RELATÓRIOS DE PESQUISA EM ENGENHARIA DE PRODUÇÃO v.14, n.A13, p.

159-172

ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS

COM BASE NA ISO 31000: APLICAÇÃO NUMA EMPRESA DE ENERGIA

Renata de Oliveira Ferreira

Eletrobras
ferreira_re@yahoo.com.br

Gilson Brito Alves Lima

Universidade Federal Fluminense
glima@id.uff.br

Gabriela Franco dos Santos Vasconcelos Maciel

Universidade Federal Fluminense
gabrielafranco@id.uff.br

Antônio João Queiroz Lima

Eletrobras
ajqlima@eletrobras.com

Resumo
A gestão de riscos vem se tornando uma importante aliada para que as organizações sobrevivam no
ambiente corporativo, que é dinâmico e competitivo. Assim, o objetivo deste artigo é analisar a
implantação do processo de gestão de riscos numa empresa de energia a partir do modelo proposto pela
norma ISO 31000. O processo metodológico consistiu em analisar o modelo apresentado na ISO 31000 e
a implantação do processo de gestão de riscos na empresa, além de investigar o gap entre eles através de
uma análise crítica dos resultados. Concluiu-se que a norma carece de orientações para que o seu modelo
seja aplicado e que existem diferenças entre o processo metodológico de gestão de riscos adotado pela
empresa e a orientação teórica indicada pela referida norma. A partir da pesquisa realizada, foi possível
propor ferramentas para auxiliar a implantação do processo de gestão de riscos.
Palavras-chave: Gestão de riscos, ISO 31000, empresa de energia

Artigo submetido em 2/6/2014. Versão final recebida em 15/7/2014. Publicado em 16/7/2014.

ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000

1. Introdução
O elevado dinamismo dos sistemas globais exige práticas de gestão capazes de manter
a existência das organizações no mercado. Nesse sentido, diversos foram os modelos que
surgiram visando auxiliar as empresas a alcançarem o sucesso. Alguns basear basearam-se no
desenvolvimento de vantagens competitivas
comp (PORTER, 1989), outros, em sistemas de medição
de indicadores de desempenho (KAPLAN e NORTON, 1997), e há ainda os roteiros para a
construção de um planejamento estratégico capaz de direcionar os rumos da empresa
(MINTZBERG, 2006).
Com isso, destaca-se
se o desenvolvimento da gestão de riscos corporativos, um campo de
estudo focado em identificar, analisar,
analisar avaliar e tratar os riscos capazes de dificultar,
dificultar ou ajudar,
as organizações a atingirem os seus objetivos.
objetivos Segundo Almeida e Sant’Anna (2009), a
consciência dos riscos incorridos, a capacidade de administrá-los
administrá los e a capacidade de tomar
decisões
es são elementos chaves para a boa gestão de uma empresa.
À medida que a abrangência e a relevância do tema foram percebidas e valorizadas,
surgiram normas e práticas
ráticas reconhecidas no mercado direcionadas a vários tipos de
organizações. Uma delas, a ISO 31000, é um modelo utilizado por organizações que pretendem
reduzir sua exposição aos riscos (FERREIRA, 2013).
Este artigo tem por objetivo analisar a implantação do processo de gestão de riscos
numa empresa de energia a partir do modelo proposto pela norma ISO 31000,
31000, identificando os
gaps entre o modelo teórico da norma e aquele utilizado pela empresa.
empresa
A estrutura do artigo é composta por cinco partes. A primeira parte traz uma revisão
dos conceitos de gestão de riscos mais
ma relevantes. Na segunda, é apresentada a abordagem
metodológica
odológica utilizada para o desenvolvimento do estudo.
estudo Já na terceira, apresenta--se o caso de
implantação do processo de gestão de riscos na empresa. Na quarta parte, realiza-sese a análise e
discussão
ssão dos resultados a partir da comparação entre o modelo da ISO 31000 e o modelo
implantado na empresa. Naa quinta parte, são apresentadas as conclusões
onclusões da pesquisa
pesquisa.
2. Contextualização dos modelos de gestão de riscos
A gestão de riscos é um processo interativo que deve estar integrado ao planejamento
estratégico da empresa (ALMEIDA e SANT’ANNA, 2009). 2009)
Diversos são os modelos de gestão de riscos propostos por instituições espalhadas por
todo o mundo,, sendo que cada uma delas possui um entendimento particular do conceito de
risco. A Tabela 1 cita alguns desses
desse modelos com suas respectivas instituições e entendimentos
de risco.
Tabela 1 - Modelos de gestão de riscos existentes e seus entendimentos de risco

Fonte: adaptado de Ferreira (2013)

160
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000

No contexto nacional, a Associação Brasileira de Normas Técnicas (ABNT), com o

intuito de uniformizar
zar conceitos relativos a risco abordados em normas e publicações
anteriores, lançou em novembro de 2009 uma versão da norma ISO 31000: Risk Management –
Principles and guidelines,, cujo modelo foi selecionado como referência para a elaboração deste
artigo por, além de ser abrangente
abrangente em sua sistemática de implantação, permitir avanços nos
estudos de sua aplicação.
De acordo com Ferreira (2013), a norma NBR ISO 31000 define em seuu escopo que ela
pode ser usada por qualquer empresa pública, privada ou comunitária, associação, grupo ou
indivíduo, para qualquer tipo de risco, independentemente de sua natureza, quer tenha
consequências positivas ou negativas. No entanto, essa
ssa norma não deve ser usada com fins de
certificação e tem por objetivo apoiar outras normas que tratem de riscos e/ou setores
específicos, e não substituí-las,
las, servindo também de guia para programas de auditoria interna e
externa.
A gestão de riscos proposta pela ISO 31000 inclui princípios,
princípios, estrutura e processo para
gerenciar riscos eficazmente. Esses três itens e o relacionamento entre eles são apresentados na
Figura 1.
Figura 1- Relacionamento entre os princípios da gestão de riscos, estrutura e processo

Fonte: adaptado da ISO 31000 (ABNT, 2009)

A norma em questão sugere que, que para a gestão de riscos ser eficaz, os princípios, a
estrutura e o processo presentes na Figura 1 devem ser atendidos. A fim de identificar, analisar,
avaliar e tratar os riscos que podem vir a dificultar as atividades da empresa, esta precisa criar
mecanismos para combater as suas causas, minimizar os seus efeitos ou até mesmo admitir a
sua existência e aprender a conviver com eles (MACIEL, 2013).
A seguir, são detalhadas cada uma das etapas do processo de gestão de riscos proposto
pela ISO 31000:

a) Comunicação e consulta
Segundo a norma, essa etapa deve acontecer simultaneamente a todas as outras etapas
do processo de gestão de riscos. Os planos de comunicação e consulta devem abordar
abordar questões
relacionadas aoo risco propriamente dito, suas causas, suas consequências,
consequências, se conhecidas, e as
medidas que estão sendo tomadas para tratá-los.
tratá
A ISO 31000 afirma que uma comunicação e consulta eficazes devem assegurar que os
responsáveis pela implantação do processo de gestão de riscos e as partes interessadas
161
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000

compreendam os fundamentos sobre os quais as decisões são tomadas e as razões pelas quais
ações específicas são requeridas.
Conforme Dias et al (2011), esta etapa deve descrever como as pessoas envolvidas no
processo de gerenciamento de riscos devem se comunicar e trabalhar em cada etapa do projeto.

b) Estabelecimento do contexto
Segundo a ISO 31000, a organização, ao estabelecer um contexto, articula seus
objetivos, define os parâmetros externos e internos a serem levados em consideração ao
gerenciar riscos, e estabelece o escopo e os critérios de risco para o restante do processo. Além
disso, convém que a organização, durante esta etapa, defina os critérios a serem utilizados para
avaliar a significância dos riscos.
Purdy (2010) afirma que nesta etapa a organização deve definir os objetivos que
pretende alcançar e quais os fatores externos e internos que podem influenciar esta busca. Já
Dias et al (2011) dizem que nesta etapa deve-se definir se os objetivos do projeto são técnicos,
financeiros ou sociais, além de descrever o método de trabalho com relação ao tempo e espaço,
e os stakeholders internos e externos.

c) Avaliação de riscos
A ISO 31000 define o macro processo de avaliação de riscos como aquele que engloba
as etapas de identificação, análise e avaliação de riscos.
A identificação de riscos tem por finalidade gerar uma lista abrangente de riscos
baseada em eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização
dos objetivos. Deve-se atentar para que todos os riscos sejam incluídos, pois um risco não
identificado nesta fase não será incluído em análises posteriores.
Já a análise de riscos envolve a compreensão dos riscos e a apreciação de suas
consequências e probabilidades. De acordo com as circunstâncias, a análise pode ser
qualitativa, semiqualitativa ou quantitativa, ou uma combinação destas.
Quanto à avaliação de riscos, a ISO 31000 afirma que nessa etapa ocorre a comparação
entre o nível de risco encontrado durante o processo anterior e os critérios de risco
estabelecidos. Com base nesta comparação, a necessidade e a prioridade de tratamento podem
ser definidas.

d) Tratamento dos riscos

Essa etapa é composta por: avaliação do tratamento dos riscos já materializados;
decisão se os níveis de risco residual são toleráveis; implantação de um novo tratamento para
os riscos, caso esses níveis não sejam toleráveis; e avaliação da eficácia desse tratamento.
De acordo com a norma em questão, ao selecionar a opção mais desejável de
tratamento, a organização deve equilibrar, de um lado, os custos e os esforços de implantação e,
de outro, os benefícios decorrentes relativos a requisitos legais, regulatórios, de
responsabilidade social, de proteção do ambiente natural e outros.

e) Monitoramento e análise crítica

O monitoramento e a análise crítica devem ser contínuos, com atualização periódica ou
em resposta a um fato específico. Os resultados desse processo representam uma medida de
desempenho da gestão de riscos e devem ser comunicados apropriadamente.
162
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000

Moraes (2010) afirma que esta etapa deve ser conduzida pela alta administração por
meio de reuniões periódicas que analisem criticamente o desempenho do sistema
sistema de gestão de
riscos.

3. Abordagem metodológica
A partir do entendimento do modelo proposto pela ISO 31000 e da compreensão da
gestão de riscos implantada na empresa de energia,
energia compararam-se esses dois objetos a fim de
analisar as suas similaridades e diferenças.
A Figura 2 apresenta a sequência de passos dados ao longo do desenvolvimento desta
pesquisa.
Figura 2 - Processo metodológico aplicado

Fonte: os autores
O passo 1 daa Figura 2 consistiu na compreensão do processo de gestão de riscos
proposto pela norma ISO 31000, o que foi poss possível
ível através da leitura o documento NBR ISO
31000: Gestão de riscos, princípios e diretrizes (ABNT, 2009).
2009)
O passo 2 envolveu a coleta de informações sobre o processo de gestão de riscos
implantado na empresa em questão.
questão A coleta foi desenvolvida da seguinte forma:
• Instrumento de pesquisa
pesquisa: A pesquisa foi desenvolvida
olvida através de entrevistas orientadas
por questionários com perguntas abertas,
abertas cujo objetivo
jetivo foi compreender a impla
implantação
do processo de gestão de riscos na empresa. A fim de complementar as informações
obtidas nas entrevistas, lançou-se mão de comunicação por correio eletrônico.
• Amostra:: foram efetuadas 10 entrevistas presenciais com a gerência da áre área de Gestão
de Riscos da empresa.
• Período e processo de aplicação
aplicação: A pesquisa foi realizada durante período de 10 meses
meses,
através de rodadas sequenciadas buscando o aprofundamento do do nível de conhecimento
do processo.
• Ferramentas de análise:
análise: O conhecimento obtido foi compilado utilizando softwares
como o Excel e o Power Point e analisado a partir de gráficos, tabelas e fluxogramas,
melhor apresentados na análise e discussão de resultados.
O passo 3 consistiu em traçar um paralelo entre cada umas das etapas integrantes do
processo implantado na empresa e aquelas
as apresentadas pela ISO 31000, estabelecendo
estabelecendo-se os
pontos comuns e os que se diferenciava
diferenciavam.

163
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000

Já no passo 4 foram analisadas as comparações realizadas

rea no passo 3 e foram
oram propostas
ferramentas encontradas na literatura com o intuito de facilitar a implantação das etapas de
“Comunicação e consulta” e “Estabelecimento do contexto”.

4. A implantação da NBR ISO 31000 na empresa de energia

Em 2008, a empresa, por meio do seu plano estratégico, criou um projeto específico
para implantar a gestão integrada de riscos,
riscos contratando uma consultoria para sugerir e
implantar um modelo dee gestão de riscos corporativos (FERREIRA, 2013).
No ano seguinte, e, foi criada uma estrutura organizacional de gestão de riscos e de
controles internos que incluiu um comitê de riscos permanente para cada subsidiária e um
comitê mais amplo com representantes de todas as subsidiárias (FERREIRA, 2013)). A Figura 3
ilustra a estrutura organizacional adotada.
Figura 3 – Estrutura de gestão de riscos adotada pela empresa

Fonte: adaptado de Ferreira (2013)

De acordo com Ferreira (2013),
(2013 a estrutura
utura criada é descentralizada a fim de permitir
maior eficiência das áreas de risco e melhor aproveitamento doo conhecimento detido pelos
proprietários dos riscos (risk owners). Por outro lado, esse modelo exige forte integração entre
risk owners).
as subsidiárias, pois cada uma delas implantou uma estrutura própria.
Segundo a proposição, a função de gestão de riscos deve ser orientada para a
identificação, tratamento e monitoramento dos riscos, associada ao uso de ferramentas e
processos para uma gestão eficiente dos riscos. Já a função de controles internos deve atu
atuar de
forma integrada com a área de gestão de riscos, área de documentação e desenho de processos,
gestores de negócio, fornecendo informações consolidadas para a Auditoria Interna e visando
possibilitar a obtenção de sinergia
rgia operacional, redução de retrabalhos,
re balhos, eficiência de ggestão de
controles da empresa.
Oss comitês devem ser responsáveis pelos aspectos estratégicos da gestão relacionados
às exposições relevantes da empresa, pela definição do perfil de risco da empresa e pela
priorização das ações a serem
em implementadas. Devem
Deve também funcionar como um fórum e
suas decisões devem ser submetidas à aprovação da Diretoria Executiva da empresa e, quando
necessário, à deliberação do Conselho de Administração da empresa.
Ainda
inda como parte do modelo, foi criado o Comitê Operacional de Riscos (Corisco),
composto por cada um dos gerentes da área de gestão de riscos das subsidiárias.. Esse comitê é
caracterizado por ter uma estrutura transversal e serve como um fórum para a discussão de
sugestões de ajustes em documentos
documentos e processos relacionados à gestão de riscos, além de ser
responsável pelo alinhamento das práticas e dos processos que envolvem a gestão de riscos
entre as subsidiárias.

164
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000

O modelo de gestão de riscos corporativos implantado na empresa foi desenvolvido ao

longo de dois anos (2010 a 2012) e seguiu uma metodologia comparável ao proposto pela
norma ISO 31000.
O processo de implantação de gestão de riscos iniciou-se pela etapa de comunicação e
consulta. A Tabela 2 apresenta o Plano
P de Comunicação desenvolvido.
Tabela 2 – Plano de Comunicação da empresa

Fonte: adaptado de Ferreira (2013)

165
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000

O Plano de Comunicação buscou definir o tipo de informação que cada público deve
oferecer, com que periodicidade e qual o meio que deve ser utilizado.
A segunda etapa, que trata do estabelecimento do contexto, foi desenvolvida com a
utilização da metodologia “modelo-maturidade”. Segundo Rocha e Vasconcelos (2004), esse
modelo fornece aos gestores das organizações um poderoso instrumento para determinar em
que estágio de maturidade a empresa se encontra e, assim, planejar as ações necessárias para a
empresa progredir em direção a uma maturidade superior e, por consequência, alcançar os
objetivos desejados.
Essa metodologia foi aplicada por meio de duas técnicas: entrevistas presenciais e
questionários eletrônicos. A primeira técnica foi aplicada a cinco diretores executivos da
empresa. Já a segunda, foi aplicada aos assessores, chefes de departamento, chefes de divisão e
especialistas da empresa.
As duas técnicas foram estruturadas por meio de perguntas relacionadas às práticas de
gestão de riscos na empresa, as quais são divididas em três pilares com cinco dimensões cada,
conforme mostrado na Tabela 3.

Tabela 3 - Pilares e dimensões utilizados no modelo-maturidade

Governança
Alta administração e corpo
diretivo
Estratégias e objetivos
Normas e procedimentos
Estrutural organizacional
Compliance
Pessoas Métodos e práticas
Identificação e avaliação de
Cultura e performance
riscos
Desenho, identificação e
Alinhamento e coordenação
avaliação de condutas
Desenho e eficiência dos
Competências e capacidades
processos
Cargos e responsabilidades Monitoramento e reporte
Comunicação Tecnologia

Fonte: adaptado de Ferreira (2013)

Para o questionário, os participantes responderam o quão aderente a empresa está em

relação a um modelo apresentado, utilizando como resposta o nível de escala mostrado na
Tabela 4.

Tabela 4 - Opções de respostas aos executivos que participaram do questionário

Escala Nível
1 Básico
2 Em desenvolvimento
3 Estabelecido
4 Avançado
5 Modelo
Fonte: adaptado de Ferreira (2013)

Ao final do processo de aplicação da metodologia “modelo-maturidade”, concluiu-se

que, quanto ao desenvolvimento de um processo de Gestão Integrada de Riscos (GIR), a
empresa encontra-se no nível “Em desenvolvimento”, escala 2 da Tabela 4.

166
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000

Com base no cenário atual, identificado de acordo com a maturidade definida pelos
executivos, e no cenário futuro, esperado pela companhia, foram concebidos planos de ação
necessários para a implantação de uma GIR.
A macro etapa de avaliação de riscos foi iniciada pela identificação
tificação dos riscos. A
Figura 4 mostra como foi conduzida esta etapa na empresa.
Figura 4- Processo de condução da identificação de riscos na empresa

Fonte: adaptado de Ferreira (2013)

A macro etapa de avaliação

valiação de riscos foi iniciada com a identificação dos riscos,
riscos
realizada a partir de uma lista genérica para o segmento de Utilities sugerida pela consultoria
contratada e composta de 104 riscos. Essa Essa lista foi avaliada através de discussões em
workshops com a participação das áreas de riscos das subsidiárias da empresa,, chegando, ao
final, num universo de 125 riscos, que, por fim, foram classificados nas categorias de riscos
propostas no manual do Coso.
Com base na lista final obtida, foi conduzida uma priorização dos riscos por meio de
três atividades que trouxeram os respectivos produtos descritos na Tabela 5.
5

Tabela 5 – Atividades para a condução da priorização de riscos na empresa

Atividade Produto
Entrevistas
vistas com a Diretoria Executiva e Conselho de
Lista de riscos prioritários
Administração da empresa
Mapa de Impacto vs
Aplicação de questionários com o corpo gerencial
Vulnerabilidade
Identificação dos temas de riscos considerados pelas
empresas pertencentes
entes ao E8 (grupo formado pelas 10 Lista de riscos prioritários
maiores empresas de energia elétrica em países do G8).

Fonte: adaptado de Ferreira (2013)

Com base nestaa sequência metodológica, a área de gestão de riscos em conjunto com o
Comitê de Riscos da empresa priorizou cinco riscos, cujo processo de avaliação foi entendido
como modelo-piloto,
piloto, de forma que pudesse
pudesse ser posteriormente aplicado aos demais riscos e às
à
demais subsidiárias
diárias da empresa.
empresa
Para cada um dos cinco riscos priorizados,
priori a empresa designou risk owner
owners das áreas
com responsabilidade
esponsabilidade e autoridade pelo gerenciamen
gerenciamento dos mesmos.. Na sequência
sequência, foi
realizado um trabalho conjunto entre o departamento de riscos da empresa e cada uma dos risk
owners, objetivando localizar os cinco riscos no mapa de impacto versus vulnerabilidade.
Para mensurar o impacto, cada risk owner preencheu uma planilha que solicitava
algumas informações
ormações financeiras relevantes ee, com o resultado da planilha, foi feita uma
classificação do impacto de acordo com o percentual da Receita Operacional Líquida (ROL).
Já o mapeamento da vulnerabilidade foi feito com base na medição da situação dos
controles. Primeiramente,
iramente, a área de riscos
risco listou as possíveis causas e consequências no caso de

167
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000

haver a ocorrência dos riscos. Em seguida, os risk owners identificaram os fatores de riscos
aplicáveis e, em seguida, a área de riscos e os risk owners criaram juntos uma lista com os
controles necessários para o risco analisado.
Como última atividade, foi definida uma classificação de vulnerabilidade, em função
do desempenho dos controles implementados. Se o desempenho estiver adequado, a
vulnerabilidade tende a zero.
Para a etapa de tratamento de riscos foram desenvolvidos planos de tratamento com o
objetivo de reduzir a vulnerabilidade e/ou o impacto que os cinco eventos de risco tratados
expõem a empresa. Esta etapa está em implantação através da transformação destes planos em
projetos que tragam resultado de redução do nível de exposição da empresa.
A etapa de monitoramento e análise crítica, última do processo de gestão de riscos,
também encontra-se na fase de implantação. Buscar-se-á planejar os indicadores para
acompanhar a evolução da empresa com relação aos riscos identificados.

5. Análise e discussão dos resultados

Na etapa de comunicação e consulta implantada na empresa, a mobilização por meio de
comitês seguiu a proposta defendida por Beer, Eisentat e Spector (1990). Estes autores
propõem que os representantes dos comitês compartilhem os problemas e os métodos de
solução vivenciados na unidade em que trabalham para que os demais participantes possam
levar esse conhecimento para sua unidade, contribuindo assim, para a mudança desejada e, ao
mesmo tempo, para o alinhamento das tarefas na organização.
Com relação à identificação dos stakeholders, verificou-se que os públicos de interesse
prioritários são: Conselhos de Administração, Diretoria Executiva, Comitês de riscos, Corisco,
gerências de riscos, gerência de controles internos e áreas proprietárias de riscos. Além disso,
os acionistas foram o único público de interesse externo citado no plano de comunicação. A
ausência de identificação explícita do stakeholder governo, por exemplo, enquanto público
prioritário, pode não permitir uma identificação de pontos fracos e ameaças potenciais à
organização.
Analisando-se o processo de gestão de riscos implantado na empresa, também não foi
observada a existência de um plano de comunicação formal que seguisse grande parte das
sugestões da ISO 31000. A norma propõe que sejam abordadas questões relacionadas ao risco e
que as partes interessadas compreendam os fundamentos sobre as decisões tomadas e sobre as
ações requeridas. O plano de comunicação do caso estudado limitou-se a endereçar as
informações ao público adequado, não abordando sugestões da norma, como questões
relacionadas ao risco e a compreensão, pelas partes interessadas, dos fundamentos sobre as
decisões tomadas e sobre as ações requeridas. Conforme detalhado em Ferreira et al (2013),
sugere-se a adoção da ferramenta “círculo de stakeholder” proposta por Bourne (2010) como
uma metodologia de priorização de stakeholders de acordo com a classificação da influência,
poder, proximidade e urgência.
Na análise da etapa de estabelecimento do contexto, verificou-se que as principais
atividades executadas foram a de identificação do cenário atual e a de elaboração de um plano
de ação. Além disso, destacam-se os parâmetros fatores-chave tendências e requisitos técnicos
e legais citados pela norma, os quais têm aderência peculiar ao setor elétrico brasileiro, já que
este vem passando por mudanças regulatórias desde o início da década de 90. As frequentes
alterações no modelo de regulação trazem dúvidas quanto às expectativas de retorno dos
investimentos e tornam a questão regulatória bastante relevante para as organizações
pertencentes a esse setor.

168
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000

Tendo em vista a contextualização deste ambiente, no qual as questões regulatórias

estão em processo de consolidação e existe forte intervenção do governo brasileiro no modelo
de funcionamento do setor, destaca-se a governança corporativa, um dos pilares abordados na
metodologia modelo-maturidade aplicada na empresa e citado na etapa de estabelecimento do
contexto da norma. Este é tema-chave para a empresa, já que é uma organização que tem a
União como acionista majoritária.
Destaca-se que o trabalho de compreensão do ambiente interno e externo realizado na
empresa, por meio da aplicação da metodologia modelo-maturidade, foi detalhado e completo.
Porém, a norma propõe que, na etapa de estabelecimento do contexto, a empresa também
definisse, metas e objetivos, responsabilidades, escopo e metodologia relacionados ao processo
de gestão de riscos. Essas ações não foram realizadas no estabelecimento do contexto da
empresa.
De uma maneira geral, percebeu-se uma dificuldade da ISO 31000 em definir quais
atividades e métodos devem ser realizadas em cada etapa do macro processo avaliação de
riscos. Aven (2012) e Leitch (2010) também destacaram isto.
Leitch (2010) destaca que um mesmo risco pode ser registrado e analisado de diversas
formas, além de poder ser dividido ou agregado em diversas partes. Nesse sentido, pode-se
inferir que a lista genérica dos 104 riscos foi um direcionador do processo, porém, mostrou
certa dificuldade da organização em mapear os riscos e obter um conjunto de riscos aplicáveis à
empresa. Por outro lado, a ISO 31000 não define uma regra e deixa a decisão para o gestor de
riscos da organização, o que, para o autor, é indesejável.
Na etapa de análise dos riscos, foi feita a priorização daqueles identificados
anteriormente. A priorização foi feita por meio de métodos qualitativos: entrevistas com a
Diretoria e o Conselho de Administração da empresa e pesquisa dos temas de riscos
considerados pelas empresas pertencentes ao E8. Chegou-se, então, a cinco riscos priorizados.
A ISO 31000 não define se a análise de riscos deve ser um processo qualitativo,
quantitativo ou semiquantitativo. A norma afirma que esta etapa pode ser realizada em diversos
graus de detalhe e que esta definição depende do risco, da finalidade da análise e das
informações e recursos disponíveis. O uso de uma abordagem qualitativa ou quantitativa foi
citado pelos autores Moraes (2010), Ribeiro (2007) e Aven (2012).
Na etapa de avaliação de riscos, os cinco riscos priorizados foram mensurados através
dos critérios de impacto e vulnerabilidade. O primeiro critério foi avaliado por meio do
potencial de impacto do risco estudado comparado com a ROL (Receita Operacional Líquida)
da empresa, enquanto que a vulnerabilidade foi classificada através da quantidade de controles
relacionados ao risco estudado, que estão implementados.
De uma forma geral, para a macro etapa de avaliação de riscos percebe-se uma
dificuldade em definir quais atividades devem ser feitas em cada etapa da ISO 31000 (AVEN,
2012). Existem incertezas quanto ao momento em que se devem buscar as probabilidades,
fontes, consequências e impactos. Não existe, segundo Aven (2012), uma definição dos
métodos científicos e os campos (áreas) a serem utilizados na análise e na avaliação dos riscos.
Além disso, foi possível observar diferenças entre o sugerido pela norma e o que foi
aplicado na empresa quanto às etapas de análise e avaliação. A ISO 31000 indica a
determinação do nível de cada evento de risco identificado, para somente depois, no processo
de avaliação de riscos, ser feita priorização e tomada de decisões. Na empresa, a avaliação de
riscos mensurou apenas os cinco riscos priorizados na etapa de análise de riscos.
Na etapa de tratamento de riscos, foram desenvolvidos planos de tratamento com o
objetivo de reduzir a vulnerabilidade e o impacto que o evento de risco tratado expõe a
empresa. Esta etapa, no entanto, está em processo de implantação.

169
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000

Discorrendo sobre a etapa de tratamento de riscos, Leitch (2010), percebe uma

inconsistência no proposto pela ISO 31000. Para o autor, ao mesmo tempo em que a norma
sugere que a decisão pelo tratamento de riscos deve ser feita por meio da comparação do
critério de risco (decisão pelo nível aceitável ou não) com o nível obtido em cada risco, a
norma sugere também que a decisão pelo tratamento deve considerar os custos e os esforços de
implantação.
A etapa de monitoramento e análise crítica está em implantação na empresa estudada e
a mesma deverá basear-se na medição de indicadores. Segundo a ISO 31000, esta é uma etapa
contínua que deve ocorrer em paralelo com as demais, sendo que ela deve ocorrer
periodicamente ou em resposta a um fato específico.

6. Conclusões
A partir da compreensão dos conceitos apresentados pela norma ISO 31000, foi
possível identificar pontos críticos no processo de implantação da gestão de riscos corporativos.
Vale destacar as indefinições metodológicas referentes às ações e às ferramentas a serem
utilizadas ao longo do processo proposto pela norma. Tal indefinição pode ser justificada pelo
fato de a ISO 31000 ser um documento abrangente. Além disso, a norma não tem fins de
certificação, o que a caracteriza apenas como um documento direcionador de etapas, definindo
o que fazer e não como fazer.
Outro fator a ser destacado é a dificuldade de colocar em prática a macro etapa de
avaliação de riscos (identificação, análise e avaliação dos riscos). Ações como identificação de
fontes, causas e consequências dos riscos, além da priorização dos eventos de riscos, não estão
claramente definidas na norma e, portanto, causam dúvidas quanto à ordem e à necessidade de
aplicação.
Com relação às ferramentas, esta pesquisa identificou uma indefinição sobre quais
métodos aplicar em cada etapa do processo de gestão de riscos proposto pela ISO 31000. Este
trabalho sugere o “círculo de stakeholder” (BOURNE, 2010) como ferramenta a ser utilizada
na etapa de comunicação e consulta. Além deste, o “modelo-maturidade”, método aplicado pela
empresa, é sugerido para o estabelecimento do contexto de riscos numa organização. Por fim, a
mensuração, por meio do mapa impacto e vulnerabilidade, de acordo com critérios
estabelecidos pela empresa, também representa um método para a construção de uma
abordagem quantitativa na etapa de avaliação de riscos.
Com isso, apesar de se ter percebido uma aderência entre o modelo proposto pela
norma e a aplicação do processo gestão de riscos na empresa, vale ressaltar a diferença entre os
dois objetos no que diz respeito a alguns aspectos relacionados às etapas de análise e avaliação
de riscos. Após identificar os riscos, a empresa decidiu, por meio de uma análise qualitativa,
priorizar cinco riscos e somente depois mensurar quantitativamente o nível de exposição da
empresa quanto à vulnerabilidade e impacto. A ISO 31000 afirma que a análise de riscos pode
ser realizada em diversos graus de detalhe e que a aplicação de métodos quantitativos nesta
etapa é opcional, porém, a norma indica a determinação do nível de cada evento de riscos
identificado, para somente depois, no processo de avaliação de riscos, ser feita priorização e
tomada de decisões.

Referências
ABNT - Associação Brasileira de Normas Técnicas. NBR ISO 31000: Gestão de riscos,
princípios e diretrizes. Rio de Janeiro, 2009.

170
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000

ALMEIDA, R. & SANT’ANNA, A. (2009). Composição probabilística na avaliação do risco

de operadoras de planos de assistência à saúde. Relatórios de pesquisa em Engenharia de
Produção da UFF, 9.

AVEN, T. (2012). Foundational Issues in Risk Assessment and Risk Management. EUA: Risk
Analysis, 32, 1647-1656.

BEER, M., EISENTAT, R. & SPECTOR, B. (1990). Why change programs don’t produce
change. Harvard Business Review, n. 90601, EUA.

BOURNE, L. Stakeholder relationship management: using the stakeholder engagement of

senior management. 7th Project Management National Benchmarking Forum, Rio de
Janeiro, 2010.

COSO - Committee of Sponsoring Organizations of the Treadway Commission.

Gerenciamento de Riscos Corporativos - Estrutura Integrada. Jersey City, EUA, 2007.

DIAS, S., GUEN, Y., POUPARD, O. & SHTIVELMAN, V. (2011). Risk assessment of
Mustang project experimental site – Methodological development. Amsterdã, Holanda, Energy
Procedia 4, 4109-4116.

FERREIRA, R. Análise do processo de gestão de riscos corporativos: uma abordagem a

partir da ISO 31000. Dissertação (Mestrado em Engenharia de Produção) – Universidade
Federal Fluminense (UFF). Niterói, 2013.

FERREIRA, R., LIMA, A., LIMA, G. & TREINTA, F. Contribuição do “Círculo de

Stakeholders” na etapa de Comunicação e Consulta da ISO 31000 em uma empresa do setor de
energia. In: Encontro Nacional de Engenharia de Produção – XXXIII ENEGEP. Salvador,
2013.

ISACA – Information Systems Audit and Control Association. Risk IT Framework for
Management of IT Related Business Risks. <http://www.isaca.org/Knowledge-Center/Risk-
IT-IT-RiskManagement/Pages/ Risk-IT1.aspx >. Acesso em 2 de junho de 2014.

KAPLAN, R. & NORTON, D. Balanced Scorecard – a estratégia em ação. Campus, São

Paulo, 1997.

LEITCH, M. (2010). ISO 31000:2009 - The New International Standard on Risk Management.
EUA: Risk Analysis, 30.

MACIEL, G. Proposta de modelo para suporte ao processo de avaliação de riscos

corporativos no contexto da norma ISO 31000. Projeto final (Graduação em Engenharia de
Produção) – Universidade Federal Fluminense (UFF). Niterói, 2013.

MINTZBERG, H. O processo da estratégia. 4. Bookman, São Paulo, 2006.

MORAES, G. Sistema de gestão de riscos – princípios e diretrizes – ISO 31000/2009

comentada e ilustrada. Gerenciamento Verde Editora, Rio de Janeiro, 2010.

PMI – Project Management Institute. Um guia do conhecimento em gerenciamento de

projetos (Guia PMBOK). Atlanta, EUA, 2008.

PORTER, M. Vantagem competitiva: criando e sustentando um desempenho superior.

Elsevier, Rio de Janeiro, 1989.
171
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000

PURDY, G. (2010). ISO 31000:2009 – Setting a New Standard for Risk Management. EUA:
Risk Analysis, 30, 881-886.

RIBEIRO, A. M. Gestão de Riscos Operacionais – GRO para um Sistema de

Abastecimento de Água: ênfase no risco de escorregamentos no processo de distribuição.
Dissertação (Mestrado em Tecnologia Ambiental) – Instituto de Pesquisas Tecnológicas do
Estado de São Paulo. São Paulo, 2007.

ROCHA, A. & VASCONCELOS, J. (2004). Os modelos de maturidade na gestão de sistemas

de informação. Revista da Faculdade de Ciência e Tecnologia da Universidade Fernando
Pessoa, 1,93-107.

172