Como este tema funciona no porte da sua empresa
O monitoramento pode ser simples: revisão mensal da lista de riscos críticos junto ao sócio, alertas definidos para eventos-gatilho como cliente que atrasa mais de determinado número de dias, fornecedor que falha na entrega ou saldo de caixa abaixo do mínimo operacional. O que importa é a regularidade, não a sofisticação.
KRIs definidos por categoria de risco, acompanhados mensalmente pelo controller ou analista de risco. Revisão semestral do mapeamento completo com os gestores de área. O relatório de status de riscos é incluído no fechamento mensal para a diretoria.
Dashboard de KRIs atualizado periodicamente, comitê de riscos com reunião trimestral e reporting para o conselho, revisão anual do ERM integrada ao ciclo de planejamento estratégico. A área de risco consolida e a auditoria interna valida os controles.
Monitoramento contínuo de riscos é o processo de acompanhamento sistemático dos indicadores e condições que sinalizam mudança no nível de exposição a riscos identificados — antes que o evento se materialize. Ao contrário do mapeamento, que é periódico, o monitoramento é permanente: garante que o inventário de riscos não envelheça e que a empresa reaja antes que o problema ocorra, não depois.
O que são KRIs e como diferem dos KPIs
KRIs (Key Risk Indicators) são indicadores que sinalizam mudança no nível de exposição a um risco antes que o evento se materialize — diferente dos KPIs (Key Performance Indicators), que medem desempenho de processo após o fato. O KPI diz "como estamos indo"; o KRI diz "para onde o risco está se movendo".
Um exemplo deixa a diferença concreta: o prazo médio de recebimento é um KPI de performance financeira. Quando esse prazo começa a aumentar consistentemente acima do histórico, ele se torna um KRI — sinaliza elevação do risco de inadimplência antes que ela apareça no fluxo de caixa. O gestor que monitora só o KPI descobre o problema depois; o que monitora o KRI tem tempo de agir antes.
A norma ISO 31000:2018 trata o monitoramento e a revisão como etapas obrigatórias do ciclo de gestão de riscos — não como atividades opcionais pós-mapeamento. O COSO ERM 2017 reforça que a revisão e a atualização do programa de gestão de riscos são parte integral do processo.
Exemplos de KRIs por categoria de risco
KRIs eficazes são específicos, mensuráveis e monitoráveis com os dados que a empresa já coleta. A tabela abaixo apresenta exemplos práticos por categoria, com a frequência de monitoramento recomendada.
| Categoria de risco | KRI | Sinal de alerta | Frequência |
|---|---|---|---|
| Financeiro / liquidez | Saldo de caixa projetado para 30 dias | Abaixo do mínimo operacional definido | Semanal |
| Financeiro / concentração | Percentual do faturamento no top 3 clientes | Acima de 50% em um único cliente | Mensal |
| Financeiro / inadimplência | Prazo médio de recebimento (PMR) | Crescimento de mais de 20% sobre histórico | Mensal |
| Legal / trabalhista | Número de processos trabalhistas abertos | Aumento superior ao histórico do semestre | Mensal |
| Cadeia de fornecimento | Frequência de falhas de entrega do fornecedor crítico | Mais de 2 falhas no mês | Mensal |
| Operacional / pessoas | Taxa de rotatividade de funções críticas | Saída de mais de uma pessoa-chave no trimestre | Trimestral |
| Regulatório | Número de autuações ou notificações recebidas | Qualquer notificação de órgão regulador | Contínuo / por evento |
Como estruturar a rotina de monitoramento
A rotina de monitoramento eficaz distribui o acompanhamento em diferentes frequências conforme a velocidade com que o indicador pode mudar e o impacto de não detectar a mudança a tempo.
- Monitoramento diário ou semanal: indicadores de liquidez (saldo de caixa e recebimentos previstos), sinalizadores de eventos críticos em curso (falha de sistema, problema de fornecedor) e qualquer item com gatilho de ação imediata.
- Monitoramento mensal: KRIs da maioria das categorias — financeiro, legal, operacional, concentração de receita e clientes. Incluir no fechamento mensal junto ao relatório financeiro, não em reunião separada.
- Revisão trimestral: status dos planos de ação em curso, KRIs de categorias de menor velocidade (como rotatividade de pessoas-chave e exposição regulatória), relatório de riscos para a diretoria.
- Revisão semestral ou anual do mapeamento completo: atualização do inventário de riscos com input dos gestores de área, avaliação de riscos novos surgidos e reavaliação dos controles existentes.
O monitoramento semanal é informal — o gestor acompanha os números financeiros e operacionais que já acompanha. O essencial é formalizar quais são os gatilhos de alerta e o que fazer quando são acionados. Uma revisão mensal de 30 minutos com o sócio é suficiente para verificar o status dos riscos críticos.
O controller ou gestor administrativo consolida os KRIs mensalmente e inclui um bloco de status de riscos no fechamento. A revisão semestral do mapeamento é conduzida com os responsáveis de cada área — cada gestor atualiza os riscos do seu domínio antes da consolidação.
A área de risco mantém o dashboard de KRIs alimentado pelos gestores de cada área. O comitê de riscos se reúne trimestralmente para analisar os indicadores em elevação, e o conselho recebe relatório consolidado. A auditoria interna valida se os controles que sustentam os KRIs estão operando conforme declarado.
O que aciona uma revisão fora do ciclo regular
Além do ciclo regular de monitoramento, determinados eventos devem acionar uma revisão imediata do mapeamento de riscos — independentemente de quando foi a última revisão periódica. Os principais gatilhos são:
- Lançamento de novo produto ou serviço: gera riscos operacionais, regulatórios e de imagem que não constavam do mapeamento anterior.
- Mudança regulatória relevante: nova legislação, resolução ou exigência que afeta diretamente a operação.
- Evento de risco materializado: quando um risco se concretiza, o mapeamento deve ser revisado para verificar se há riscos correlatos não identificados e se os controles precisam de ajuste.
- Entrada em novo mercado, região ou segmento: expõe a empresa a riscos de fornecedor, legais e operacionais novos.
- Mudança significativa na liderança: troca de sócios, CEO ou controller pode alterar o perfil de risco de pessoas-chave e de tomada de decisão.
- Aquisição, fusão ou novo contrato de grande porte: expansão de escala ou responsabilidade que altera o perfil de exposição da empresa.
Como comunicar o status de riscos para a diretoria ou sócios
O relatório de riscos para a diretoria ou sócios deve ser curto, objetivo e focado no que mudou — não uma reprodução do inventário completo. O modelo mais eficaz usa três elementos: status por cor, evento ocorrido no período e ação em curso.
- Status por semáforo (verde / amarelo / vermelho): cada risco prioritário recebe uma classificação de status. Verde significa dentro dos parâmetros esperados; amarelo indica KRI em elevação sem materialização; vermelho indica evento em curso ou iminente. A diretoria não precisa de todos os detalhes — precisa saber onde concentrar atenção.
- Eventos ocorridos no período: riscos que se materializaram, mesmo que parcialmente, com breve descrição do impacto e da resposta adotada.
- Riscos em elevação: riscos cujos KRIs cruzaram os limites de alerta, com a ação preventiva em curso ou proposta.
- Decisões necessárias: quando um risco em elevação requer decisão da diretoria — como alocar recurso, acionar plano de contingência ou contratar seguro adicional.
O relatório não precisa ter mais de uma página para ser eficaz. O que o torna valioso é a regularidade — recebido toda vez, no mesmo formato, o gestor se torna referência de controle para a liderança.
Sinais de que o monitoramento de riscos precisa ser estruturado
Se você se reconhece em três ou mais cenários abaixo, a gestão de riscos da empresa provavelmente ainda acontece de forma reativa, não como rotina preventiva.
- O mapeamento de riscos foi feito uma vez e nunca foi revisado desde então.
- Não há indicadores definidos para sinalizar quando um risco está aumentando antes de se materializar.
- A diretoria ou os sócios nunca recebem relatório de status dos riscos da empresa.
- Eventos de risco acontecem sem que ninguém tenha percebido os sinais de alerta anteriores.
- O monitoramento de riscos acontece só quando algo dá errado — não como rotina preventiva.
- Não há responsável designado para acompanhar os riscos após o mapeamento inicial.
Caminhos para transformar a gestão de riscos em rotina
Há dois caminhos para estruturar o monitoramento contínuo, e a escolha depende da maturidade atual do processo e do volume de riscos a acompanhar.
O gestor administrativo define KRIs para os riscos prioritários, inclui a revisão na rotina mensal e cria um relatório simples para a diretoria — sem ferramenta especializada.
- Perfil necessário: gestor administrativo, controller ou analista com disciplina de acompanhamento e acesso aos dados operacionais e financeiros.
- Tempo estimado: definição de KRIs e rotina em 2 a 4 semanas; primeiros relatórios em 30 dias.
- Faz sentido quando: os riscos prioritários são em número gerenciável e os dados de monitoramento já são coletados na rotina.
- Risco principal: acúmulo de função sem tempo dedicado, fazendo o monitoramento cair na prioridade quando a rotina aperta.
Consultoria de gestão de riscos ou auditoria estrutura o processo, define os KRIs, implanta o dashboard e treina o time para manter a rotina.
- Tipo de fornecedor: Consultoria de Gestão de Riscos, Auditoria.
- Vantagem: metodologia estruturada, KRIs validados por referência de mercado e integração com sistemas existentes.
- Faz sentido quando: a empresa precisa de dashboard integrado a ERP ou sistemas de gestão, quando há auditoria de conformidade prevista ou quando o volume de riscos exige monitoramento mais sofisticado.
- Resultado típico: rotina de monitoramento implantada em 60 a 90 dias, com relatórios padronizados e responsáveis treinados.
Precisa de apoio para transformar a gestão de riscos em rotina na sua empresa?
Se estruturar o monitoramento contínuo de riscos é uma prioridade, o oHub conecta a sua empresa, gratuitamente, a consultores de gestão de riscos e empresas de auditoria. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que são KRIs (Key Risk Indicators)?
KRIs são indicadores que sinalizam mudança no nível de exposição a um risco antes que o evento se materialize. Diferente dos KPIs, que medem desempenho passado, os KRIs funcionam como alerta antecipado: quando um KRI cruza o limite de alerta definido, indica que a probabilidade ou o impacto de um risco está aumentando e que é hora de agir antes que o problema ocorra.
Com que frequência revisar o mapeamento de riscos?
A revisão completa do mapeamento deve ser feita pelo menos anualmente, com revisão semestral para empresas de médio porte ou com operação mais dinâmica. Além do ciclo regular, gatilhos específicos demandam revisão imediata: lançamento de novo produto, mudança regulatória relevante, evento de risco materializado ou entrada em novo mercado.
Como criar uma rotina de monitoramento de riscos?
Definir quais KRIs serão acompanhados para cada risco prioritário, estabelecer os limites de alerta e a frequência de verificação de cada indicador, designar um responsável pelo monitoramento e incluir o status de riscos no fechamento mensal. O relatório para a diretoria deve seguir um formato fixo — status por semáforo, eventos ocorridos e riscos em elevação — para construir o hábito de recepção e uso da informação.
O que dispara uma revisão do plano de gestão de riscos?
Além do ciclo regular, os principais gatilhos de revisão são: lançamento de novo produto ou serviço, mudança regulatória relevante, evento de risco materializado, entrada em novo mercado, mudança significativa na liderança e aquisição, fusão ou novo contrato de grande porte. Qualquer desses eventos pode introduzir riscos novos ou alterar o perfil dos riscos existentes.
Como reportar riscos para a diretoria ou sócios?
O relatório de riscos mais eficaz é curto e focado no que mudou: status por semáforo para cada risco prioritário (verde, amarelo, vermelho), eventos de risco ocorridos no período com breve descrição do impacto e resposta, riscos cujos KRIs cruzaram o limite de alerta e as decisões que requerem atenção da liderança. A regularidade do reporte é mais importante do que o volume de informação.
Fontes e referências
- ABNT. ISO 31000:2018 — Gestão de Riscos: Princípios e Diretrizes. Associação Brasileira de Normas Técnicas, 2018.
- COSO. Enterprise Risk Management: Integrating with Strategy and Performance. Committee of Sponsoring Organizations of the Treadway Commission, 2017.
- IBGC — Instituto Brasileiro de Governança Corporativa. Gerenciamento de Riscos Corporativos: Evolução em Governança e Estratégia. São Paulo: IBGC, 2017.