Escolar Documentos
Profissional Documentos
Cultura Documentos
159-172
Resumo
A gestão de riscos vem se tornando uma importante aliada para que as organizações sobrevivam no
ambiente corporativo, que é dinâmico e competitivo. Assim, o objetivo deste artigo é analisar a
implantação do processo de gestão de riscos numa empresa de energia a partir do modelo proposto pela
norma ISO 31000. O processo metodológico consistiu em analisar o modelo apresentado na ISO 31000 e
a implantação do processo de gestão de riscos na empresa, além de investigar o gap entre eles através de
uma análise crítica dos resultados. Concluiu-se que a norma carece de orientações para que o seu modelo
seja aplicado e que existem diferenças entre o processo metodológico de gestão de riscos adotado pela
empresa e a orientação teórica indicada pela referida norma. A partir da pesquisa realizada, foi possível
propor ferramentas para auxiliar a implantação do processo de gestão de riscos.
Palavras-chave: Gestão de riscos, ISO 31000, empresa de energia
1. Introdução
O elevado dinamismo dos sistemas globais exige práticas de gestão capazes de manter
a existência das organizações no mercado. Nesse sentido, diversos foram os modelos que
surgiram visando auxiliar as empresas a alcançarem o sucesso. Alguns basear basearam-se no
desenvolvimento de vantagens competitivas
comp (PORTER, 1989), outros, em sistemas de medição
de indicadores de desempenho (KAPLAN e NORTON, 1997), e há ainda os roteiros para a
construção de um planejamento estratégico capaz de direcionar os rumos da empresa
(MINTZBERG, 2006).
Com isso, destaca-se
se o desenvolvimento da gestão de riscos corporativos, um campo de
estudo focado em identificar, analisar,
analisar avaliar e tratar os riscos capazes de dificultar,
dificultar ou ajudar,
as organizações a atingirem os seus objetivos.
objetivos Segundo Almeida e Sant’Anna (2009), a
consciência dos riscos incorridos, a capacidade de administrá-los
administrá los e a capacidade de tomar
decisões
es são elementos chaves para a boa gestão de uma empresa.
À medida que a abrangência e a relevância do tema foram percebidas e valorizadas,
surgiram normas e práticas
ráticas reconhecidas no mercado direcionadas a vários tipos de
organizações. Uma delas, a ISO 31000, é um modelo utilizado por organizações que pretendem
reduzir sua exposição aos riscos (FERREIRA, 2013).
Este artigo tem por objetivo analisar a implantação do processo de gestão de riscos
numa empresa de energia a partir do modelo proposto pela norma ISO 31000,
31000, identificando os
gaps entre o modelo teórico da norma e aquele utilizado pela empresa.
empresa
A estrutura do artigo é composta por cinco partes. A primeira parte traz uma revisão
dos conceitos de gestão de riscos mais
ma relevantes. Na segunda, é apresentada a abordagem
metodológica
odológica utilizada para o desenvolvimento do estudo.
estudo Já na terceira, apresenta--se o caso de
implantação do processo de gestão de riscos na empresa. Na quarta parte, realiza-sese a análise e
discussão
ssão dos resultados a partir da comparação entre o modelo da ISO 31000 e o modelo
implantado na empresa. Naa quinta parte, são apresentadas as conclusões
onclusões da pesquisa
pesquisa.
2. Contextualização dos modelos de gestão de riscos
A gestão de riscos é um processo interativo que deve estar integrado ao planejamento
estratégico da empresa (ALMEIDA e SANT’ANNA, 2009). 2009)
Diversos são os modelos de gestão de riscos propostos por instituições espalhadas por
todo o mundo,, sendo que cada uma delas possui um entendimento particular do conceito de
risco. A Tabela 1 cita alguns desses
desse modelos com suas respectivas instituições e entendimentos
de risco.
Tabela 1 - Modelos de gestão de riscos existentes e seus entendimentos de risco
a) Comunicação e consulta
Segundo a norma, essa etapa deve acontecer simultaneamente a todas as outras etapas
do processo de gestão de riscos. Os planos de comunicação e consulta devem abordar
abordar questões
relacionadas aoo risco propriamente dito, suas causas, suas consequências,
consequências, se conhecidas, e as
medidas que estão sendo tomadas para tratá-los.
tratá
A ISO 31000 afirma que uma comunicação e consulta eficazes devem assegurar que os
responsáveis pela implantação do processo de gestão de riscos e as partes interessadas
161
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000
compreendam os fundamentos sobre os quais as decisões são tomadas e as razões pelas quais
ações específicas são requeridas.
Conforme Dias et al (2011), esta etapa deve descrever como as pessoas envolvidas no
processo de gerenciamento de riscos devem se comunicar e trabalhar em cada etapa do projeto.
b) Estabelecimento do contexto
Segundo a ISO 31000, a organização, ao estabelecer um contexto, articula seus
objetivos, define os parâmetros externos e internos a serem levados em consideração ao
gerenciar riscos, e estabelece o escopo e os critérios de risco para o restante do processo. Além
disso, convém que a organização, durante esta etapa, defina os critérios a serem utilizados para
avaliar a significância dos riscos.
Purdy (2010) afirma que nesta etapa a organização deve definir os objetivos que
pretende alcançar e quais os fatores externos e internos que podem influenciar esta busca. Já
Dias et al (2011) dizem que nesta etapa deve-se definir se os objetivos do projeto são técnicos,
financeiros ou sociais, além de descrever o método de trabalho com relação ao tempo e espaço,
e os stakeholders internos e externos.
c) Avaliação de riscos
A ISO 31000 define o macro processo de avaliação de riscos como aquele que engloba
as etapas de identificação, análise e avaliação de riscos.
A identificação de riscos tem por finalidade gerar uma lista abrangente de riscos
baseada em eventos que possam criar, aumentar, evitar, reduzir, acelerar ou atrasar a realização
dos objetivos. Deve-se atentar para que todos os riscos sejam incluídos, pois um risco não
identificado nesta fase não será incluído em análises posteriores.
Já a análise de riscos envolve a compreensão dos riscos e a apreciação de suas
consequências e probabilidades. De acordo com as circunstâncias, a análise pode ser
qualitativa, semiqualitativa ou quantitativa, ou uma combinação destas.
Quanto à avaliação de riscos, a ISO 31000 afirma que nessa etapa ocorre a comparação
entre o nível de risco encontrado durante o processo anterior e os critérios de risco
estabelecidos. Com base nesta comparação, a necessidade e a prioridade de tratamento podem
ser definidas.
Moraes (2010) afirma que esta etapa deve ser conduzida pela alta administração por
meio de reuniões periódicas que analisem criticamente o desempenho do sistema
sistema de gestão de
riscos.
3. Abordagem metodológica
A partir do entendimento do modelo proposto pela ISO 31000 e da compreensão da
gestão de riscos implantada na empresa de energia,
energia compararam-se esses dois objetos a fim de
analisar as suas similaridades e diferenças.
A Figura 2 apresenta a sequência de passos dados ao longo do desenvolvimento desta
pesquisa.
Figura 2 - Processo metodológico aplicado
Fonte: os autores
O passo 1 daa Figura 2 consistiu na compreensão do processo de gestão de riscos
proposto pela norma ISO 31000, o que foi poss possível
ível através da leitura o documento NBR ISO
31000: Gestão de riscos, princípios e diretrizes (ABNT, 2009).
2009)
O passo 2 envolveu a coleta de informações sobre o processo de gestão de riscos
implantado na empresa em questão.
questão A coleta foi desenvolvida da seguinte forma:
• Instrumento de pesquisa
pesquisa: A pesquisa foi desenvolvida
olvida através de entrevistas orientadas
por questionários com perguntas abertas,
abertas cujo objetivo
jetivo foi compreender a impla
implantação
do processo de gestão de riscos na empresa. A fim de complementar as informações
obtidas nas entrevistas, lançou-se mão de comunicação por correio eletrônico.
• Amostra:: foram efetuadas 10 entrevistas presenciais com a gerência da áre área de Gestão
de Riscos da empresa.
• Período e processo de aplicação
aplicação: A pesquisa foi realizada durante período de 10 meses
meses,
através de rodadas sequenciadas buscando o aprofundamento do do nível de conhecimento
do processo.
• Ferramentas de análise:
análise: O conhecimento obtido foi compilado utilizando softwares
como o Excel e o Power Point e analisado a partir de gráficos, tabelas e fluxogramas,
melhor apresentados na análise e discussão de resultados.
O passo 3 consistiu em traçar um paralelo entre cada umas das etapas integrantes do
processo implantado na empresa e aquelas
as apresentadas pela ISO 31000, estabelecendo
estabelecendo-se os
pontos comuns e os que se diferenciava
diferenciavam.
163
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000
164
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000
165
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000
O Plano de Comunicação buscou definir o tipo de informação que cada público deve
oferecer, com que periodicidade e qual o meio que deve ser utilizado.
A segunda etapa, que trata do estabelecimento do contexto, foi desenvolvida com a
utilização da metodologia “modelo-maturidade”. Segundo Rocha e Vasconcelos (2004), esse
modelo fornece aos gestores das organizações um poderoso instrumento para determinar em
que estágio de maturidade a empresa se encontra e, assim, planejar as ações necessárias para a
empresa progredir em direção a uma maturidade superior e, por consequência, alcançar os
objetivos desejados.
Essa metodologia foi aplicada por meio de duas técnicas: entrevistas presenciais e
questionários eletrônicos. A primeira técnica foi aplicada a cinco diretores executivos da
empresa. Já a segunda, foi aplicada aos assessores, chefes de departamento, chefes de divisão e
especialistas da empresa.
As duas técnicas foram estruturadas por meio de perguntas relacionadas às práticas de
gestão de riscos na empresa, as quais são divididas em três pilares com cinco dimensões cada,
conforme mostrado na Tabela 3.
166
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000
Com base no cenário atual, identificado de acordo com a maturidade definida pelos
executivos, e no cenário futuro, esperado pela companhia, foram concebidos planos de ação
necessários para a implantação de uma GIR.
A macro etapa de avaliação de riscos foi iniciada pela identificação
tificação dos riscos. A
Figura 4 mostra como foi conduzida esta etapa na empresa.
Figura 4- Processo de condução da identificação de riscos na empresa
Com base nestaa sequência metodológica, a área de gestão de riscos em conjunto com o
Comitê de Riscos da empresa priorizou cinco riscos, cujo processo de avaliação foi entendido
como modelo-piloto,
piloto, de forma que pudesse
pudesse ser posteriormente aplicado aos demais riscos e às
à
demais subsidiárias
diárias da empresa.
empresa
Para cada um dos cinco riscos priorizados,
priori a empresa designou risk owner
owners das áreas
com responsabilidade
esponsabilidade e autoridade pelo gerenciamen
gerenciamento dos mesmos.. Na sequência
sequência, foi
realizado um trabalho conjunto entre o departamento de riscos da empresa e cada uma dos risk
owners, objetivando localizar os cinco riscos no mapa de impacto versus vulnerabilidade.
Para mensurar o impacto, cada risk owner preencheu uma planilha que solicitava
algumas informações
ormações financeiras relevantes ee, com o resultado da planilha, foi feita uma
classificação do impacto de acordo com o percentual da Receita Operacional Líquida (ROL).
Já o mapeamento da vulnerabilidade foi feito com base na medição da situação dos
controles. Primeiramente,
iramente, a área de riscos
risco listou as possíveis causas e consequências no caso de
167
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000
haver a ocorrência dos riscos. Em seguida, os risk owners identificaram os fatores de riscos
aplicáveis e, em seguida, a área de riscos e os risk owners criaram juntos uma lista com os
controles necessários para o risco analisado.
Como última atividade, foi definida uma classificação de vulnerabilidade, em função
do desempenho dos controles implementados. Se o desempenho estiver adequado, a
vulnerabilidade tende a zero.
Para a etapa de tratamento de riscos foram desenvolvidos planos de tratamento com o
objetivo de reduzir a vulnerabilidade e/ou o impacto que os cinco eventos de risco tratados
expõem a empresa. Esta etapa está em implantação através da transformação destes planos em
projetos que tragam resultado de redução do nível de exposição da empresa.
A etapa de monitoramento e análise crítica, última do processo de gestão de riscos,
também encontra-se na fase de implantação. Buscar-se-á planejar os indicadores para
acompanhar a evolução da empresa com relação aos riscos identificados.
168
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000
169
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000
6. Conclusões
A partir da compreensão dos conceitos apresentados pela norma ISO 31000, foi
possível identificar pontos críticos no processo de implantação da gestão de riscos corporativos.
Vale destacar as indefinições metodológicas referentes às ações e às ferramentas a serem
utilizadas ao longo do processo proposto pela norma. Tal indefinição pode ser justificada pelo
fato de a ISO 31000 ser um documento abrangente. Além disso, a norma não tem fins de
certificação, o que a caracteriza apenas como um documento direcionador de etapas, definindo
o que fazer e não como fazer.
Outro fator a ser destacado é a dificuldade de colocar em prática a macro etapa de
avaliação de riscos (identificação, análise e avaliação dos riscos). Ações como identificação de
fontes, causas e consequências dos riscos, além da priorização dos eventos de riscos, não estão
claramente definidas na norma e, portanto, causam dúvidas quanto à ordem e à necessidade de
aplicação.
Com relação às ferramentas, esta pesquisa identificou uma indefinição sobre quais
métodos aplicar em cada etapa do processo de gestão de riscos proposto pela ISO 31000. Este
trabalho sugere o “círculo de stakeholder” (BOURNE, 2010) como ferramenta a ser utilizada
na etapa de comunicação e consulta. Além deste, o “modelo-maturidade”, método aplicado pela
empresa, é sugerido para o estabelecimento do contexto de riscos numa organização. Por fim, a
mensuração, por meio do mapa impacto e vulnerabilidade, de acordo com critérios
estabelecidos pela empresa, também representa um método para a construção de uma
abordagem quantitativa na etapa de avaliação de riscos.
Com isso, apesar de se ter percebido uma aderência entre o modelo proposto pela
norma e a aplicação do processo gestão de riscos na empresa, vale ressaltar a diferença entre os
dois objetos no que diz respeito a alguns aspectos relacionados às etapas de análise e avaliação
de riscos. Após identificar os riscos, a empresa decidiu, por meio de uma análise qualitativa,
priorizar cinco riscos e somente depois mensurar quantitativamente o nível de exposição da
empresa quanto à vulnerabilidade e impacto. A ISO 31000 afirma que a análise de riscos pode
ser realizada em diversos graus de detalhe e que a aplicação de métodos quantitativos nesta
etapa é opcional, porém, a norma indica a determinação do nível de cada evento de riscos
identificado, para somente depois, no processo de avaliação de riscos, ser feita priorização e
tomada de decisões.
Referências
ABNT - Associação Brasileira de Normas Técnicas. NBR ISO 31000: Gestão de riscos,
princípios e diretrizes. Rio de Janeiro, 2009.
170
ANÁLISE DA IMPLANTAÇÃO DO PROCESSO DE GESTÃO DE RISCOS COM BASE NA ISO 31000
AVEN, T. (2012). Foundational Issues in Risk Assessment and Risk Management. EUA: Risk
Analysis, 32, 1647-1656.
BEER, M., EISENTAT, R. & SPECTOR, B. (1990). Why change programs don’t produce
change. Harvard Business Review, n. 90601, EUA.
DIAS, S., GUEN, Y., POUPARD, O. & SHTIVELMAN, V. (2011). Risk assessment of
Mustang project experimental site – Methodological development. Amsterdã, Holanda, Energy
Procedia 4, 4109-4116.
ISACA – Information Systems Audit and Control Association. Risk IT Framework for
Management of IT Related Business Risks. <http://www.isaca.org/Knowledge-Center/Risk-
IT-IT-RiskManagement/Pages/ Risk-IT1.aspx >. Acesso em 2 de junho de 2014.
LEITCH, M. (2010). ISO 31000:2009 - The New International Standard on Risk Management.
EUA: Risk Analysis, 30.
PURDY, G. (2010). ISO 31000:2009 – Setting a New Standard for Risk Management. EUA:
Risk Analysis, 30, 881-886.
172