Como este tema funciona no porte da sua empresa
Para empresas ainda nesse porte, o modelo adequado é o método mínimo viável: lista de riscos críticos, avaliação de impacto e probabilidade, plano de resposta para os mais críticos e revisão mensal de 30 minutos. Ver artigo "Gestão de riscos na pequena empresa".
Este artigo é sobre este porte. A gestão de riscos aqui ganha estrutura: inventário formal, responsáveis por categoria, revisão semestral com gestores de área e reporting trimestral para a diretoria. O controller ou gestor administrativo coordena sem precisar criar cargo específico de risco.
Para empresas com ERM (Enterprise Risk Management) formal, área de risco dedicada e comitê de riscos: o papel do gestor administrativo dentro desse sistema é descrito no artigo "Gestão de riscos corporativa na grande empresa".
Estruturar a gestão de riscos na média empresa significa formalizar o que na pequena empresa era informal: criar um inventário de riscos com categorias e responsáveis definidos, estabelecer um ciclo periódico de revisão com input das áreas, definir KRIs para os riscos prioritários e produzir um relatório regular para a diretoria. O diferencial da média empresa é que ela já tem processos e áreas definidas — o que torna possível distribuir a responsabilidade pelo risco entre os gestores, ao invés de concentrar tudo no sócio.
Por que a média empresa precisa ir além da gestão de riscos informal
A média empresa está no ponto de inflexão: já superou o estágio em que o sócio ou gestor central consegue controlar todos os riscos com base em conhecimento pessoal da operação, mas ainda não tem ERM estruturado. Essa é a fase mais crítica — o crescimento criou complexidade, mas a gestão de riscos não acompanhou.
Com 51 a 500 funcionários, a empresa já tem múltiplas áreas interdependentes, uma carteira de fornecedores mais diversa, mais colaboradores e maior exposição regulatória. O controller ou gestor administrativo não consegue mais ter visão direta de todos os processos — precisa de um sistema que consolide os riscos de cada área e gere informação para a diretoria tomar decisões.
A formalização também é necessária para atender a exigências externas: clientes de grande porte, investidores e financiadores passam a exigir comprovação de controles internos e gestão de riscos estruturada como critério de habilitação ou de crédito.
O inventário de riscos para o porte médio: campos mínimos
O inventário de riscos da média empresa não precisa ser sofisticado — precisa ser completo e mantido atualizado. Os campos mínimos de cada item do inventário são:
- Identificação do risco: descrição objetiva do evento de risco — não a consequência, mas a causa. "Fornecedor crítico interrompe abastecimento" é um risco; "perda de receita" é consequência.
- Categoria: agrupamento por tipo — financeiro, operacional, legal/regulatório, pessoas, fornecedores, tecnologia, reputação. As categorias organizam o inventário e facilitam a atribuição de responsáveis.
- Impacto e probabilidade: avaliação em escala de três ou cinco níveis. Para a média empresa, a escala de três níveis (alto, médio, baixo) é suficiente e mais ágil de manter.
- Risco residual: o nível de exposição após considerar os controles já existentes. Inventários que avaliam apenas o risco inerente — sem considerar que há controles operando — superestimam a exposição real.
- Responsável: o gestor da área que responde pela gestão daquele risco — não o controller que coordena o processo como um todo.
- Controles existentes: o que já está em vigor para reduzir a probabilidade ou o impacto do risco.
- Plano de ação: o que está previsto para reduzir o risco residual — com prazo e responsável definidos.
Quem coordena a gestão de riscos na média empresa
Na média empresa, a gestão de riscos é coordenada pelo controller ou pelo gestor administrativo — não por uma área dedicada. Esse coordenador não precisa ser o especialista em todos os riscos; precisa ser o facilitador que garante que o ciclo acontece: coleta input das áreas, consolida o inventário, monitora os KRIs e produz o relatório para a diretoria.
A estrutura de responsabilidade é distribuída: cada gestor de área é responsável pelos riscos do seu domínio — o gerente de RH pelo risco de pessoas-chave e trabalhista, o gerente comercial pelo risco de concentração de clientes, o gestor de operações pelo risco de fornecedores críticos. O controller consolida, não assume todos.
Essa distribuição tem dois benefícios práticos: quem está mais perto do risco é quem melhor o conhece e pode monitorar os sinais de alerta; e o gestor que é responsável pelo risco tem incentivo para controlá-lo, não apenas reportá-lo.
O ciclo de gestão de riscos para o porte médio
O ciclo de gestão de riscos adequado à média empresa combina revisão periódica com monitoramento contínuo de indicadores. O modelo em quatro etapas é o seguinte:
- Mapeamento anual: levantamento completo do inventário de riscos com input de todos os gestores de área. Cada gestor atualiza os riscos do seu domínio, reavalia impacto e probabilidade e atualiza o status dos controles e planos de ação. O controller consolida a visão corporativa.
- Revisão semestral com gestores de área: revisão do inventário para capturar riscos novos surgidos no semestre, atualizar a avaliação dos riscos existentes e verificar o progresso dos planos de ação. Não é o levantamento completo — é uma atualização focada no que mudou.
- Monitoramento de KRIs mensalmente: cada gestor de área acompanha os indicadores de risco da sua categoria e informa o controller quando um KRI ultrapassa o limite de alerta. O controller inclui o status de riscos no fechamento mensal.
- Reporting trimestral para a diretoria: relatório consolidado com status dos riscos prioritários, eventos de risco ocorridos no trimestre, KRIs em elevação e decisões que requerem atenção da diretoria.
Esse ciclo é escalável: uma empresa no limite inferior do porte médio pode começar com mapeamento anual e revisão semestral, sem KRIs formais; uma empresa no limite superior pode ter monitoramento mensal formalizado e dashboard para a diretoria.
Integrando a gestão de riscos ao planejamento estratégico
O inventário de riscos alimenta as premissas do planejamento anual — e esse é o principal argumento para a diretoria priorizar o processo. Uma empresa que planeja metas e orçamento sem considerar os riscos identificados está definindo alvos sem margem para os obstáculos previsíveis.
A integração prática ocorre em dois momentos:
- Na elaboração do plano anual: os riscos de alto impacto identificados no mapeamento são apresentados junto com as metas — cada risco relevante tem um plano de mitigação que considera recursos e prazo. As metas são revisadas considerando a probabilidade de materialização dos riscos principais.
- Na revisão do orçamento: riscos financeiros identificados (inadimplência, variação cambial, custo de energia, rescisões trabalhistas) entram como premissas de variação nas projeções — não como contingências que aparecem no meio do ano sem previsão.
Ferramentas para o porte médio
A ferramenta de gestão de riscos adequada à média empresa depende do volume de riscos, do número de áreas e da maturidade do time. O critério de escolha é o menor custo que entrega o controle necessário — não a ferramenta mais sofisticada disponível.
| Ferramenta | Quando faz sentido | Limitação |
|---|---|---|
| Planilha estruturada (Excel ou Google Sheets) | Inventário com até 50 riscos, times de até 5 gestores responsáveis, sem necessidade de auditoria externa de controles | Não tem controle de versão robusto, depende de disciplina para manter atualizada, não integra com outros sistemas |
| Ferramenta de GRC simples (SaaS) | Inventário com mais de 50 riscos, múltiplos gestores responsáveis, necessidade de trilha de auditoria ou exigência de clientes/investidores | Custo mensal adicional; curva de adoção pelo time |
| Módulo de risco do ERP | Quando o ERP já tem o módulo disponível e os dados operacionais que alimentam os KRIs estão no ERP | Geralmente menos flexível que uma ferramenta dedicada; depende de configuração do módulo |
Sinais de que a gestão de riscos da média empresa precisa ser estruturada
Se você se reconhece em três ou mais cenários abaixo, o processo de gestão de riscos provavelmente ainda está na fase informal da pequena empresa, sem acompanhar o crescimento.
- A empresa cresceu e o método informal de revisão de riscos da fase anterior não é mais suficiente para a complexidade atual.
- A diretoria não tem visão consolidada dos riscos da empresa — cada área cuida dos seus de forma isolada.
- O inventário de riscos foi feito por área, mas nunca foi consolidado em uma visão corporativa.
- O planejamento anual não considera os riscos mapeados como insumo para metas e orçamento.
- Não há responsável definido para coordenar a gestão de riscos transversalmente às áreas.
- A empresa já teve eventos de risco que impactaram múltiplas áreas sem um plano de resposta integrado.
Caminhos para estruturar a gestão de riscos na média empresa
Há dois caminhos para formalizar o processo de gestão de riscos, e a escolha depende da maturidade interna e das exigências externas da empresa.
O controller ou gestor administrativo estrutura o inventário, conduz o ciclo de revisão com os gestores de área e produz o reporting para a diretoria — sem apoio externo.
- Perfil necessário: controller ou gestor administrativo com capacidade analítica e influência para conduzir o processo com os demais gestores de área.
- Tempo estimado: primeiro inventário completo em 60 a 90 dias; ciclo regular rodando em 3 a 6 meses.
- Faz sentido quando: o time já tem os dados e o conhecimento dos riscos internamente e a estrutura é suficiente para conduzir o processo sem metodologia externa.
- Risco principal: inventário montado mas não mantido — o ciclo de revisão não se consolida como rotina.
Consultoria de gestão de riscos ou auditoria estrutura a metodologia, conduz o primeiro mapeamento e treina o time para manter o processo internamente.
- Tipo de fornecedor: Consultoria de Gestão de Riscos, Auditoria, Compliance.
- Vantagem: metodologia alinhada com ISO 31000 e COSO, benchmarking setorial de riscos e capacitação do time para manter o processo após o projeto.
- Faz sentido quando: a empresa precisa de metodologia formal por exigência de investidores ou clientes, quando há gap identificado por auditoria ou quando o processo interno não está evoluindo.
- Resultado típico: inventário estruturado e ciclo de revisão implantado em 60 a 90 dias, com o controller apto a manter o processo.
Precisa de apoio para estruturar a gestão de riscos da sua empresa de médio porte?
Se formalizar o processo de gestão de riscos é uma prioridade, o oHub conecta a sua empresa, gratuitamente, a consultores de gestão de riscos, auditoria e compliance. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Como estruturar a gestão de riscos em uma empresa de 50 a 500 funcionários?
Montando um inventário formal com campos mínimos (risco, categoria, impacto, probabilidade, risco residual, responsável, controles e plano de ação), estabelecendo o ciclo de revisão — mapeamento anual, revisão semestral com gestores de área, monitoramento de KRIs mensalmente e reporting trimestral para a diretoria — e designando o controller ou gestor administrativo como coordenador do processo.
A média empresa precisa de área de risco dedicada?
Não. Na média empresa, a gestão de riscos é coordenada pelo controller ou gestor administrativo, com cada gestor de área sendo responsável pelos riscos do seu domínio. Criar um cargo dedicado de risco só faz sentido quando o volume de riscos e a complexidade da operação justificarem o custo — o que geralmente ocorre acima de 500 funcionários ou em setores altamente regulados.
O que é inventário de riscos corporativos e como manter?
É o registro estruturado de todos os riscos identificados pela empresa, com avaliação de impacto e probabilidade, responsável designado, controles existentes e plano de ação. Manter o inventário significa revisá-lo com frequência definida — pelo menos semestral para a média empresa — e atualizá-lo quando surgem riscos novos ou quando gatilhos de revisão são acionados.
Como integrar gestão de riscos ao planejamento estratégico?
Apresentando os riscos de alto impacto junto com as metas na elaboração do plano anual, incluindo os planos de mitigação correspondentes, e usando os riscos financeiros identificados como premissas de variação nas projeções orçamentárias. Riscos que não entram no planejamento aparecem como surpresas no meio do ano.
Qual a diferença entre gestão de riscos da média e da grande empresa?
Na média empresa, o processo é coordenado pelo controller ou gestor administrativo sem área dedicada, o inventário é consolidado em nível corporativo e o reporting vai para a diretoria. Na grande empresa, há área de risco dedicada, comitê de riscos formal, reporting para o conselho de administração, auditoria interna validando os controles e integração com o ERM corporativo conforme frameworks como ISO 31000 e COSO.
Fontes e referências
- ABNT. ISO 31000:2018 — Gestão de Riscos: Princípios e Diretrizes. Associação Brasileira de Normas Técnicas, 2018.
- IBGC — Instituto Brasileiro de Governança Corporativa. Gerenciamento de Riscos Corporativos: Evolução em Governança e Estratégia. São Paulo: IBGC, 2017.
- COSO. Enterprise Risk Management: Integrating with Strategy and Performance. Committee of Sponsoring Organizations of the Treadway Commission, 2017.