo
novas
continuo.
regulamentações
A parceria é
Parceria com
realizada
universidades
Parceria com anualmente e os
federais para Prover o avanço
C.7 universidades Manual Preventivo Anual resultados são Eficaz
desenvolvimento tecnológico
federais monitorados de
de novas
acordo com os
tecnologias
projetos.
Figura 25: Avaliação de Controle - Walkthrough
Todos os controles devem ser associados a um ou mais riscos ou fatores de

riscos. Conceitualmente, controles preventivos atuam “bloqueando” fatores de
risco, enquanto controles detectivos atuam “alertando” a possível concretização
do risco. Esta associação permitirá identificar na análise de risco residual o
quão exposto o risco está, desta forma, norteando a atribuição da nota de
“Segurança/Controle” e “Intervalo”.
49
5.2 Probabilidade x Impacto – Residual

 Entrada: Probabilidade x Impacto – Inerente e Avaliação de Controles;
 Entrega (produto): Mensuração de Probabilidade e Impacto residual dos
Riscos;
 Descrição (como): Para realizar análise de riscos residuais deve-se utilizar a
metodologia e os critérios abordados na Subfase “4.1 Probabilidade x Impacto
– Inerente”, porém, neste caso, levar em consideração os controles existentes
e sua relação com os fatores de risco, como também, os riscos, atribuindo nota
aos critérios “Segurança/Controle” e “Intervalo”.
Caso a organização conte com controles que atuem mitigando os impactos,

pode-se reavaliar as notas atribuídas no critério de impacto. Exemplos de
controles mitigatórios: Plano Estruturado de Gestão de Continuidade de
Negócios (Emergência, Crise e Contingência) e Apólice de Seguro.
Exemplo:

R.8 4 1 3 2.75 Alta 5 3 1 3.36 Severo
Figura 26: Análise de Risco Residual (Probabilidade e Impacto)
50
MPP = Média Ponderada de Probabilidade
( / ∗ )+( ∗ )+( ∗ )
=
MPI = Média Ponderada de Impacto
( ∗ )+ ( ∗ )+( ∗ )
=
5.3 Matriz de Riscos - Residual

 Entrada: Mensuração das Probabilidades e Impactos Residuais dos Riscos;
 Entrega (produto): Matriz de Riscos Residuais do Processo;
 Descrição (como): Para elaborar a Matriz de Riscos Residuais utilizar a
metodologia descrita na Subfase “4.2 Matriz de Riscos – Inerentes”. Cabe
destacar que devem ser utilizadas as notas de Probabilidade e Impacto
residuais.
Exemplo:
Figura 27: Avaliação de Risco Residual (Matriz de Risco)
51
5.4 Nível de Riscos - Residual

 Entrada: Média Ponderada de Probabilidade (M.P.P) e Média Ponderada de
Impacto (M.P.I) dos riscos;
 Entrega (produto): Nível de Risco Residual do Processo;
 Descrição (como): Para elaborar a Nível de Riscos Residuais utilizar a
metodologia e os critérios do capitulo “4.3 Nível de Riscos – Inerente”.
O Nível de Risco – Residual é um índice calculado com base na M.P.P e M.P.I

residuais dos riscos identificados, conforme cálculo abaixo:
Nível de Risco = Média das Probabilidades Residuais x Média dos Impactos

Residuais
Para identificarmos o Nível de Risco é necessário utilizar a tabela de conversão

abaixo:
Nível de Risco Tratamento
Processos que estão na zona de conforto, devendo ser
1a5 1 Verde
gerenciados e administrados.
Processos com grau de riscos consideráveis, mas que
5,1 a 10 2 Amarelo causam consequências gerenciáveis. Devem ser
monitorados de forma rotineira ou sistemática.
Processos que devem receber tratamento em médio e
curto prazo. Possui riscos com probabilidades e/ou
10,1 a 15 3 Laranja
impactos consideráveis. Devem ser constantemente
monitorados.
Processos que tem alto grau de risco e poderão resultar
em impacto extremamente severo. Exigem
15,1 a 25 4 Vermelho
implementação imediata de estratégias de prevenção
e/ou continuidade.
52
É importante ressaltar que quanto maior o nível do risco, maior sua criticidade para o
processo.
Exemplo:
R.6 2,33 4,60
R.8 2,75 3,40
favorecidos
Nível de Risco
Total 7,74 11,40
Média 2,58 3,80
Figura 28: Nível de Risco – Residual
A fase em questão se relaciona com a fase “3. Identificação de Riscos”, onde são
identificados os Fatores de Riscos e Controles do processo e com a fase “4. Análise
e Avaliação de Riscos Inerentes”, de onde recebe a Análise dos Riscos Inerentes,
além das fases “1. Comunicação e Consulta” e “8. Monitoramento e Análise Crítica”,
que ocorrem em todas as fases do processo, sendo a primeira responsável pelo fluxo
de informações e a segunda por retroalimentar todo o processo, promovendo a
dinamicidade necessária que a Gestão de Riscos exige.
53
Fase 6. Respostas aos Riscos
Descrição
Realizada a identificação, análise e avaliação dos riscos, levando-se em consideração

a Matriz de Riscos Residuais e respeitando o Apetite ao Risco, o executante e o
responsável devem determinar como será a resposta aos riscos.
As respostas incluem evitar, reduzir, compartilhar ou aceitar os riscos, cujo principal

insumo para tratamento advém dos Fatores de Risco (Causas) identificados, bem
como, controles ineficientes.
Fluxograma
Figura 29: Resposta aos Riscos
6.1 Plano de Ação

 Entrada: Matriz de Riscos - Residual, Diagrama de Causa e Efeito, SWOT e
Avaliação de Controles;
54
 Entrega (produto): Plano de Resposta aos Riscos (Plano de Gestão conforme
a Política de Gestão de Riscos da ANEEL), incluindo Planos de Ação (Anexo
V);
 Descrição (como): Depois de identificados, avaliados e mensurados, deve-se
definir qual o tratamento que será dado aos riscos. A priorização deve estar
embasada na Matriz de Riscos - Residual, Diagrama de Causa e Efeito, Matriz
SWOT e Avaliação dos Controles.
É importante que exista a conscientização e comprometimento com o

gerenciamento de riscos por parte da alta administração da ANEEL. Nesse
contexto, os tomadores de decisão são os responsáveis por esse
gerenciamento, ou seja, mediante a matriz de riscos deve-se identificar qual a
resposta a ser adotada para tratamento do risco.
Abaixo as estratégias que podem ser adotadas para o tratamento dos riscos:
 Evitar o Risco: Descontinuação das atividades que geram os riscos. Evitar

riscos pode, por exemplo, implicar a descontinuação de um processo.
 Reduzir o Risco: São adotadas medidas para reduzir a probabilidade ou o

impacto dos riscos, ou, até mesmo, ambos. As medidas devem ser tomadas
pautadas nos fatores de riscos e aprimoramento de controles.
 Compartilhar: Redução da probabilidade ou do impacto dos riscos pela

transferência ou pelo compartilhamento de uma porção do risco. As técnicas
comuns compreendem a aquisição de produtos de seguro e a “terceirização”
de uma atividade (levando-se em consideração a corresponsabilidade).
 Aceitar: Nenhuma medida é adotada para afetar a probabilidade ou o grau

de impacto dos riscos. Tratando-se de riscos além do apetite ao risco, é
necessário a formalização pelo gestor do risco e aprovação pela Diretoria
Colegiada.
55
Para elaboração do plano de ação é utilizada a técnica adaptada das perguntas
5W e 2H.
 “O que ocasiona o risco?” Qual o motivo para realização da ação (fator de

risco);
 “Criticidade”: Refere-se a relevância do fator de risco (Magnitude x
Importância);
 “Quem faz parte neste processo?”: Nome do responsável pela
implementação da ação;
 “Quando será implementado?”: Data limite para implementação da ação;
 “O que pode ser implementado?”: Medida em relação à causa prioritária
(ação corretiva);
 “Como deve ser realizado para melhoria?”: Descrever como será executada
ação proposta;
 “Quanto Custa?”: Qual o valor do custeio / investimento.
Diretrizes do apetite ao risco:
 A ANEEL não admite riscos no quadrante vermelho. Cabe ao gestor do

risco realizar os devidos esforços para mitigação do risco, reduzindo a sua
probabilidade e/ou impacto. Casos específicos em que a redução da
probabilidade e do impacto não o retira do quadrante vermelho, pode-se
assumir o risco através de formalização (Anexo IV).
Diretrizes para Planos de Ação:
 Apetite ao Risco: Trata-se de quadrantes cuja criticidade é aceita pela

Aneel para atingir seus objetivos, representado com o numeral “1” na matriz
de riscos. Visando otimizar o nível de riscos da ANEEL, mesmo para riscos
dentro do apetite, deve-se planejar e aprovar planos de ação preventivos
(visando reduzir a probabilidade) e/ou corretivos (visando reduzir impactos)
no prazo máximo de 60 dias;
56
 Tolerância a Risco: Trata-se de quadrantes cuja criticidade está além do
apetite ao risco, desta forma, o risco não é aceito pela ANEEL,
representado com o numeral “2” na matriz de riscos. Deve-se planejar e
aprovar planos de ação preventivos (visando reduzir a probabilidade) e/ou
corretivos (visando reduzir impactos) no prazo máximo de 45 dias;
 Capacidade de Risco: Trata-se de quadrantes cuja criticidade é extrema,

de riscos. Deve-se planejar e aprovar planos de ação preventivos (visando
reduzir a probabilidade) e/ou corretivos (visando reduzir impactos) no prazo
máximo de 30 dias.
Os donos dos riscos são integralmente responsáveis pelo seu tratamento e/ou
monitoramento, desta forma, deve acompanhar o status dos planos de ação, bem
como, informar a AIN quando vislumbrar mudanças nos ambientes interno e/ou
externo que podem afetar o risco.
Caso não ocorra o planejamento e aprovação de resposta ao risco, bem como, a

execução do plano dentro do prazo estipulado, a pendência existente será
encaminhada ao CRC para conhecimento e providências.
O Plano de Ação de cada área deverá ser submetido a análise do CRC.
57
Exemplo:
Quem faz
O que Como deve ser
parte Quando será O que pode ser Quanto
ocasiona o Criticidade realizado para Status
neste implementado? implementado? custa?
risco? melhoria?
processo?
Refere-se a Nome do Andamento da
Qual o motivo Qual o valor
relevância do responsável Data limite para Medida em relação Descrever como ação: Em
para realização do custeio /
fator de risco pela implementação da à causa prioritária será executada execução,
da ação (fator investimento
(Magnitude x implementaç ação; (ação corretiva); ação proposta; Finalizada,
de risco); .
Importância) ão da ação; Atrasada e etc.
Figura 30: Plano de Ação
58
6.2 Projeção Futura - Probabilidade x Impacto

 Entrada: Plano de Ação estruturado e Avaliação de Riscos Residuais;
 Entrega (produto): Projeção da Matriz de Riscos e Nível de Risco do processo;
 Descrição (como): A Projeção Futura é realizada para demonstrar quais as
benesses que o Plano de Ação elaborado irá trazer ao processo, diminuindo a
probabilidade e/ou impacto dos Riscos. Ele pode ser utilizado também para
justificar e amparar solicitações de investimentos.
Para elaborar a Matriz de Riscos com Projeção Futura é necessário reavaliar a

Análise de Riscos Residuais, partindo da premissa que o plano de ação previsto
está ou será implementado na sua totalidade.
Essa reavaliação é obtida na revisão dos fatores de riscos do diagrama de

causa e efeito de cada risco, ou seja, tudo que foi tratado/implementado
causará uma redução da probabilidade na matriz de riscos residuais.
Exemplo:

R.8 1 1 1 1.00 Alta 5 3 1 3.40 Severo

Figura 31: Análise de Risco - Projeção Futura
59
Figura 32: Avaliação de Risco - Projeção Futura

R.6 2,33 4,60
R.8 1,00 3,40
favorecidos
Nível de Risco
Total 4,66 11,40
Média 1,55 3,80
Figura 33: Nível de Risco - Projeção Futura
60
A fase em questão interage com a subfase “5.3 Matriz de Riscos - Residuais”, onde
são identificados os riscos que devem ser tratados prioritariamente e os riscos que
devem ser apenas monitorados, levando-se em consideração o Apetite ao Risco da
Agência, além das fases “1. Comunicação e Consulta” e “8. Monitoramento e Análise
Crítica”, que ocorrem em todas as fases do processo, sendo a primeira responsável
pelo fluxo de informações e a segunda por retroalimentar todo o processo,
promovendo a dinamicidade necessária que a Gestão de Riscos exige.
Fase 7. Monitoramento e Análise Crítica
Descrição
Os indicadores devem ser planejados como parte do processo da avaliação de riscos

e devem ser monitorados de maneira regular. Podem ser periódicos ou acontecer em
resposta a um fato específico.
Fluxograma
Figura 34: Monitoramento e Análise Crítica
61
7.1 Estabelecimento dos Indicadores
 Executante: CRC, GTAGR ;
 Envolvidos: GDG (caso necessário);
 Entrada: Matriz de Riscos – Inerente, Nível de Risco, Matriz SWOT e Plano de
Ação;
 Entrega (produto): Indicadores Estabelecidos;
 Descrição: Abaixo serão estabelecidos os indicadores do processo de gestão
de riscos, bem como, a periodicidade de monitoramento.
Tipos de Indicadores
Todos os indicadores a seguir, devem ser representados através de um dashboard

(painel de controle), devendo ser visualizados de forma separada (por tipo) e de forma
integrada.
 Criticidade dos Riscos Residuais
Diz respeito à evolução das condições dos riscos identificados e analisados na Matriz
de Riscos - Residual. Neste caso, deve-se montar um processo de acompanhamento
para verificar se as condições listadas no diagrama de causa e efeito sofrem
mudanças, abrangendo os ambientes interno e o externo.
o Objetivo: Apresentar a evolução da criticidade dos riscos residuais (Matriz

de Riscos - Residual).
o Periodicidade de Monitoramento: Semestralmente, quando forem
identificadas mudanças significativas, ou em caso de outras necessidades;
o Métrica: Quantificação dos Riscos por Quadrante;
o Meta: A definir.
62
Exemplo de aplicação:
Figura 35: Indicador de Criticidade
 Criticidade de fatores de riscos
 Objetivo: Apresentar a criticidade de todos os fatores de riscos.

 Periodicidade de Monitoramento: Semestralmente, quando forem
identificadas mudanças significativas ou em caso de outras
necessidades;
 Métrica: Quantificação dos Fatores de Riscos por macrocausas;
 Meta: A definir.
Figura 36: Indicador de Criticidade de Fatores de Risco
63
 Planos de Ação
Visa verificar se os planos de ação estão sendo executados conforme cronograma

estabelecido e aprovado. Para isso devemos utilizar um farol com os indicadores de:
Concluído, Em andamento, Previsto, Atrasado e Cancelado. Devem ser
acompanhadas para saber se seus objetivos foram atingidos e, se não foram, quais
as dificuldades encontradas e as ações corretivas.
o Objetivo: Medir a evolução da implantação dos planos de ação;

o Periodicidade de Monitoramento: Trimestral;
o Métrica: Contador de Status (Concluído, em andamento, previsto,
atrasado e cancelado);
o Meta: A definir.
Figura 37: Indicador de Plano de Ação
64
7.2 Execução do monitoramento e Acompanhamento dos Indicadores

 Entrada: Indicadores estabelecidos;
 Periodicidade: Trimestralmente;
 Entrega (produto): Apuração dos Indicadores;
 Descrição (como): O monitoramento e acompanhamento dos indicadores
deve ser executado conforme periodicidade estabelecida, sendo enviado
relatório ao CRC.
7.3 Elaboração de Relatórios Executivos

 Entrada: Indicadores apurados;
 Periodicidade: Trimestralmente;
 Entrega (produto): Relatório Executivo dos Indicadores de Riscos do
Processo (Anexo VI);
 Descrição (como): Elaboração de Relatório contendo os itens de
monitoramento e os indicadores apurados, constando as justificativas
necessárias para o entendimento.
O relatório elaborado deverá ser remetido trimestralmente ao CRC.
7.4 Reunião de Análise Crítica
 Responsável: Diretoria Colegiada;

 Executante: CRC e GTAGR;
 Envolvidos: CRC e GTAGR. e Diretoria Colegiada;
 Entrada: Relatórios Executivos;
65
 Periodicidade: Anualmente (final do ciclo);
 Entrega (produto): Relatório de Análise Crítica;
 Descrição (como): Na reunião em questão deve ser apresentado o Relatório
Executivo Anual, contendo todos os itens de monitoramento e indicadores de
riscos, explanando sobre os avanços realizados e dificuldades encontradas. Os
principais pontos levantados e debatidos e, sobretudo, as diretrizes e
determinações estabelecidas pela Diretoria Colegiada devem ser registrados.
7.5 Retroalimentação e Aprendizado do processo de Gestão de Riscos

Estratégicos
 Responsável: CRC
 Executante: CRC e GTAGR;
 Envolvidos: CRC, GTAGR e Líderes e áreas técnicas;
 Entrada: Relatório de Análise Crítica;
 Entrega (produto): Não Aplicável;
 Descrição (como): Fruto das diretrizes/determinações estabelecidas pela alta
direção, o processo deve ser retroalimentado, com ganhos de aprendizado,
iniciando-se pela comunicação e consulta, onde deve ser considerado todos os
apontamentos realizados na reunião de análise crítica.
A fase em questão retroalimenta o processo, provendo insumos para a fase “2.

Contexto Estratégico”, além de interagir com as demais fases, garantindo que
qualquer desvio seja detectado possibilitando que a Agência realize e planeje
tempestivamente as ações necessárias.
66
7. SIGLAS
GDG: Gabinete do Diretor-Geral.

GTAGR: Grupo Técnico de Apoio à Gestão de Risco.
CRC: Comitê de Riscos e Controle.
SCR: Superintendência de Comunicação e Relacionamento Institucional.
8. GLOSSÁRIO
Para os efeitos deste documento, aplicam-se os seguintes termos e definições.
Alta administração: gestores que integram o nível executivo mais elevado da

organização com poderes para estabelecer as políticas, os objetivos e conduzir a
implementação da estratégia para realizar os objetivos da organização. (Fonte:
Portaria - SEGECEX Nº 2, de 22 de janeiro de 2018)
Ameaça: Qualquer circunstância, situação ou correlatos com potencial para ocasionar

ou contribuir para a concretização de riscos. (Fonte: autores)
Análise crítica: Atividade realizada para determinar a adequação, suficiência e

eficácia do assunto em questão para atingir os objetivos estabelecidos. Nota: A
análise crítica pode ser aplicada à estrutura da gestão de riscos, ao processo de
gestão de riscos, ao risco ou ao controle. (Fonte: ISO 31000:2009)
Análise de riscos: Processo de compreender a natureza do risco e determinar o nível

de risco. Nota: 1 A análise de riscos fornece a base para a avaliação de riscos e para
as decisões sobre o tratamento de riscos. Nota: A análise de riscos inclui a estimativa
de riscos. (Fonte: ISO 31000:2009)
Diagrama de Causa e Efeito: Fornece uma visualização gráfica estruturada de uma

lista de causas para um efeito específico. (Fonte: Adaptado da ISO 31010:2012)
67
Apetite a riscos: A quantidade total de riscos que uma companhia ou outra
organização está disposta a aceitar na busca de sua missão (ou visão). (Fonte: COSO
ERM)
Atitude perante o risco: Abordagem da organização para avaliar e eventualmente

buscar, reter, assumir ou afastar-se do risco. (Fonte: ISO 31000:2009)
Avaliação de riscos: Processo de comparar os resultados da análise de riscos com

os critérios de risco para determinar se o risco e/ou sua magnitude é aceitável ou
tolerável. Nota: A avaliação de riscos auxilia na decisão sobre o tratamento de riscos.
(Fonte: ISO 31000:2009)
Categoria de Objetivos: Uma das quatro categorias de objetivos de uma organização

- estratégicos, eficácia e eficiência operacionais, confiabilidade dos relatórios e
cumprimento de leis e regulamentos cabíveis. As categorias sobrepõem-se. Assim,
um determinado objetivo poderá classificar-se em mais de uma categoria. (Fonte:
COSO ERM)
Comitê de Riscos e Controle: constitui instância administrativa na ANEEL, instituída

e subordinada à Diretoria Colegiada, tendo por finalidade implementar e manter o
processo de gestão de riscos corporativos da Agência. (Fonte: Regimento Interno do
CRC)
Comunicação e consulta: Processos contínuos e iterativos que uma organização

conduz para fornecer, compartilhar ou obter informações e se envolver no diálogo com
as partes interessadas e outros, com relação a gerenciar riscos. Nota 1: As
informações podem referir-se à existência, natureza, forma, probabilidade,
significância, avaliação, aceitabilidade, tratamento ou outros aspectos da gestão de
riscos. Nota 2: A consulta é um processo bidirecional de comunicação sistematizada
entre uma organização e suas partes interessadas ou outros, antes de tomar uma
decisão ou direcionar uma questão específica. A consulta é: um processo que impacta
uma decisão através da influência ao invés do poder; e uma entrada para o processo
68
de tomada de decisão, e não uma tomada de decisão em conjunto. (Fonte: ISO
31000:2009)
Consequência: Resultado de um evento que afeta os objetivos. Nota 1: Um evento

pode levar a uma série de consequências. Nota 2: Uma consequência pode ser certa
ou incerta e pode ter efeitos positivos ou negativos sobre os objetivos. Nota 3: As
consequências podem ser expressas qualitativa ou quantitativamente. Nota 4: As
consequências iniciais podem desencadear reações em cadeia. (Fonte: ISO
31000:2009)
Contexto externo: Ambiente externo no qual a organização busca atingir seus

objetivos. Nota: O contexto externo pode incluir: o ambiente cultural, social, político,
legal, regulatório, financeiro, tecnológico, econômico, natural e competitivo, seja
internacional, nacional, regional ou local; os fatores–chave e as tendências que
tenham impacto sobre os objetivos da organização; e as relações com partes
interessadas externas e suas percepções e valores. (Fonte: ISO 31000:2009)
Contexto interno: Ambiente interno no qual a organização busca atingir seus

objetivos. Nota: O contexto interno pode incluir: governança, estrutura organizacional,
funções e responsabilidades; políticas, objetivos e estratégias implementadas para
atingi-los; capacidades compreendidas em termos de recursos e conhecimento (por
exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias); sistemas de
informação, fluxos de informação e processos de tomada de decisão (tanto formais
como informais); relações com partes interessadas internas, e suas percepções e
valores; cultura da organização; normas, diretrizes e modelos adotados pela
organização; e forma e extensão das relações contratuais. (Fonte: ISO 31000:2009)
Controle: Medida que está modificando o risco. Nota 1: Os controles incluem qualquer
processo, política, dispositivo, prática ou outras ações que modificam o risco. Nota 2:
Os controles nem sempre conseguem exercer o efeito de modificação pretendido ou
presumido. (Fonte: ISO 31000:2009)
Critérios de risco: Termos de referência contra os quais a significância de um risco

é avaliada. Nota 1: Os critérios de risco são baseados nos objetivos organizacionais
69
e no contexto externo e contexto interno. Nota 2: Os critérios de risco podem ser
derivados de normas, leis, políticas e outros requisitos. (Fonte: ISO 31000:2009)
Criticidade: Resultado da probabilidade e o impacto de um risco. (Fonte: autores)
Estabelecimento do contexto: Definição dos parâmetros externos e internos a

serem levados em consideração ao gerenciar riscos, e estabelecimento do escopo e
dos critérios de risco para a política de gestão de riscos. (Fonte: ISO 31000:2009)
Estrutura da gestão de riscos: Conjunto de componentes que fornecem os

fundamentos e os arranjos organizacionais para a concepção, implementação,
monitoramento, análise crítica e melhoria contínua da gestão de riscos através de toda
a organização. Nota 1: Os fundamentos incluem a política, objetivos, mandatos e
comprometimento para gerenciar riscos. Nota 2: Os arranjos organizacionais incluem
planos, relacionamentos, responsabilidades, recursos, processos e atividades. Nota
3: A estrutura da gestão de riscos está incorporada no âmbito das políticas e práticas
estratégicas e operacionais de toda a organização. (Fonte: ISO 31000:2009)
Evento: Ocorrência ou mudança em um conjunto específico de circunstâncias. Nota

1: Um evento pode consistir em uma ou mais ocorrências e pode ter várias causas.
Nota 2: Um evento pode consistir em alguma coisa não acontecer. Nota 3: Um evento
pode algumas vezes ser referido como um "incidente" ou um "acidente". Nota 4: Um
evento sem consequências também pode ser referido como um "quase acidente", ou
um "incidente" ou "por um triz". (Fonte: ISO 31000:2009)
Fonte de risco: elemento que, individualmente ou combinado, tem o potencial

intrínseco para dar origem ao risco. Nota: Uma fonte de risco pode ser tangível ou
intangível. (Fonte: ISO 31000:2009)
Gestão de riscos: Atividades coordenadas para dirigir e controlar uma organização

no que se refere a riscos. (Fonte: ISO 31000:2009)
Grupo Técnico de Apoio à Gestão de Riscos: Incumbe ao GTAGR apoiar o CRC

na implantação do processo de gerenciamento de riscos e na orientação dos gestores
70
de riscos para o desempenho de suas atribuições. (Fonte: Regimento Interno do
CRC).
Identificação de riscos: Processo de busca, reconhecimento e descrição de riscos.

Nota 1: A identificação de riscos envolve a identificação das fontes de risco, eventos
suas causas e suas consequências potenciais. Nota 2: A identificação de riscos pode
envolver dados históricos, análises teóricas, opiniões de pessoas informadas e
especialistas, e as necessidades das partes interessadas. (Fonte: ISO 31000:2009)
Monitoramento: Verificação, supervisão, observação crítica ou identificação da

situação, executadas de forma contínua, a fim de identificar mudanças no nível de
desempenho requerido ou esperado. Nota: O monitoramento pode ser aplicado à
estrutura da gestão de riscos, ao processo de gestão de riscos, ao risco ou ao controle.
(Fonte: ISO 31000:2009)
Nível de risco: Magnitude de um risco ou combinação de riscos, expressa em termos

da combinação das consequências e de suas probabilidades. (Fonte: ISO
31000:2009)
Parte interessada: Pessoa ou organização que pode afetar, ser afetada, ou

perceber–se afetada por uma decisão ou atividade. Nota: Um tomador de decisão
pode ser uma parte interessada. (Fonte: ISO 31000:2009)
Perfil de risco: Descrição de um conjunto qualquer de riscos. Nota: O conjunto de

riscos pode conter riscos que dizem respeito a toda a organização, parte da
organização, ou referente ao qual tiver sido definido. (Fonte: ISO 31000:2009)
Plano de gestão de riscos: Esquema dentro da estrutura da gestão de riscos, que

especifica a abordagem, os componentes de gestão e os recursos a serem aplicados
para gerenciar riscos. Nota 1: Os componentes de gestão tipicamente incluem
procedimentos, práticas, atribuição de responsabilidades, sequência e cronologia das
atividades. Nota 2: O plano de gestão de riscos pode ser aplicado a um determinado
produto, processo e projeto, em parte ou em toda a organização. (Fonte: ISO
31000:2009)
71
Política de gestão de riscos: Declaração das intenções e diretrizes gerais de uma
organização relacionadas à gestão de riscos. (Fonte: ISO 31000:2009)
Probabilidade: Chance de algo acontecer. Nota 1: Na terminologia de gestão de

riscos, a palavra ”probabilidade" é utilizada para referir-se à chance de algo acontecer,
não importando se definida, medida ou determinada objetiva ou subjetivamente,
qualitativa ou quantitativamente, ou se descrita utilizando-se termos gerais ou
matemáticos (tal como probabilidade ou frequência durante um determinado período
de tempo). Nota 2: O termo em Inglês "likelihood" não tem um equivalente direto em
algumas línguas; em vez disso, o equivalente do termo "probability" é frequentemente
utilizado. Entretanto, em Inglês, "probability" é muitas vezes interpretado estritamente
como uma expressão matemática. Portanto, na terminologia de gestão de riscos,
”likelihood" é utilizado com a mesma ampla interpretação de que o termo "probability"
tem em muitos outros idiomas além do inglês. (Fonte: ISO 31000:2009)
Processo de avaliação de riscos: Processo global de identificação de riscos, análise

de riscos e avaliação de riscos. (Fonte: ISO 31000:2009)
Processo de gestão de riscos: Aplicação sistemática de políticas, procedimentos e

práticas de gestão para as atividades de comunicação, consulta, estabelecimento do
contexto, e na identificação, análise, avaliação, tratamento, monitoramento e análise
crítica dos riscos. (Fonte: ISO 31000:2009)
Proprietário do risco: Pessoa ou entidade com a responsabilidade e a autoridade

para gerenciar um risco. (Fonte: ISO 31000:2009)
Risco residual: Risco remanescente após o tratamento do risco. Nota 1: O risco

residual pode conter riscos não identificados. Nota 2: O risco residual também pode
ser conhecido como "risco retido". (Fonte: ISO 31000:2009)
Risco: Efeito da incerteza nos objetivos. Nota 1: Um efeito é um desvio em relação

ao esperado = positivo e/ou negativo. Nota 2: Os objetivos podem ter diferentes
aspectos (tais como metas financeiras, de saúde e segurança e ambientais) e podem
72
aplicar–se em diferentes níveis (tais como estratégico, em toda a organização, de
projeto, de produto e de processo). Nota 3: O risco é muitas vezes caracterizado pela
referência aos eventos potenciais e às consequências, ou uma combinação destes.
Nota 4: O risco é muitas vezes expresso em termos de uma combinação de
consequências de um evento (incluindo mudanças nas circunstâncias) e a
probabilidade de ocorrência associada. Nota 5: A incerteza é o estado, mesmo que
parcial, da deficiência das informações relacionadas a um evento, sua compreensão,
seu conhecimento, sua consequência ou sua probabilidade. (Fonte: ISO 31000:2009)
Superintendência de Comunicação e Relações Institucionais: UORG da ANEEL

responsável pela gestão da imagem institucional. A SCR coordena os projetos e as
campanhas de comunicação social da Agência com foco em seus públicos de
interesse.
SWOT (Strengths, Weaknesses, Opportunities e Threats): Em português: Forças,

Ameaças, Oportunidades e Fraquezas. Trata-se de uma análise para posicionar ou
verificar a posição estratégica da empresa no ambiente em questão. (Fonte: Autores)
Tolerância a Riscos: A variação aceitável relativa à realização de um objetivo. (Fonte:

COSO ERM)
Tratamento de riscos: Processo para modificar o risco. Nota 1: O tratamento de risco

pode envolver: a ação de evitar o risco pela decisão de não iniciar ou descontinuar a
atividade que dá origem ao risco; assumir ou aumentar o risco, a fim de buscar uma
oportunidade; a remoção da fonte de risco; a alteração da probabilidade; a alteração
das consequências; o compartilhamento do risco com outra parte ou partes (incluindo
contratos e financiamento do risco); e a retenção do risco por uma escolha consciente.
Nota 2: Os tratamentos de riscos relativos às consequências negativas são muitas
vezes referidos como "mitigação de riscos", "eliminação de riscos", "prevenção de
riscos" e "redução de riscos". Nota 3: O tratamento de riscos pode criar novos riscos
ou modificar riscos existentes. (Fonte: ISO 31000:2009)
73
9. ANEXOS
 Anexo I – Registro de Evento
Trata-se de formulário a ser utilizado frente qualquer necessidade de registro, sejam

reuniões, treinamentos e afins.
 Anexo II – Plano de Comunicação de Gestão de Riscos
Trata-se de documento onde consta as ações planejadas de comunicação, podendo

ser treinamentos, endomarketing e afins.
 Anexo III – Contexto Estratégico
Trata-se do registro das informações obtidas na fase “2. Contexto Estratégico”.
 Anexo IV - Risco Assumido
Trata-se do registro e aprovação, conforme diretrizes, de Risco assumido.
 Anexo V - Plano de Resposta aos Riscos
Trata-se da consolidação das estratégias de tratamento dos riscos, dando visão global
aos envolvidos.
 Anexo VI – Relatório Executivo dos Indicadores de Riscos
Trata-se da consolidação dos indicadores de riscos, provendo publicidade aos dados.
74
ANEXO I - REGISTRO DE EVENTO
Tipo de Evento: Reunião / Treinamento / Responsável:

Acompanhamento
Data: Local:
Assunto:
Participantes:
Nome: Área:
Nome: Área:
Nome: Área:
Nome: Área:
Registros: Registrar assuntos abordados como: decisões e responsabilidade, constatações e

demais.
75
ANEXO II – PLANO DE COMUNICAÇÃO DE GESTÃO DE RISCOS
Data Descrição Responsável Público Alvo / Participantes Status
Data: Dia / Mês / Ano em que o evento deve ocorrer;
Descrição: Detalhamento do evento;
Responsável: Pessoa que conduzirá o evento;
Público Alvo / Participantes: Pessoas /Público que o evento deve atingir;
Status: Evento “Previsto”, “Em execução” e “Finalizado”.
76
ANEXO III – CONTEXTO ESTRATÉGICO
Contexto Interno e Externo: Registros dos principais pontos do Contexto Interno e Externo,
considerando:
Interno: Missão, Visão, Valores, Política de Gestão de Riscos, Fraquezas e demais informações
relevantes a serem consideradas.
Externo: Ambiente que a agência está inserida, ameaças e demais informações relevantes a serem
consideradas.
Objetivos Estratégicos: Registros dos objetivos estratégicos da Agência.
Cadeia de Valor: Registro da cadeia de valor da Agência, incluindo Fatores Críticos de Sucesso
e Áreas estratégicas/críticas para que os objetivos estratégicos sejam alcançados.
77
ANEXO IV - RISCO ASSUMIDO
Este documento tem por objetivo reportar e documentar a aceitação de Risco no quadrante
vermelho ou laranja, sem o estabelecimento de Plano de Ação - Risco Assumido.
Departamento
Responsável
Cargo
Visão Geral sobre o Risco
Risco
Descrição do Risco
Probabilidade:
Nível do Risco Impacto:
Quadrante:
Situação Atual
Controle
Mitigatório
Comentários
Responsável: Data: Consensado por: Data:

Visto dd/mm/aaaa Visto dd/mm/aaaa
78
ANEXO V - Plano de Resposta aos Riscos
Este documento tem por objetivo definir a estratégia de tratamento dos riscos. Deve ser elaborado a cada novo ciclo do Processo
de Gestão de Riscos, bem como em suas revisões, quando forem identificadas mudanças significativas, ou em caso de outras
necessidades.
Objetivo e/ou Iniciativa

Risco Descrição Gestor do Risco Estratégia de Tratamento
Estratégica relacionada
79
ANEXO VI – RELATÓRIO EXECUTIVO DOS
INDICADORES DE RISCOS
Processo
Responsável
Facilitador
Data
Este documento tem por objetivo prover a publicidade dos indicadores de riscos.
 Criticidade dos Riscos Inerentes e Residuais
Justificativas:
 Criticidade de fatores de riscos
Justificativas:
 Planos de Ação
Justificativas:
80

Manual Riscos Processos

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Manual Riscos Processos

Enviado por

Direitos autorais:

Formatos disponíveis

Manual de Gestão de

Metodologia de Gestão de Riscos da ANEEL

Brasília, 02 de maio de 2018

Alessandro D´Afonseca Cantarino (SFG) Macroprocesso de Fiscalização e

Alex Sandro Feil (SCR)

André Ramon (GDG)

Christiano Vieira da Silva (SRG)

Francisco José Pereira da Silva (SAF)

Ivo Sechi Nazareno (SCT)

Júlio César Rezende Ferraz (SRM)

Grupo Técnico de Apoio à Gestão de Riscos - GTAGR

Catarina Finazzi Postigo (SCR) Macroprocesso de Relações com a Sociedade

Fábio Araujo Cruz(SGI) Macroprocesso de Planejamento

Luiz Fernando Troncoso C. Marques (SCG) Macroprocesso de Outorgas

Ricardo Martins (SGT) Macroprocesso de Regulação Econômica

Pedro Mello Lombardi (SRD) Macroprocesso de Regulação Técnica

Vera Lúcia Barrela Ávila (SFF) Macroprocesso de Fiscalização

Vinicius Magela Venturim B. da Silva (GDG) Macroprocesso de Assessoramento

1. OBJETIVO DO DOCUMENTO ....................................................................................... 4

3. REFERÊNCIAS TÉCNICAS E MELHORES PRÁTICAS................................................ 4

4. CONTEXTUALIZAÇÃO SOBRE GERENCIAMENTO DE RISCOS CORPORATIVOS .. 5

5. APETITE AO RISCO ...................................................................................................... 7

6. DESCRIÇÃO DA METODOLOGIA ................................................................................ 9

Este documento visa estabelecer o Manual de Gestão de Riscos Corporativos da

Servidores e contratados que colaboram para o cumprimento dos objetivos da ANEEL.

3. REFERÊNCIAS TÉCNICAS E MELHORES PRÁTICAS

Foram utilizados como referência teórica os seguintes documentos:

 COSO II. ERM - Enterprise Risk Management, 2004;

Com vistas ao cumprimento da Iniciativa Estratégica 15.2.4 – Implementar a Gestão

Dentro do contexto acima, ocorreu a necessidade de desenvolver e implantar um

As incertezas permeiam a estratégia, os processos, as atividades e as áreas de

A Gestão de Riscos Corporativos é primordial para que a organização tenha maiores

Visando estabelecer a Gestão de Riscos Corporativos no âmbito da ANEEL, foi

• Ao estabelecer o contexto, a organização articula

• Na fase de identificação de riscos em processos, é

• A análise e avaliação de riscos inerentes visa

• Entende-se por risco residual a análise e avaliação

• Realizada a identificação, análise e avaliação dos

• Os indicadores são elaborados para que os

5.1 Alinhar o apetite a risco e a estratégia da ANEEL

A administração da ANEEL deve considerar em primeiro lugar o apetite a risco, ao

Abaixo a Matriz de Riscos da ANEEL e os respectivos níveis de apetite, tolerância e

i. Apetite ao Risco: Trata-se de quadrantes cuja criticidade é aceita pela ANEEL,

iii. Capacidade de Risco: Trata-se de quadrantes cuja criticidade é extrema,

A Capacidade de Risco foi definida levando-se em consideração riscos cujo Impacto

A Tolerância a Risco foi definida levando-se em consideração Riscos com

O Apetite ao Risco foi definido levando-se em consideração duas premissas: Riscos

6.1 Fases do Manual de Gestão de Riscos Corporativos

O Manual de Gestão de Riscos Corporativos da ANEEL possui como base a estrutura

O Manual de Gestão de Riscos Corporativos da ANEEL é composto de sete fases,

Figura 2: Framework do Manual de Gestão de Riscos da ANEEL

6.2 Descrição das Fases do Manual de Gestão de Riscos Corporativos

Fase 1. Comunicação e Consulta

A comunicação deve acompanhar todas as fases do Manual de Gestão de Riscos. É

O plano de comunicação e consulta deve abordar questões relacionadas com o risco

É importante que a comunicação e consulta interna e externa sejam realizadas a fim

As informações colhidas por meio da consulta embasam e orientam as partes no

Uma abordagem da equipe consultiva pode:

 Auxiliar a estabelecer o contexto apropriadamente;

Figura 3: Fluxograma - Comunicação e Consulta

1.1 Contextualização da Política e da Gestão de Riscos

1.3 Execução do Plano de Comunicação e Consulta

1.4 Acompanhamento do plano de comunicação e consulta

Fases (etapas) de inter-relacionadas