Todos os artigos

Gestão de Riscos: matriz probabilidade x impacto e ISO 31000 explicada

Toda empresa convive com riscos — operacionais, financeiros, regulatórios, de mercado, de pessoas, de tecnologia, de imagem. A diferença entre as empresas que sobrevivem a crises e as que quebram raramente está em "ter mais sorte"; está em ter um processo consciente de identificar, avaliar, tratar e monitorar riscos. Este guia explica o que é gestão de riscos, como construir a matriz probabilidade × impacto, as quatro estratégias clássicas de tratamento, princípios da ISO 31000 em versão prática e como integrar o tema ao restante do planejamento estratégico.

O que é gestão de riscos

Gestão de riscos é o processo organizado de identificar ameaças e oportunidades incertas, avaliar probabilidade e impacto, decidir como agir (evitar, transferir, mitigar ou aceitar), e monitorar a evolução. O objetivo não é eliminar todo risco — é impossível e contraproducente — mas garantir que a empresa esteja consciente dos riscos que está correndo, que esses riscos sejam compatíveis com seu apetite e que existam respostas pré-pensadas para os mais relevantes.

Risco, por definição, tem dois componentes: incerteza (pode ou não acontecer) e efeito sobre objetivos (se acontecer, muda o que a empresa pretendia). Por isso a gestão de riscos só faz sentido amarrada a objetivos claros — risco "isolado" é difícil de avaliar, porque depende de para onde você está indo.

ISO 31000: a base de qualquer modelo

A ISO 31000:2018 é a norma internacional de gestão de riscos. Ela não é uma certificação — é um guia de princípios e processo aplicável a qualquer setor e porte. Os princípios centrais:

  • Integrada: gestão de riscos é parte da gestão da empresa, não um processo paralelo.
  • Estruturada e abrangente: segue um método claro e cobre todos os tipos de risco relevantes.
  • Customizada: não existe modelo único — adapta-se ao contexto, tamanho e objetivos.
  • Inclusiva: envolve as partes interessadas; risco visto de uma só cabeça é risco mal avaliado.
  • Dinâmica: riscos mudam — o processo precisa de revisão contínua.
  • Baseada na melhor informação disponível: assume incerteza e incorpora novas informações.
  • Considera fatores humanos e culturais: percepção de risco varia entre pessoas; cultura de medo distorce os dados.
  • Melhoria contínua: aprender com cada risco materializado.

Para a maioria das empresas, não é necessário implementar a norma "ao pé da letra". O que chamamos de "ISO 31000 light" é seguir o ciclo do processo (contexto → identificação → análise → avaliação → tratamento → monitoramento), com profundidade proporcional ao porte e à criticidade da operação.

O processo de gestão de riscos: 6 passos

Passo 1 — Estabelecer o contexto

Antes de listar riscos, defina contra quais objetivos você está medindo: meta de receita, lançamento de produto, expansão geográfica, conformidade regulatória, segurança da informação, continuidade operacional. Defina também o apetite ao risco — quanta perda potencial a empresa está disposta a aceitar para perseguir cada objetivo. Sem esse passo, a avaliação fica subjetiva e variável de pessoa para pessoa.

Passo 2 — Identificar riscos

Faça um workshop estruturado: liderança, áreas operacionais, jurídico, TI, financeiro cada um traz a lista do que pode dar errado nas próximas 12 a 24 meses. Use categorias como guia para não esquecer áreas:

  • Estratégicos: mudança de mercado, novo concorrente, perda de posicionamento, falha em executar a estratégia.
  • Operacionais: falha de processo, queda de produção, perda de fornecedor crítico, acidente.
  • Financeiros: inadimplência, variação cambial, falta de capital de giro, fraude.
  • Regulatórios e legais: mudança de lei, multa, processo trabalhista, LGPD/proteção de dados.
  • Tecnológicos: indisponibilidade de sistema, vazamento de dados, ataque cibernético, dívida técnica.
  • De pessoas: perda de pessoa-chave, dificuldade de contratar, baixa de engajamento, segurança no trabalho.
  • Reputacionais: crise de imagem, exposição em redes sociais, falha ESG, conflito com cliente importante.

O resultado é uma lista de 20 a 60 riscos brutos. É normal ser muito — o filtro vem no passo seguinte.

Passo 3 — Analisar (probabilidade e impacto)

Para cada risco, atribua duas notas em escala de 1 a 5:

  • Probabilidade: quão provável é que aconteça nos próximos 12 meses. 1 = quase impossível; 3 = pode acontecer; 5 = praticamente certo.
  • Impacto: se acontecer, qual o efeito sobre os objetivos. 1 = irrelevante; 3 = mexe no plano mas não no resultado anual; 5 = ameaça a sobrevivência ou os principais objetivos do ano.

O nível do risco é o produto: probabilidade × impacto. Riscos com nota alta entram no topo da lista; os de nota baixa, no rodapé. Calibrar a escala em equipe é importante: o que é "impacto 3" para o financeiro pode ser "impacto 5" para a área operacional.

Passo 4 — Avaliar (matriz probabilidade × impacto)

Plote os riscos numa matriz 5×5: probabilidade no eixo Y, impacto no eixo X. A matriz normalmente é colorida em três zonas:

  • Zona vermelha (alto): probabilidade alta + impacto alto. Exige plano de ação imediato.
  • Zona amarela (médio): probabilidade média ou impacto médio. Exige monitoramento ativo e plano de tratamento documentado.
  • Zona verde (baixo): probabilidade baixa e impacto baixo. Aceitar e monitorar; não vale o esforço de tratar.

A regra prática: empresas costumam ter 5 a 10 riscos vermelhos, 15 a 25 amarelos e o resto verde. Mais de 15 vermelhos quase sempre é sinal de calibragem inflada — ou de empresa em situação realmente crítica.

Passo 5 — Tratar (as 4 estratégias clássicas)

Para cada risco com nível médio ou alto, escolha uma das quatro estratégias:

  • Evitar: não fazer a atividade que gera o risco. Ex.: cancelar a entrada em um país com instabilidade política. Custo: abrir mão da oportunidade.
  • Transferir: passar o risco a um terceiro especializado. Ex.: contratar seguro contra incêndio, terceirizar logística para reduzir risco de operação. Custo: prêmio do seguro, margem do terceiro.
  • Mitigar (reduzir): agir para diminuir probabilidade, impacto, ou ambos. Ex.: implantar redundância no datacenter (reduz impacto de queda); treinar equipe (reduz probabilidade de erro humano).
  • Aceitar: reconhecer o risco e seguir com a atividade. Faz sentido quando o custo de tratamento é maior que o impacto esperado, ou quando o risco é inerente ao negócio. Aceitar conscientemente é diferente de ignorar — o risco continua monitorado.

Cada plano de tratamento deve ter responsável, prazo, indicador e custo estimado. Sem dono e prazo, o plano vira boa intenção.

Passo 6 — Monitorar e revisar

A matriz não é estática. Revise mensalmente os riscos vermelhos, trimestralmente os amarelos e anualmente o conjunto inteiro. Riscos novos surgem (regulação muda, mercado muda); riscos tratados podem migrar para a zona amarela ou verde; riscos materializados viram lições aprendidas. O monitoramento alimenta o ciclo de novo no Passo 1.

Exemplo prático: matriz para um e-commerce de médio porte

  • Vermelho — Indisponibilidade da plataforma na Black Friday (probabilidade 4, impacto 5). Tratamento: mitigar — duplicar capacidade, contratar CDN premium, simulação de carga em outubro. Dono: CTO.
  • Vermelho — Vazamento de dados de clientes (LGPD) (probabilidade 3, impacto 5). Tratamento: mitigar — auditoria de segurança, criptografia em repouso, treinamento; e transferir parte com seguro cibernético. Dono: DPO.
  • Amarelo — Concentração em 1 transportadora (probabilidade 2, impacto 4). Tratamento: mitigar — homologar 2ª transportadora até Q3. Dono: Logística.
  • Amarelo — Queda do CAC pago do principal canal (probabilidade 4, impacto 3). Tratamento: mitigar — investir em SEO e CRM próprio. Dono: Marketing.
  • Verde — Mudança no PIS/COFINS (probabilidade 2, impacto 2). Tratamento: aceitar e monitorar via consultoria tributária. Dono: CFO.

Note que cada risco tem dono, plano e fica com status visível em comitê — a matriz sai da gaveta e vira instrumento de gestão.

Riscos x oportunidades: o lado positivo

A ISO 31000 trata risco como "efeito da incerteza sobre objetivos" — esse efeito pode ser negativo (ameaça) ou positivo (oportunidade). Empresas maduras usam o mesmo processo para identificar oportunidades incertas: nova regulação que pode favorecer o setor, ruptura tecnológica que pode abrir mercado, falência de concorrente, mudança demográfica. As estratégias se invertem: explorar, compartilhar, aumentar, aceitar. Esse olhar evita o viés de só ver o lado defensivo da gestão de riscos.

Erros comuns em gestão de riscos

  • Identificar e arquivar. Lista de risco em PDF que ninguém revisa não é gestão de risco — é teatro de governança.
  • Confundir probabilidade com possibilidade. "Pode acontecer" não é probabilidade 5; probabilidade exige estimativa explícita.
  • Excesso de granularidade. 200 riscos = ninguém prioriza. Foque em 30 a 60 riscos brutos e 10 a 20 ativos no momento.
  • Tratamento sem dono. Plano de mitigação sem responsável é o caminho mais curto para a frustração.
  • Cultura de "matar o mensageiro". Quando trazer risco vira problema de carreira, o time esconde. A matriz fica linda; a empresa fica cega.
  • Não conectar com decisão estratégica. Risco de "aumento de concorrência" precisa entrar no SWOT e influenciar a estratégia, não viver isolado em uma planilha de compliance.
  • Falta de apetite definido. Sem dizer quanto risco é aceitável, todo risco parece grande demais — ou pequeno demais.

Como integrar gestão de riscos ao planejamento estratégico

Riscos não vivem isolados — eles são a contraparte natural das oportunidades e das estratégias da empresa:

  • A análise PESTEL e as 5 Forças alimentam a identificação de riscos externos.
  • A SWOT traduz ameaças em insumo direto para a matriz de riscos.
  • A análise de cenários mostra em quais futuros cada risco ganha ou perde relevância.
  • O Balanced Scorecard incorpora os riscos críticos como objetivos da perspectiva de processos ou aprendizado (ex.: "elevar maturidade de segurança da informação para nível 3").
  • Os OKRs traduzem os planos de tratamento dos riscos vermelhos em metas trimestrais com responsável.
  • Os indicadores e KPIs monitoram os sinais antecipados — quando um KRI (Key Risk Indicator) ultrapassa o limite, dispara o plano de contingência.

Em organizações maduras, o relatório mensal traz lado a lado o desempenho dos objetivos e o status dos riscos — porque planejamento é, em grande parte, gerir a relação entre apostas e riscos.

Como o BizGuideAI te ajuda com isso

O BizGuideAI foi pensado para o empresário e o CEO de pequena e média empresa que não tem tempo para construir tudo isso sozinho. A partir de algumas perguntas sobre o seu negócio, a IA monta um primeiro rascunho de uma matriz de probabilidade x impacto, com plano de tratamento dos principais riscos, sugere ajustes em linguagem simples e mantém tudo conectado ao restante do seu plano estratégico — para que você revise, decida e execute, em vez de começar do zero diante de uma página em branco.

Perguntas frequentes sobre gestão de riscos

Gestão de riscos é só para empresas grandes?

Não. Empresa pequena se beneficia em versão leve: um workshop trimestral de 2 horas com a liderança, uma planilha com 15 a 30 riscos avaliados, plano para os 5 vermelhos. O valor está em forçar a conversa sobre o que pode dar errado — independente do porte.

Qual a diferença entre risco e problema?

Risco é incerto (pode ou não acontecer); problema já aconteceu. Quando um risco se materializa, ele sai da matriz de riscos e entra no plano de gestão de incidentes. As duas listas coexistem.

Quem é o dono da gestão de riscos na empresa?

Em empresas grandes, há um Chief Risk Officer (CRO) ou área dedicada. Em empresas médias e pequenas, a responsabilidade costuma ficar com o CFO ou diretor de operações, com cada área respondendo por seus próprios riscos. O CEO sempre é o dono último.

Com que frequência atualizar a matriz?

Os riscos vermelhos: revisão mensal em comitê de gestão. Os amarelos: revisão trimestral. A matriz inteira: revisão anual no planejamento. Eventos materiais (mudança de regulação, novo concorrente, crise) disparam revisão extraordinária.

O que é apetite ao risco e como definir?

Apetite ao risco é a quantidade de risco que a empresa está disposta a aceitar em busca de seus objetivos. Definir é decisão do CEO e do conselho: "aceitamos perder até X% da receita anual em desvios operacionais"; "não aceitamos riscos regulatórios com chance > 20% de afetar a licença de operação". Sem apetite explícito, não há critério para tratar ou aceitar.

Coloque o framework em prática agora

Deixe a IA do BizGuideAI montar essa análise no seu negócio

Cadastre seu e-mail, descreva sua empresa em uma frase e o Bizzy te conduz da análise ao plano de ação. Plano gratuito permanente, sem cartão de crédito.

Sem cartão de créditoResultado em minutosCancele quando quiser

Artigos relacionados

Execução

OKRs (Objectives & Key Results)

Como você define Objetivos ambiciosos e Resultados-Chave mensuráveis para a sua empresa, no mesmo padrão que Intel, Google e milhares de PMEs já usam.

22 de abr. de 202613 min
Execução

Check-ins de OKR

Como rodar a reunião semanal ou quinzenal que faz OKR funcionar de verdade: agenda da reunião, semáforo de confiança, exemplos de update e armadilhas comuns.

14 de abr. de 202611 min
Execução

Indicadores e KPIs

Como você define um bom KPI, a diferença entre leading e lagging, a ficha de indicador e como conectar as métricas do seu negócio ao Balanced Scorecard e aos OKRs.

08 de abr. de 202613 min

Sua privacidade importa

Usamos cookies essenciais para o funcionamento da plataforma e, com seu consentimento, cookies de análise e marketing para melhorar a experiência e mensurar nossas campanhas. Saiba mais.