Como este tema funciona no porte da sua empresa
Os erros mais frequentes são a ausência de mapeamento formal (gestão de riscos totalmente reativa), a dependência de memória — "todo mundo sabe quais são os riscos" — e o foco exclusivo em riscos financeiros enquanto operacionais e de pessoas ficam sem atenção.
Além dos erros da fase anterior, surgem o inventário criado e nunca revisado, a avaliação do risco inerente sem considerar os controles existentes (risco residual ignorado) e o mapeamento conduzido apenas pela liderança sem input das equipes operacionais.
Processo formal que virou burocracia: o ERM produz documentos, mas não influencia decisões; KRIs são reportados sem análise; eventos de risco ocorrem em categorias que constam como "controladas" no mapa porque o inventário não reflete a realidade operacional.
Os erros mais recorrentes na gestão de riscos empresariais não são técnicos — são comportamentais e de processo: o mapeamento feito uma vez e esquecido, a confusão entre risco inerente e risco residual, o foco em riscos prováveis enquanto os de alto impacto ficam sem atenção e a gestão de riscos tratada como projeto concluído em vez de rotina permanente. Conhecer esses erros permite corrigi-los antes que comprometam a utilidade do processo.
Os 7 erros mais comuns na gestão de riscos
Os erros que comprometem a gestão de riscos aparecem nos três portes de empresa, com variações de contexto. A lista abaixo descreve cada erro, explica por que acontece e indica como corrigi-lo.
-
Erro 1 — Mapeamento feito uma vez e nunca revisado
O inventário de riscos tem prazo de validade. Riscos novos surgem com o crescimento da empresa, mudanças regulatórias e eventos externos; riscos antigos mudam de perfil conforme os controles evoluem ou deterioram. Um inventário com mais de um ano sem revisão descreve a empresa de um ano atrás — não a de hoje.
Por que acontece: o mapeamento é percebido como projeto — tem início, meio e fim. Quando entregue, a sensação é de tarefa concluída.
Como corrigir: definir frequência de revisão no momento do mapeamento (revisão semestral para médias, anual no mínimo para pequenas) e incluir gatilhos de revisão extraordinária (novo produto, mudança regulatória, evento de risco materializado).
-
Erro 2 — Foco em riscos prováveis, ignorando os de alto impacto e baixa probabilidade
O viés de disponibilidade faz as pessoas superestimarem o que já aconteceu antes e subavaliarem o que nunca aconteceu. Riscos de alta probabilidade e baixo impacto recebem planos de ação detalhados; riscos de baixa probabilidade e impacto catastrófico são classificados como "improvável" e ficam sem atenção.
Por que acontece: eventos de baixa probabilidade parecem remotos durante o planejamento. A atenção vai naturalmente para o que acontece com frequência.
Como corrigir: na matriz de risco, os itens de alto impacto — mesmo que de baixa probabilidade — devem ter pelo menos um plano de resposta definido. A ausência de um plano para o pior cenário é um risco em si.
-
Erro 3 — Avaliar o risco inerente e ignorar o risco residual
Risco inerente é a exposição antes de qualquer controle. Risco residual é a exposição após considerar os controles que já estão operando. Inventários que avaliam apenas o risco inerente superestimam a exposição real — e podem levar a decisões de mitigação desnecessárias. Inventários que assumem que os controles funcionam sem verificá-los superestimam a proteção.
Por que acontece: a avaliação do risco residual exige verificar se os controles declarados estão efetivamente operando — o que demanda mais esforço do que apenas listar o risco.
Como corrigir: incluir no inventário os campos de controles existentes e risco residual; revisar periodicamente se os controles declarados estão operando com evidências — não com declaração.
-
Erro 4 — Mapeamento conduzido pela liderança sem ouvir a operação
Quem executa o processo conhece os riscos operacionais que a diretoria desconhece. Um mapeamento conduzido apenas em reunião de gestores captura os riscos estratégicos, mas frequentemente deixa de fora os riscos operacionais e de processo — que são os que mais frequentemente se materializam no dia a dia.
Por que acontece: o mapeamento é conduzido pela liderança por ser percebido como decisão estratégica — e a operação não é consultada por praticidade ou por não ser vista como portadora de informação relevante.
Como corrigir: incluir no processo de levantamento um momento de coleta com as equipes operacionais — pode ser por questionário simples, entrevista rápida com líderes de equipe ou revisão do inventário em reunião de área antes da consolidação.
-
Erro 5 — Gestão de riscos vista como projeto, não como rotina
O mapeamento é entregue e "concluído" — sem monitoramento contínuo, sem KRIs, sem revisão periódica. O risco sem monitoramento é como um sinal de alerta com bateria descarregada: existe, mas não funciona quando mais precisa.
Por que acontece: a entrega do inventário cria uma sensação de conclusão. A manutenção da rotina de monitoramento não tem um "entregável" visível, e cai na prioridade quando a operação pressiona.
Como corrigir: definir no momento do mapeamento o ciclo de monitoramento — frequência de revisão, responsáveis pelos KRIs e formato do relatório para a diretoria. Incluir a revisão na agenda recorrente, não como tarefa adicional.
-
Erro 6 — Documentar riscos sem definir responsável e plano de ação
Um risco sem dono e sem plano de resposta definido é apenas um problema com nome bonito. Inventários que listam dezenas de riscos sem responsável designado e sem ação associada não geram controle — geram uma lista que ninguém sabe o que fazer com.
Por que acontece: no momento do mapeamento, definir responsáveis e planos de ação para todos os riscos parece excessivo. O inventário é "completado" com a identificação e avaliação, e a etapa de resposta fica para depois — e frequentemente não acontece.
Como corrigir: todo risco classificado como prioritário (alto impacto ou alta probabilidade) deve sair do mapeamento com responsável e plano de ação definidos — mesmo que o plano seja simples. Riscos sem responsável não estão gerenciados.
-
Erro 7 — Confundir risco com problema já ocorrido
Risco é um evento futuro com probabilidade de ocorrência. Um problema que já ocorreu é um incidente — e merece resposta, não mapeamento de risco. Inventários que listam eventos passados como riscos presentes confundem gestão de riscos com análise de incidentes.
Por que acontece: é mais fácil listar o que já aconteceu do que antecipar o que pode acontecer. Eventos recentes têm mais saliência cognitiva e parecem mais concretos do que riscos futuros.
Como corrigir: verificar se cada item do inventário é prospectivo — descreve um evento que pode ocorrer, não um evento que já ocorreu. Eventos passados entram como lição aprendida: qual controle teria evitado? O risco correspondente é o que entra no inventário para prevenção.
O teste para identificar erros no inventário atual
Antes de montar um novo mapeamento, vale verificar se o inventário existente sofre dos erros mais comuns. Quatro perguntas permitem um diagnóstico rápido:
- Quando foi a última revisão? Se for há mais de um ano, o inventário provavelmente está desatualizado.
- Cada risco tem responsável e plano de ação? Se não, os riscos estão mapeados, mas não gerenciados.
- O inventário diferencia risco inerente de risco residual? Se não, a avaliação de exposição real está incompleta.
- Os riscos listados descrevem eventos futuros possíveis ou eventos que já ocorreram? Se predominam eventos passados, o inventário é mais um histórico de incidentes do que um mapa de riscos.
Sinais de que o processo de gestão de riscos tem erros críticos a corrigir
Se você se reconhece em três ou mais cenários abaixo, o processo de gestão de riscos provavelmente tem erros estruturais que comprometem sua utilidade.
- O inventário de riscos tem mais de um ano sem revisão.
- O mapeamento foi conduzido em reunião de diretoria, sem consultar as equipes operacionais.
- Nenhum risco do inventário tem responsável designado e plano de ação definido.
- Os riscos de baixa probabilidade e alto impacto foram classificados como "aceitáveis" sem análise de resposta.
- O que está descrito como risco no inventário são consequências ("perda de faturamento"), não causas (concentração de clientes, inadimplência sem política de crédito).
- A empresa tem ERM formal, mas ele não é consultado em decisões estratégicas ou operacionais.
Caminhos para revisar e corrigir o processo de gestão de riscos
Há dois caminhos para corrigir os erros identificados, e a escolha depende da profundidade das mudanças necessárias.
O gestor revisa o processo atual, identifica os erros mais críticos e corrige o que está no controle da área administrativa.
- Perfil necessário: gestor administrativo ou controller com acesso ao inventário atual e autoridade para conduzir a revisão com as áreas.
- Tempo estimado: diagnóstico dos erros em uma semana; revisão do inventário e correção dos campos em 30 a 60 dias.
- Faz sentido quando: os erros são de processo e podem ser corrigidos internamente — revisão do inventário, definição de responsáveis, inclusão de risco residual e estabelecimento do ciclo de monitoramento.
- Risco principal: corrigir a forma sem mudar o comportamento — o inventário é atualizado, mas o monitoramento continua informal.
Consultoria de gestão de riscos ou auditoria realiza diagnóstico independente do processo, identifica os erros e reformula a metodologia com base em frameworks reconhecidos.
- Tipo de fornecedor: Consultoria de Gestão de Riscos, Auditoria.
- Vantagem: diagnóstico independente — sem os vieses de quem criou o processo; metodologia alinhada a ISO 31000 e COSO; capacitação do time para evitar a recorrência dos erros.
- Faz sentido quando: o processo está estruturalmente equivocado, quando há exigência de auditoria de controles ou quando o ERM precisa ser reformulado com metodologia adequada ao porte e ao setor.
- Resultado típico: diagnóstico e plano de correção em 30 a 45 dias; processo revisado e funcionando em 60 a 90 dias.
Precisa de apoio para revisar e corrigir o processo de gestão de riscos da sua empresa?
Se corrigir os erros no processo de gestão de riscos é uma prioridade, o oHub conecta a sua empresa, gratuitamente, a consultores de gestão de riscos e auditoria. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Quais são os erros mais comuns na gestão de riscos?
Os sete mais recorrentes são: mapeamento feito uma vez e nunca revisado; foco em riscos prováveis ignorando os de alto impacto e baixa probabilidade; avaliação do risco inerente sem considerar o risco residual; mapeamento conduzido só pela liderança sem ouvir a operação; gestão de riscos tratada como projeto concluído e não como rotina; riscos documentados sem responsável e plano de ação; e confusão entre risco (evento futuro) e incidente (evento já ocorrido).
Por que o mapeamento de riscos não funciona na prática?
Porque o mapeamento é tratado como projeto com início, meio e fim — e não como rotina permanente. Sem monitoramento contínuo, revisão periódica e responsáveis designados para cada risco, o inventário envelhece rapidamente e deixa de refletir a realidade operacional. A gestão de riscos só funciona quando é mantida viva como processo, não apenas quando entregue como documento.
O que é viés de otimismo na avaliação de riscos?
É a tendência de subestimar a probabilidade de eventos negativos — especialmente os que nunca ocorreram antes. O viés de otimismo faz com que riscos de baixa probabilidade e alto impacto sejam classificados como "improvável" e fiquem sem plano de resposta, enquanto riscos de alta probabilidade e baixo impacto recebem atenção desproporcional. O antídoto é perguntar: "se esse risco ocorrer, qual seria o impacto?" — independentemente de quão improvável parece.
Por que empresas ignoram riscos de baixa probabilidade e alto impacto?
Porque eventos de baixa probabilidade parecem remotos durante o planejamento e não têm a saliência cognitiva dos que já aconteceram ou que acontecem com frequência. O resultado é que os riscos mais críticos — os que podem paralisar ou fechar a empresa — ficam sem plano de resposta, enquanto riscos menores têm planos detalhados. A matriz de risco deve garantir que todo risco de alto impacto tenha pelo menos um plano básico de resposta, independentemente da probabilidade.
Como evitar que a gestão de riscos vire burocracia?
Integrando o monitoramento à rotina existente — cinco minutos no fechamento mensal, checklist simples na aprovação de novos contratos, atualização do inventário em 30 minutos semestrais por área. A gestão de riscos vira burocracia quando cria processos paralelos sem utilidade percebida. Quando está integrada às decisões reais da operação, ela é percebida como ferramenta, não como obrigação.
Fontes e referências
- IBGC — Instituto Brasileiro de Governança Corporativa. Gerenciamento de Riscos Corporativos: Evolução em Governança e Estratégia. São Paulo: IBGC, 2017.
- ABNT. ISO 31000:2018 — Gestão de Riscos: Princípios e Diretrizes. Associação Brasileira de Normas Técnicas, 2018.