Como este tema funciona no porte da sua empresa
A matriz pode ser uma planilha simples com escala de 1 a 3 para probabilidade e impacto. Não há necessidade de software especializado. O gestor preenche junto com o sócio e revisa uma vez por ano ou quando há mudança relevante no negócio — uma nova contratação, perda de fornecedor ou entrada em novo mercado.
Escala de 1 a 5 é mais adequada para capturar a diversidade de riscos entre as áreas. A matriz pode ser consolidada pelo controller ou analista de risco e apresentada periodicamente à diretoria. Planilha colaborativa ou ferramenta simples de GRC são suficientes para esse porte.
Matrizes por unidade de negócio ou processo, com escalas padronizadas definidas pela política de risco da empresa. Integração com sistemas de GRC (Governance, Risk and Compliance) e alimenta o reporting para o comitê de riscos e conselho de administração.
A matriz de riscos é uma ferramenta de priorização que cruza a probabilidade de ocorrência de cada risco com a magnitude do seu impacto caso se materialize. O resultado é uma representação visual que distribui os riscos em quadrantes — do crítico ao aceitável — permitindo ao gestor decidir quais tratam com urgência, quais planejam com prazo e quais apenas monitoram. A matriz não elimina nem resolve riscos: é uma ferramenta de priorização, não de solução.
O que é a matriz de probabilidade e impacto
A matriz de probabilidade e impacto é uma grade bidimensional: no eixo vertical, a probabilidade de o risco ocorrer; no eixo horizontal, o impacto se ocorrer. Cada risco do inventário é plotado nessa grade com base nas avaliações da etapa de análise. Os riscos que caem no canto superior direito — alta probabilidade e alto impacto — são os que exigem ação imediata.
A ferramenta é reconhecida pela ISO 31000:2018 como parte do processo de avaliação de riscos e é amplamente utilizada porque combina simplicidade com utilidade prática: qualquer gestor consegue construir e interpretar uma matriz em planilha, sem necessidade de formação especializada em gestão de riscos.
A matriz não substitui o julgamento do gestor — ela organiza a informação para que o julgamento seja mais fundamentado. Dois riscos com a mesma posição na matriz podem exigir respostas muito diferentes dependendo da natureza do evento e dos controles já existentes.
Como definir as escalas de probabilidade e impacto
Definir as escalas antes de começar a preencher a matriz é fundamental — sem escala calibrada, cada pessoa avalia com critério diferente e o resultado não é comparável. A escala precisa ter significado concreto para a realidade da empresa.
Escala de probabilidade (exemplo de escala de 1 a 5):
| Nível | Descrição | Referência prática |
|---|---|---|
| 1 — Improvável | Evento raro, não há histórico na empresa | Ocorre menos de 1 vez em 5 anos |
| 2 — Pouco provável | Já aconteceu ou há histórico no setor | Ocorre 1 vez em 3 a 5 anos |
| 3 — Possível | Pode acontecer em condições normais | Ocorre 1 vez por ano ou a cada 2 anos |
| 4 — Provável | Há condições concretas para ocorrer | Ocorre mais de 1 vez por ano |
| 5 — Quase certo | Ocorre regularmente ou é esperado | Ocorre mais de 3 vezes por ano |
Escala de impacto (exemplo de escala de 1 a 5):
| Nível | Descrição | Exemplos por dimensão |
|---|---|---|
| 1 — Insignificante | Impacto mínimo, absorvível sem esforço | Perda menor que 0,5% do faturamento mensal; interrupção inferior a 4 horas |
| 2 — Baixo | Impacto gerenciável com recursos normais | Perda de 0,5% a 2% do faturamento; interrupção de 4 a 24 horas |
| 3 — Moderado | Requer atenção e recurso adicional | Perda de 2% a 10% do faturamento; interrupção de 1 a 3 dias |
| 4 — Alto | Impacto significativo na operação ou resultado | Perda superior a 10% do faturamento; interrupção de 3 a 10 dias |
| 5 — Crítico | Ameaça à continuidade da empresa | Perda que compromete a solvência; interrupção superior a 10 dias |
Passo a passo para construir a matriz
Construir a matriz de riscos em planilha é um processo direto — desde que o inventário de riscos esteja pronto e as escalas estejam definidas. Os passos a seguir aplicam-se tanto para a versão 3x3 (porte pequeno) quanto para a 5x5 (porte médio e grande).
- Preparação da planilha: crie uma aba com os riscos do inventário em linhas. Adicione colunas para: código do risco, descrição resumida, avaliação de probabilidade (1 a 3 ou 1 a 5) e avaliação de impacto (mesma escala).
- Avaliação por risco: para cada risco, defina o nível de probabilidade e impacto com base nas escalas calibradas. A avaliação deve ser feita com quem conhece o risco — não apenas pelo gestor, mas com o responsável da área.
- Cálculo do grau de risco: multiplique probabilidade × impacto para obter o escore de cada risco. Esse número é o critério de ordenação — quanto maior, mais urgente o tratamento.
- Plotagem na grade: crie a grade bidimensional (probabilidade no eixo Y, impacto no eixo X) e posicione cada risco na célula correspondente. Riscos com o mesmo escore podem estar em posições diferentes — e essa distinção importa para o tratamento.
- Coloração dos quadrantes: divida a grade em zonas de cor: vermelho (zona crítica, ação imediata), amarelo (zona de atenção, plano de resposta) e verde (zona de monitoramento ou aceitável). Os critérios de cor devem ser definidos pela empresa — não há padrão universal.
- Documentação da avaliação: registre a data da avaliação, quem participou e a justificativa para os escores dos riscos mais críticos. Esse registro é importante para comparar com avaliações futuras e para auditoria.
Use escala 3x3 (1 a 3 para probabilidade e impacto). O escore máximo é 9 (crítico) e o mínimo é 1 (aceitável). Com 5 a 10 riscos no inventário, a plotagem na grade é visual e direta. Revise a cada 12 meses ou após qualquer evento relevante.
Use escala 5x5 para capturar mais nuances. O escore máximo é 25. Com 20 a 50 riscos no inventário, a tabela de escores é mais útil que o gráfico para tomada de decisão. O controller apresenta os riscos com escore acima de 12 para revisão da diretoria.
Matrizes por unidade ou processo, com escalas padronizadas pela política de risco. Sistemas de GRC calculam e visualizam automaticamente. A área de risco consolida e apresenta ao comitê os riscos acima do limiar definido na política.
Exemplo de matriz 5x5 com riscos ilustrativos
O exemplo a seguir ilustra como riscos típicos de uma empresa de médio porte se posicionam na matriz 5x5. Os escores são fictícios e servem apenas para demonstrar o preenchimento e a interpretação.
| Código | Risco | Probabilidade (1–5) | Impacto (1–5) | Escore (P×I) | Zona |
|---|---|---|---|---|---|
| R-FIN-01 | Inadimplência acima de 15% da carteira | 3 | 4 | 12 | Atenção |
| R-OP-01 | ERP fora do ar por mais de 48h | 2 | 5 | 10 | Atenção |
| R-PES-01 | Saída do controller sem substituto | 2 | 4 | 8 | Atenção |
| R-FORN-01 | Falha do único fornecedor de insumo crítico | 2 | 5 | 10 | Atenção |
| R-FIN-02 | Concentração: top 2 clientes > 60% receita | 4 | 5 | 20 | Crítico |
| R-LEG-01 | Autuação por obrigação acessória em atraso | 3 | 2 | 6 | Monitoramento |
| R-CIB-01 | Ransomware: perda de dados financeiros | 2 | 5 | 10 | Atenção |
Interpretação dos quadrantes e ações recomendadas
A posição do risco na matriz define a urgência e o tipo de resposta — mas nunca substitui o julgamento sobre a natureza específica do evento.
| Zona | Escore (5x5) | O que significa | Ação recomendada |
|---|---|---|---|
| Crítico (vermelho) | 16 a 25 | Alta probabilidade e alto impacto — ameaça à continuidade | Plano de tratamento imediato, responsável designado, prazo curto |
| Atenção (amarelo) | 8 a 15 | Combinação de probabilidade e impacto relevante | Plano de resposta documentado, revisão em 30 a 60 dias |
| Monitoramento (verde claro) | 4 a 7 | Baixa probabilidade ou impacto gerenciável | Monitorar na revisão periódica — reavaliar se o contexto mudar |
| Aceitável (verde) | 1 a 3 | Probabilidade e impacto mínimos | Aceitar conscientemente — registrar a decisão e incluir na próxima revisão |
Como manter a matriz atualizada
Uma matriz construída e nunca revisada perde o valor rapidamente — novos riscos surgem, riscos antigos mudam de perfil e controles implantados alteram os escores. A atualização precisa ter frequência definida e gatilhos claros.
- Revisão periódica: anual para empresas pequenas, semestral para médias, trimestral para grandes. A revisão verifica se os escores mudaram, se novos riscos surgiram e se os controles implantados reduziram os escores conforme esperado.
- Gatilhos de atualização imediata: evento de risco que se materializou (adicionar ao inventário e revisar escore), mudança regulatória relevante, lançamento de novo produto ou mercado, mudança de fornecedor ou sistema crítico, saída de pessoa-chave.
- Responsável pela atualização: definir quem é o guardião da matriz — não pode ser "responsabilidade de todos" porque na prática significa "responsabilidade de ninguém".
Sinais de que sua empresa precisa construir ou revisar a matriz de riscos
Se você se reconhece em três ou mais cenários abaixo, a priorização de riscos da empresa provavelmente ainda não tem base estruturada.
- A empresa tem uma lista de riscos, mas não sabe quais tratar primeiro — todos parecem igualmente urgentes.
- Decisões sobre riscos são tomadas por percepção, sem avaliação estruturada de probabilidade e impacto.
- A matriz de riscos foi construída uma vez, mas nunca foi revisada ou usada na prática para decidir prioridades.
- Não existe definição interna do que é um risco "alto", "médio" ou "baixo" — cada área usa critérios próprios.
- Riscos de baixo impacto consomem tanto tempo de gestão quanto os críticos por falta de critério de priorização.
- Riscos de alta probabilidade e baixo impacto recebem mais atenção do que riscos de baixa probabilidade e impacto catastrófico.
Caminhos para construir e manter a matriz de riscos
A matriz pode ser construída internamente com planilha ou com apoio externo para metodologia mais robusta. A escolha depende da complexidade do inventário e das exigências de governança.
O gestor administrativo ou controller constrói e mantém a matriz em planilha com as escalas calibradas para a realidade da empresa.
- Perfil necessário: gestor administrativo ou controller com capacidade analítica para facilitar a avaliação de probabilidade e impacto com as áreas.
- Tempo estimado: 1 a 2 semanas para construção inicial com inventário pronto; revisões de 1 a 2 dias.
- Faz sentido quando: a empresa já tem o inventário de riscos e precisa do próximo passo de priorização sem investimento em software ou consultoria.
- Risco principal: escalas mal calibradas que tornam a comparação entre riscos de áreas diferentes inconsistente.
Consultoria define a metodologia, calibra as escalas com a empresa e entrega a matriz integrada ao inventário e aos planos de resposta.
- Tipo de fornecedor: Consultoria de Gestão de Riscos, Auditoria.
- Vantagem: escalas padronizadas, metodologia documentada e resultado que atende exigências de relatórios para conselho, investidores ou auditorias.
- Faz sentido quando: a matriz alimenta relatórios formais de governança, integra sistemas de GRC ou precisa atender padrões de certificação.
- Resultado típico: matriz operando em 4 a 6 semanas, com metodologia e critérios documentados para revisões autônomas.
Precisa de apoio para construir e manter a matriz de riscos da sua empresa?
Se estruturar a priorização de riscos virou prioridade, o oHub conecta sua empresa, de forma gratuita, a fornecedores de consultoria de gestão de riscos e auditoria. Em menos de 3 minutos você descreve a necessidade e recebe propostas, sem compromisso.
Encontrar fornecedores de Gestão no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Como fazer uma matriz de riscos passo a passo?
Os passos são: (1) ter o inventário de riscos pronto, (2) definir as escalas de probabilidade e impacto com critérios concretos para a empresa, (3) avaliar cada risco nas duas dimensões com quem conhece o evento, (4) calcular o escore (probabilidade × impacto), (5) plotar na grade bidimensional e colorir os quadrantes por zona de urgência, (6) documentar a avaliação com data e participantes.
O que é a matriz de probabilidade e impacto?
É uma grade bidimensional que cruza a probabilidade de ocorrência de cada risco com o impacto se ele se materializar. Cada risco do inventário é plotado na grade com base em escores definidos. O resultado distribui os riscos em zonas — crítica, de atenção, de monitoramento e aceitável — para orientar a priorização do tratamento.
Quais são as escalas usadas na matriz de riscos?
As escalas mais comuns são 3x3 (para empresas pequenas com poucos riscos) e 5x5 (para médias e grandes com inventário mais diverso). Cada nível da escala deve ter descrição concreta — não apenas "alto" ou "baixo", mas critérios específicos como frequência esperada de ocorrência ou valor de perda por faixa de impacto.
Como classificar riscos em alto, médio e baixo?
A classificação resulta do escore (probabilidade × impacto). Os limites entre alto, médio e baixo são definidos pela empresa com base no seu apetite a risco — não há padrão universal. Em uma escala 5x5, é comum considerar escores acima de 15 como críticos, de 8 a 15 como atenção, e abaixo de 8 como monitoramento ou aceitável.
A matriz de riscos precisa ser feita no Excel?
Não. Planilha — seja Excel, Google Sheets ou outra ferramenta — é suficiente para a maioria das empresas. Softwares especializados de GRC (Governance, Risk and Compliance) fazem sentido quando o inventário é extenso, há múltiplas unidades ou quando a matriz alimenta sistemas de reporting formais. O formato é menos importante do que a consistência do processo de avaliação.
Fontes e referências
- ABNT — Associação Brasileira de Normas Técnicas. ISO 31000:2018 — Gestão de Riscos: Princípios e Diretrizes. Rio de Janeiro: ABNT, 2018.
- IBGC — Instituto Brasileiro de Governança Corporativa. Gerenciamento de Riscos Corporativos. São Paulo: IBGC.