Como este tema funciona no porte da sua empresa
O checklist mínimo viável tem 10 a 15 itens cobrindo as estruturas básicas: mapeamento feito, riscos críticos identificados, pelo menos um responsável por cada risco, plano de resposta para os 3 mais críticos e revisão agendada. Quem marca todos esses itens já está à frente da maioria das empresas do mesmo porte.
O checklist inclui itens de processo em funcionamento: inventário atualizado com revisão semestral, KRIs definidos e monitorados mensalmente, reporting para a diretoria funcionando, planos de contingência conhecidos pela equipe e seguro revisado anualmente.
Checklist de maturidade de ERM: política de riscos aprovada pelo conselho, comitê de riscos reunindo-se com regularidade, auditoria interna validando controles, canal de comunicação de riscos operacional e cultura de risco sendo monitorada com indicadores.
Um checklist de gestão de riscos é uma ferramenta de autodiagnóstico — não uma auditoria formal. Ele permite ao gestor verificar periodicamente quais elementos da gestão de riscos estão implantados e funcionando, e quais ainda representam lacunas. Diferente do inventário de riscos (que lista os riscos identificados), o checklist avalia o processo: a estrutura está montada? O ciclo de revisão está acontecendo? As respostas a eventos estão cobertas?
Como usar o checklist
O checklist funciona como autodiagnóstico executável: o gestor aplica, identifica os itens não marcados e prioriza as ações de correção. As regras de uso são simples.
- Aplique com honestidade: cada item deve ser marcado como "sim" apenas se há evidência de que está funcionando — não se existe intenção de implantar ou se estava funcionando há um ano. O diagnóstico vale pela precisão, não pelo resultado esperado.
- Repita com frequência definida: para pequenas empresas, uma revisão anual ou semestral é suficiente. Para médias, semestral. Para grandes, trimestral ou integrado ao ciclo de governança.
- Priorize os gaps pelo critério de impacto: os itens não marcados não têm todos o mesmo peso. Priorize o que pode parar a empresa primeiro — itens de continuidade operacional e resposta a eventos têm prioridade sobre itens de documentação.
- Não confunda o checklist com o mapeamento: o checklist verifica se o processo existe e funciona; o inventário de riscos lista os riscos identificados. Os dois se complementam — o checklist sem inventário não é suficiente.
Bloco 1 — Estrutura mínima implantada
Os itens deste bloco verificam se os elementos fundamentais da gestão de riscos existem na empresa. Sem eles, não há base para o processo funcionar.
- O inventário de riscos foi montado formalmente — não está apenas na cabeça do sócio ou do gestor.
- Os riscos estão descritos como eventos futuros possíveis (causas), não como consequências ("perda de faturamento").
- Cada risco prioritário tem pelo menos um responsável designado — há uma pessoa específica que responde por ele.
- Os três riscos de maior impacto têm plano de resposta escrito — com ação, responsável e prazo para as primeiras 48 horas.
- O seguro empresarial foi revisado nos últimos 12 meses à luz dos riscos mapeados — não apenas renovado automaticamente.
- O backup dos dados críticos está configurado e foi testado — a recuperação foi verificada, não apenas o backup em si.
- Os controles de acesso a sistemas financeiros foram revisados — somente as pessoas necessárias têm acesso, e ex-colaboradores foram revogados.
- Há um fornecedor alternativo identificado para cada fornecedor crítico — com contato e confirmação de capacidade de atendimento.
- Os processos operacionais críticos estão documentados — outra pessoa conseguiria executá-los em caso de ausência do responsável habitual.
- A empresa mantém reserva de caixa equivalente a pelo menos dois meses de despesas fixas.
Para este porte, os itens 1 a 7 são o mínimo viável. Se todos estiverem marcados, a estrutura básica existe. Os itens 8 a 10 são recomendados, mas podem ser implantados progressivamente.
Todos os 10 itens deste bloco devem estar marcados. Para a média empresa, a ausência de qualquer um deles representa lacuna estrutural — não apenas gap de maturidade.
Os 10 itens deste bloco são a base de qualquer ERM. Para a grande empresa, a estrutura mínima inclui adicionalmente: política de riscos formalmente aprovada, apetite a risco declarado e área de risco ou função de coordenação designada.
Bloco 2 — Ciclo de revisão em funcionamento
Os itens deste bloco verificam se o processo de gestão de riscos é uma rotina ativa — não um projeto concluído uma vez.
- O inventário de riscos foi revisado nos últimos 6 meses (para médias e grandes) ou nos últimos 12 meses (para pequenas).
- Os gestores de área participaram do último levantamento — não apenas a diretoria ou o gestor administrativo.
- Há KRIs definidos para os riscos prioritários — indicadores que sinalizam elevação do risco antes do evento.
- Os KRIs estão sendo monitorados com a frequência definida — há registro de acompanhamento regular, não apenas intenção.
- A diretoria ou os sócios recebem relatório de status de riscos com regularidade — pelo menos trimestral.
- O planejamento anual considerou os riscos mapeados como insumo para metas e orçamento.
- A equipe que precisa acionar os planos de contingência sabe que eles existem e conhece o procedimento.
- Gatilhos de revisão fora do ciclo regular estão definidos — o que aciona uma revisão extraordinária do inventário.
Bloco 3 — Resposta a eventos coberta
Os itens deste bloco verificam se a empresa está preparada para responder quando um risco se materializa — não apenas para identificá-lo antes.
- Os planos de contingência para os riscos mais críticos foram testados ou simulados pelo menos uma vez.
- O protocolo de comunicação de crise está definido — quem decide, quem fala, por qual canal e o que comunicar.
- Os critérios de ativação de cada plano de resposta são conhecidos pelos responsáveis — não precisam perguntar ao gestor o que fazer para acionar.
- Eventos de risco que ocorreram no último período foram documentados — com impacto, resposta adotada e lição aprendida.
- O inventário de riscos foi atualizado após eventos recentes que revelaram riscos não mapeados ou controles que falharam.
- O canal de comunicação de riscos está ativo — as pessoas sabem como e para quem reportar um risco ou evento.
Itens específicos por categoria de risco
Além dos blocos estruturais, há itens de verificação específicos para cada categoria de risco. Aplicar este bloco para as categorias mais relevantes ao perfil da empresa.
| Categoria | Item de verificação |
|---|---|
| Financeiro | Política de crédito por cliente definida (limite de exposição e critérios de concessão) |
| Financeiro | Saldo mínimo de caixa operacional definido e monitorado |
| Operacional | Processos críticos documentados e acessíveis a quem pode precisar executá-los |
| Operacional | Backup dos dados críticos testado (recuperação verificada, não apenas o backup) |
| Pessoas-chave | Substitutos identificados para as funções mais críticas — com plano básico de transição |
| Pessoas-chave | Processos que dependem de pessoas específicas documentados de forma que outra pessoa possa executar |
| Fornecedores | Fornecedor alternativo identificado e contactado para cada fornecedor crítico |
| Fornecedores | Contratos com fornecedores críticos revisados quanto a cláusulas de prazo, penalidade e rescisão |
| Legal / compliance | Calendário de obrigações fiscais, trabalhistas e regulatórias atualizado e com responsáveis |
| Legal / compliance | Certidões negativas necessárias para operação, licitações ou contratos verificadas e vigentes |
| Cibernético | Controle de acesso a sistemas financeiros revisado (acesso por função, credenciais individuais) |
| Cibernético | Procedimento de confirmação de pagamentos por canal alternativo implantado e seguido |
O que fazer com os gaps identificados
Os itens não marcados no checklist são os gaps de processo — e precisam ser priorizados para ação. O critério de priorização é o impacto: o que pode parar a empresa ou gerar dano irreversível recebe atenção antes do que é importante mas manejável.
- Liste todos os gaps identificados: itens não marcados nos três blocos e nas categorias específicas.
- Avalie o impacto de cada gap: o que acontece se o item não existir e o risco correspondente se materializar? Gaps de resposta a eventos (bloco 3) e de estrutura crítica (bloco 1) tendem a ter impacto maior.
- Defina responsável e prazo para cada gap prioritário: sem responsável e prazo, o gap permanece gap. A saída do checklist deve ser uma lista de ações com responsável e data de conclusão prevista.
- Reavalie no próximo ciclo: na próxima aplicação do checklist, verificar se os gaps prioritários foram fechados. Gaps persistentes após dois ciclos indicam que o problema pode ser de capacidade ou de priorização — e merecem análise separada.
Sinais de que o checklist é o diagnóstico que a empresa precisa agora
Se você se reconhece em três ou mais cenários abaixo, aplicar o checklist pode revelar onde estão as principais lacunas da gestão de riscos.
- O gestor não sabe exatamente em que estágio está a gestão de riscos da empresa.
- Nunca foi feita uma verificação estruturada do que está e do que não está implantado.
- O processo de gestão de riscos foi montado, mas nunca validado quanto à completude.
- A empresa passou por um evento de risco e percebeu que faltavam elementos básicos de prevenção ou resposta.
- Há dúvida sobre quais itens são obrigatórios e quais são opcionais para o porte da empresa.
Caminhos após identificar gaps no checklist
O checklist é o diagnóstico. O próximo passo depende da natureza e do volume de gaps identificados.
O gestor prioriza os gaps, define responsáveis e prazos para cada ação de correção e acompanha o fechamento no próximo ciclo de revisão.
- Perfil necessário: gestor administrativo com autoridade para conduzir as correções identificadas e acesso às áreas envolvidas.
- Tempo estimado: aplicação do checklist em uma tarde; plano de ação definido em uma semana; gaps prioritários fechados em 30 a 90 dias, dependendo da complexidade.
- Faz sentido quando: os gaps são de processo e comportamento — inventário desatualizado, responsáveis não definidos, revisão não agendada — e podem ser corrigidos internamente.
- Risco principal: priorizar os gaps mais fáceis de fechar, deixando para depois os de maior impacto — que são frequentemente os mais trabalhosos.
Consultoria de gestão de riscos ou auditoria estrutura o plano de fechamento dos gaps, implanta metodologia adequada ao porte e acompanha a evolução.
- Tipo de fornecedor: Consultoria de Gestão de Riscos, Auditoria, Compliance.
- Vantagem: metodologia validada, priorização independente dos gaps e capacitação do time para manter o processo após o projeto.
- Faz sentido quando: os gaps identificados requerem implantação de metodologia, auditoria de controles ou programa de compliance que estão fora da capacidade interna.
- Resultado típico: gaps prioritários fechados em 60 a 90 dias; checklist completo em 90 a 180 dias, dependendo da complexidade.
Identificou gaps no checklist e precisa de apoio para estruturar a gestão de riscos da sua empresa?
Se fechar os gaps identificados é uma prioridade, o oHub conecta a sua empresa, gratuitamente, a consultores de gestão de riscos, auditoria e compliance. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Quais itens deve ter um checklist de gestão de riscos?
Um checklist completo cobre três blocos: estrutura mínima implantada (inventário feito, responsáveis definidos, planos de resposta escritos, seguro e backup revisados), ciclo de revisão em funcionamento (inventário atualizado, KRIs monitorados, reporting para a diretoria funcionando) e resposta a eventos coberta (planos testados, protocolo de crise definido, canal de comunicação ativo). Itens específicos por categoria completam o diagnóstico para os riscos mais relevantes da operação.
Como fazer uma revisão periódica dos riscos da empresa?
Aplicar o checklist com a frequência definida para o porte — anual ou semestral para pequenas, semestral para médias, trimestral para grandes. Identificar os gaps, priorizá-los pelo critério de impacto e definir ações com responsável e prazo. Na revisão seguinte, verificar se os gaps prioritários foram fechados e identificar novos.
O que verificar antes de aprovar um novo projeto ou contrato relevante?
Um checklist de riscos específico para decisões relevantes inclui: qual a exposição financeira máxima se o projeto ou contrato falhar? Há cláusulas de rescisão, penalidade ou responsabilidade que criam risco desproporcional? O fornecedor ou cliente tem histórico verificável? A empresa tem capacidade operacional para entregar sem comprometer outros compromissos? O risco de concentração aumenta com essa decisão?
Como usar um checklist de riscos nas reuniões de gestão?
Incluindo um bloco de cinco minutos no fechamento da reunião mensal com três perguntas fixas: quais riscos novos surgiram no período? Algum KRI cruzou o limite de alerta? Houve eventos de risco que precisam ser documentados? O checklist mensal informal não substitui a revisão periódica completa — mas mantém o assunto vivo na rotina.
O checklist de riscos substitui o mapeamento formal?
Não. O checklist verifica se o processo de gestão de riscos está funcionando — se o inventário existe, se está atualizado, se há responsáveis e planos. O inventário (mapeamento) lista os riscos identificados com avaliação de impacto, probabilidade, controles e planos de ação. Os dois se complementam: o checklist sem inventário não tem base; o inventário sem checklist pode envelhecer sem ninguém perceber.
Fontes e referências
- ABNT. ISO 31000:2018 — Gestão de Riscos: Princípios e Diretrizes. Associação Brasileira de Normas Técnicas, 2018.
- IBGC — Instituto Brasileiro de Governança Corporativa. Gerenciamento de Riscos Corporativos: Evolução em Governança e Estratégia. São Paulo: IBGC, 2017.
- Sebrae. Gestão de riscos para pequenas empresas: orientações práticas. Portal Sebrae.