governanca-corporativa

Matriz de risco: guia prático para implementação em empresas

Publicado em 23 de Abril de 2022

A Matriz de Risco ajuda empresas a obterem perenidade. A Matriz de Risco ajuda empresas a obterem perenidade.

A Matriz de Risco é uma medida adotada por organizações que se preocupam em garantir segurança e conforto para o futuro. Quais planos de mitigação a sua organização tem para possíveis adversidades? Quando se trata de prevenção contra riscos, a sua empresa se parece mais com a formiga ou com a cigarra?

O que é matriz de risco?

 

Também conhecida como Matriz de Probabilidade e Impacto, a Matriz de Risco é uma ferramenta de gestão usada para conhecer e elencar os riscos que acometem uma empresa, determinar seus tamanhos e pensar em soluções e estratégias prévias de controle. Agora, talvez, você pode estar se perguntando...

Por que utilizar uma matriz de risco em sua empresa? 

 

O diagnóstico antecipado de problemas auxilia no desenvolvimento de medidas preventivas para diminuir, controlar ou erradicar as consequências. Nesse sentido, pode-se entender a Matriz de Probabilidade e Impacto como um “check up geral”, igual àqueles que podemos fazer regularmente com médicos para evitar ou tratar problemas de saúde. O raciocínio é simples: é preciso conhecer nossos “sintomas” e fragilidades para entendermos o que precisamos tratar para curar, ou ao menos controlar. O mapeamento de riscos, portanto, busca conhecer exatamente isso: as “dores” da organização.

Não há como medicar ou curar uma doença cuja existência permanece oculta. Descobri-la é o primeiro passo para resolvê-la. Por esse motivo, além de ser uma boa prática de Governança, a Matriz de Risco é uma medida fortemente recomendada para empresas que desejam assegurar sua longevidade e vitalidade

Além disso, a Matriz de Risco é uma das atividades executadas por empresas que buscam aumentar a maturidade da sua gestão de riscos. E uma gestão de riscos mais efetiva promove, a longo prazo, redução de custos, aumento de receita e melhor alocação de ativos. Tudo isso se converte em maiores retornos para acionistas e atrai mais investidores. Afinal, todos procuram por um lugar seguro para investir seus cifrões. 

Também é importante lembrar que a gestão de riscos é o principal fator para o aumento do Valuation de uma empresa. As fórmulas de cálculo (tanto por fluxo de caixa descontado ou pelo modelo de gordon) consideram o risco do ativo para realizar o seu desconto no tempo. Quanto menor o risco, menor o desconto e, como resultado, maior o valor das ações de uma organização. 

Como funciona uma matriz de risco? 

 

Para a identificação de problemas e determinação do grau de ameaça representado por cada um, existem dois parâmetros gerais utilizados por uma Matriz de Risco. São eles: Probabilidade e Impacto. Na tabela mais adiante no artigo, tais parâmetros são representados por eixos (X,Y) e o tamanho de cada ameaça é determinado pela soma entre eles. 

Vamos pensar em um exemplo prático, chamado de A. Imagine que, por uma falha de segurança da informação, sua organização sofre um ciberataque e tem diversos dados sigilosos sequestrados. Os criminosos poderiam solicitar um valor de resgate muito alto ou simplesmente vender as informações por fora, o que renderia processos judiciais ou até sansões para a sua empresa por omissão ou descuido. No fim, o impacto disso seria enorme – por isso, em níveis de criticidade de 1 a 5, daremos uma classificação 5 para a consequência deste problema, representando um impacto muito significativo para a vida da empresa. 

E quais as probabilidades de isso acontecer? As chances aumentam ou diminuem conforme o contexto for mais ou menos propício à materialização do risco. Tendo em vista a grande frequência com que os crimes cibernéticos têm ocorrido no mundo inteiro, não há como descartar a grande possibilidade de sua empresa sofrer um ciberataque, por mais precavida que ela seja em relação à segurança da informação. Concederemos, portanto, a classificação 3 no eixo de probabilidade.

Desse modo, a partir da soma dos critérios, tal risco exige atenção urgente para a elaboração de medidas preventivas. 

Vale observar também que ilustrações hipotéticas como essa ajudam a avaliar os problemas que sua organização tem chance de enfrentar e quais impactos eles teriam no seu negócio. 

Como ler uma matriz de risco? 

 

Ler uma Matriz de Probabilidade e Impacto é muito simples, principalmente para quem já estudou matemática e teve contato com um Plano Cartesiano. Assim como essa estrutura pensada pelo matemático francês René Descartes, a Matriz de Risco é formada por duas linhas retas perpendiculares e enumeradas – a horizontal é o eixo X (Consequência) e a vertical, o eixo Y (Probabilidade). 

No caso da Matriz, porém, concentramo-nos somente no 1° Quadrante, pois tal ferramenta não trabalha com números negativos, apenas positivos.

Imagem com ilustração de um caderno, onde está desenhado o plano cartesiano. O primeiro quadrante do plano está destacado e, ao lado, há um post-it com a anotação: “A Matriz de Riscos funciona assim como o primeiro quadrante do plano cartesiano.”

Se você não é fã de matemática, pode ficar tranquilo. Não é necessário fazer cálculos para utilizar a Matriz. O par ordenado (X, Y) localiza a ameaça dentro do plano, associando-a, assim, aos níveis de criticidade e probabilidade. Alguns modelos usam cores frias e quentes para representar urgência e perigo de cada risco, como na imagem a seguir, facilitando ainda mais a leitura. Por esse motivo, também encontramos a denominação, no mercado, de “mapa de calor” para a matriz de risco. 

Imagem com ilustração de uma matriz de risco, onde o exemplo dado, representado pela letra A, está localizado no ponto do plano em que se encontram a coluna de Consequência Extrema e Probabilidade Média.

Como implementar uma matriz de risco em sua empresa? 

 

Antes de implementar a ferramenta, existem alguns passos que você precisará seguir. Veja-os abaixo: 

Conheça bem a organização 

 

Conhecer bem a estrutura da empresa tornará o processo mais claro e simples. O propósito da Matriz de Risco é apontar os riscos, mas conhecê-los de antemão será um fator decisivo para a quantidade de tempo gasto com a produção dela. Você conhece a sua organização o suficiente para identificar as ameaças que a acometem? Conhecer significa notar os gaps, as dores, os processos, as políticas, as tensões de cada área. As ações, travas e controles que faltam, falham, são insuficientes ou inadequados, tornando a empresa passível de implementação de recomendações de melhorias. 

Avalie as normas e a legislação do seu mercado 

 

Certifique-se de que a empresa esteja em conformidade com a legislação, pois esse é um ponto relevante apontado pela Matriz de Probabilidade e Impacto. Qualquer descumprimento às normas já se configura como um risco com grandes consequências, que deve ser resolvido urgentemente. 

Realize uma pesquisa interna 

 

Inclua depoimentos de pessoas que diariamente executam as atividades da empresa em sua análise. Entreviste funcionários, fornecedores e empresas terceiras. Isso poderá ajudar a validar ou agregar ao levantamento das ameaças. 

Mapeie os riscos 

 

Por mais otimista que você seja, esta é a hora de se tornar o mais pessimista possível. Tendo realizado tudo o que foi indicado nos passos anteriores, sua tarefa será mapear as diversas ameaças contra o seu negócio, até mesmo as menos prováveis de acontecer. Pense em tudo de ruim que poderia ocorrer com sua empresa. 

Como criar uma matriz de risco? 

 

Após a elaboração do mapeamento de riscos, existem apenas mais dois passos práticos para, por fim, concluir a confecção da Matriz de Risco. São eles: 

Passo 1: Descrever níveis de probabilidade e gravidade 

 

Classifique cada uma das ameaças de acordo com os critérios de Probabilidade e Gravidade. Veja os níveis a seguir: 

Probabilidade 

 

  • Improvável – 1 
  • Pouco provável – 2 
  • Possível – 3 
  • Muito possível – 4
  • Quase certo - 5 

 

Gravidade 

 

  • Sem impacto – 1 
  • Baixo impacto – 2 
  • Médio impacto – 3
  • Alto impacto – 4
  • Extrema - 5 

 

Passo 2: Definir o Score para as criticidades do risco  

 

Depois de classificá-los, disponha-los na tabela de acordo com a nota que eles receberam em cada eixo, assim como os pontos feitos no Plano Cartesiano. A soma das duas notas determinará o Score de criticidade da ameaça, ou seja, com quanta urgência ela deve ser tratada. Como já dissemos, em alguns casos, esse Score é sinalizado por cores – sendo menos preocupantes as frias e mais urgentes as quentes. 

Qual equipe é responsável por elaborar a matriz de risco em uma empresa? 

 

Na maioria dos casos, a Área de Riscos é responsável pela elaboração da Matriz de Probabilidade e Impacto na empresa. Essa equipe fica abaixo do Diretor de GRC (Governança, Riscos e Compliance). Eles mapeiam as áreas, suas atividades e riscos, depois mandam para o Comitê de Riscos avaliar o apetite de cada ameaça. Passando por essa instância, finalmente a Matriz chega à mesa do Conselho de Administração para aprovação. 

Por isso, confeccionar uma Matriz de Risco para a sua organização não é um trabalho tão fácil e rápido quanto parece. Esse processo demanda tempo, dinheiro e profissionais competentes com experiência nesse tipo de tarefa.  

Existem também empresas que realizam esse trabalho de forma terceirizada, elaborando a Matriz de Riscos da sua organização e dispensando a necessidade de uma Área de Riscos. Deloitte e KPMG são dois exemplos disso. 

A importância da atualização constante da matriz de risco 

 

Há poucos anos, alguns riscos como o cibercrime não tinham grande relevância. Hoje, a realidade é diferente. Por esse motivo, atualizar regularmente a Matriz de Risco é de extrema importância. Para isso, é bom acompanhar o que outras organizações têm feito e com o que se preocupam, no intento de fazer uma espécie de “benchmarking de segurança”. 

Quais as consequências de não fazer uma Matriz de Risco? 

 

Deixar de fazer uma Matriz de Probabilidade e Impacto por si só já representa uma grande ameaça à existência da sua empresa. Não é à toa que, entre as 11 falhas da Governança Corporativa, essa é uma das principais que seu negócio pode ter. Sem tal ferramenta, a organização fica rendida ao acaso. Se surgir algum problema, pode ser tarde demais para pensar em soluções. 

Portanto, não deixe para depois. Não espere algo de ruim acontecer. Procure sempre por diagnósticos prévios e soluções antecipadas. 

Este artigo lhe ajudou de alguma maneira? Se sim, compartilhe com seus colegas e continue navegando em nosso blog!

 

Publicado por Luiz Gustavo Anjos