Matriz de riscos: entenda o que é e porque você deve começar a usar
O processo de abertura de uma empresa sempre envolve estudo, pesquisa, planejamento… Afinal, é preciso estar com os “pés no chão” e ciente do que está a caminho. Mesmo que não seja possível prever tudo o que vai acontecer, é possível estar mais preparado.
Nesse sentido, a matriz de riscos pode ser uma grande aliada. Isso porque é fundamental ter consciência de quais são os principais riscos que o negócio pode vir a enfrentar, de forma a se antecipar a eles ou remediá-los prontamente.
Por isso, preparamos este conteúdo completo sobre matriz de riscos, onde abordamos o que é, qual sua importância e como criar uma para sua empresa. Siga lendo para conferir essas e outras informações!
Análise de riscos: um olhar geral
Antes de tudo, precisamos falar sobre análise de riscos, processo que toda organização deve realizar. Ela se dá por meio de um método, o qual tem a função de identificar e analisar eventos que possam gerar impactos negativos nas pessoas, ativos, ambientes, entre outros pontos.
Para prever cenários e situações que podem vir a causar riscos ou danos, o processo pode ser conduzido de diferentes maneiras. Tudo irá depender dos padrões e conformidades do respectivo setor ou negócio.
Dessa forma, as empresas passam a estar cientes sobre quais e de que forma os programas estabelecidos evitam, previnem e controlam os riscos (como perdas, ferimentos ou doenças). Além disso, é sempre necessário atender aos requisitos legais em relação a esse assunto.
O que é uma matriz de riscos?
A matriz de riscos nada mais é do que um dos métodos existentes para se realizar uma análise de riscos. Além dela, há outros, como FMEA, FMECA, HAZOP, BIA e ALARP. Todos, cada um com suas particularidades, são ferramentas de gerenciamento de riscos já bastante estudadas e aplicadas por empresas em todo o mundo.
Conhecida também como matriz de probabilidade e impacto, a matriz de riscos é um método puramente visual que, por trazer grande clareza, faz com que sejam facilmente percebidos quais são os maiores e menores riscos, o que torna mais fácil o engajamento das equipes a fim de preveni-los e solucioná-los, conforme as prioridades.
Dentro da matriz, um risco é considerado a partir de dois critérios: a probabilidade de acontecer e o impacto que irá trazer para a organização. Nesse sentido, ao avaliar um risco que se apresenta como uma ameaça, deve-se determinar tanto o seu nível de probabilidade quanto o seu impacto.
No formato de uma tabela orientada por duas dimensões (probabilidade e impacto), em uma matriz de risco são utilizadas linhas e colunas para determinar o nível de criticidade do risco. Ele pode ser baixo, médio ou alto, onde é empregada as seguintes definições:
- Cor verde para risco baixo;
- Cor amarela para risco médio;
- Cor vermelha para risco alto.
Desse modo, os riscos que apresentam uma classificação considerada alta (cor vermelha) devem obrigatoriamente ser vistos com maior atenção do que os riscos classificados como médios (cor amarela), enquanto os riscos classificados como baixos (cor verde) demandam menos esforços ainda.
O que significa probabilidade?
Dentro de uma matriz de riscos, a probabilidade é a variável que está localizada no eixo vertical da tabela. Ela se caracteriza como a medição de o quão provável é a ocorrência daquele risco, ou seja, é preciso analisar o quão fácil ou difícil se dá a sua ocorrência.
A probabilidade é medida em níveis, os quais podem ser os seguintes: muito baixa, baixa, moderada, alta e muito alta. Para facilitar o entendimento, os níveis podem ser também convertidos em porcentagens, onde temos:
- Muito baixa = 1% a 10% = provavelmente não acontecerá;
- Baixa = 11% a 30% = pode ocorrer uma vez em um ano;
- Moderada = 31% a 50% = pode ocorrer mais de uma vez em um ano;
- Alta = 51% a 70% = pode ser que ocorra uma vez por mês;
- Muito alta = 71% a 90% = pode ser que ocorra uma vez por semana.
O que significa impacto?
O impacto ocupa o eixo horizontal dentro de uma matriz de riscos. Ele se caracteriza como as consequências para a empresa caso o respectivo risco venha a acontecer de fato, ocasionando prejuízos e danos. O impacto pode ser de duas formas: negativo ou positivo.
Quando se fala de impacto negativo, pode-se dar como exemplos prejuízo financeiro, perda de clientes, dano à equipamentos, etc. Por outro lado, quando falamos de impacto positivo, são exemplos novas oportunidades de negócio, utilização de uma nova tecnologia, redução de taxas ou impostos, etc.
O impacto, assim como a probabilidade, também é medido em níveis. Porém, aqui não é utilizado porcentagem. Logo, temos:
- Muito baixo: consequências pouco significativas;
- Baixo: consequências reversíveis em curto e médio prazo com custo irrisório;
- Moderado: consequências reversíveis em curto e médio prazo com baixo custo;
- Alto: consequências reversíveis em curto e médio prazo com alto custo;
- Muito alto: consequências irreversíveis ou com custos inviáveis.
Probabilidade x Impacto
Quando se fala sobre as variáveis probabilidade e impacto, é importante destacar que é possível definir a quantidade de níveis para elas que melhor se adequar ao negócio. Ou seja, não há uma obrigatoriedade em relação a isso. Neste artigo, o exemplo de matriz de riscos apresenta 5 níveis verticais (probabilidade) e 5 níveis horizontais (impacto).
No entanto, há uma regra que deve ser seguida: é preciso que a quantidade de níveis das duas dimensões seja a mesma. Por exemplo, não é possível que haja 3 níveis para probabilidade e 4 níveis para impacto. Porém, é possível que a probabilidade seja definida como baixa (10%), média (50%) e alta (90%), enquanto o impacto seja definido como desprezível, razoável ou desastroso, respectivamente.
Por que utilizar uma matriz de risco?
Fazer uso de uma matriz de risco é uma etapa muito importante dentro da criação, manutenção e expansão de uma empresa, seja ela de qual ramo e tamanho for. Isso porque possui o objetivo de “preparar” a empresa para situações futuras, das quais não se tem controle, mas se pode prever e remediar de forma muito mais eficaz caso venham a acontecer quando se tem conhecimento delas.
A partir desse entendimento, a matriz de probabilidade e impacto deve ser vista como um verdadeiro complemento da análise dos possíveis riscos envolvidos em diferentes processos, como a criação ou lançamento de um novo produto ou serviço, mudanças em processos de recrutamento e altos investimentos em maquinário de última geração.
Além disso, a matriz da gestão de riscos também serve como contraprova do planejamento estratégico. A partir de sua análise, é possível comprovar ou retificar uma informação anterior, além de aprofundar nos detalhes e definir a ordem de prioridade para o desenvolvimento de soluções.
Desse modo, a matriz de riscos é muito importante para o próprio planejamento estratégico da empresa, o qual deve, sim, abarcar uma análise de riscos, por ser fundamental para não apenas assegurar os melhores rendimentos no presente, mas também garantir um futuro mais seguro.
Nesse sentido, uma matriz de risco não deixa de ser um instrumento de planejamento que auxiliará na melhoria contínua dos processos de trabalho, uma vez que possui a finalidade de enfrentar os riscos e fornecer segurança razoável para o alcance dos objetivos organizacionais.
Benefícios de utilizar uma matriz de riscos
Um dos grandes diferenciais da matriz de riscos é, sem dúvida, a sua facilidade de visualizar informações. Por ser uma ferramenta gráfica, torna-se muito mais fácil de todos compreenderem quais são os riscos que precisam de maior ou menor atenção, o que possibilita uma tomada de decisões mais assertiva, bem como o estabelecimento de medidas preventivas.
A matriz também pode e deve fazer parte do dia a dia das equipes e da empresa como um todo, a partir do ponto de vista de que ela contribui para que não se perca o foco do que se mostra como prioridade, uma vez que, se não há um método adequado, pode infelizmente ser fácil o time perder “o fio da meada”.
Como fazer uma matriz de risco?
Para construir uma matriz de riscos, é importante seguir algumas etapas, de forma a construí-la corretamente.
Passo 1 – Definição dos níveis de probabilidade e impacto
O primeiro passo é a definição dos critérios de probabilidade e impacto, conforme descrevemos acima, em relação a quantos serão e como serão identificados. Vale lembrar que deve-se prezar pela clareza e coerência com a realidade atual da empresa. Melhor do que apenas “copiar” uma matriz de riscos, é adaptá-la conforme o cenário.
Passo 2 – Escolher a ferramenta
Feito o passo anterior, é o momento de escolher qual ferramenta será utilizada para apoiar o processo de avaliação dos riscos, onde a matriz será construída e ficará visível para os interessados. Como opções, há desde folhas de papel e cartolinas (a partir de um processo manual) até planilhas eletrônicas e softwares especializados em gestão de riscos (que oferecem maior digitalização e automação).
Passo 3 – Definir nível de criticidade para cada risco
Em seguida a essa decisão, é necessário realizar a identificação dos riscos. Assim, para cada risco identificado, é preciso analisar a sua probabilidade e impacto de acordo com os critérios já definidos.
Pode ser óbvio, mas é fundamental repetir que a avaliação das duas variáveis seja feita pelas pessoas certas. Ou seja, os riscos da área de Recursos Humanos só podem ser avaliados pelos profissionais daquele time. Assim como os riscos da área de Tecnologia da Informação só podem ser previstos pelos programadores.
Mesmo que um gestor, diretor ou CEO esteja atento a todas as áreas da empresa, são apenas as pessoas que trabalham no dia a dia de determinada área que saberão realizar uma avaliação mais realista e precisa possível. Porém, é interessante contar com a participação de um integrante do alto escalão, para que ocorra ainda mais consciência sobre as diversas situações que a empresa enfrenta.
Além disso, uma importante sugestão é a avaliação de cada risco ser feita baseada em opiniões de um time em vez de apenas por uma pessoa. Com diversos colaboradores e suas respectivas experiências, pode-se “enxergar” e descrever melhor os riscos. Juntos, também estimula-se mais o engajamento para a prevenção dos riscos identificados.
Com a probabilidade e o impacto dos riscos determinados, os valores devem ser inseridos na matriz, na linha e coluna correspondentes aos resultados obtidos, gerando assim a classificação do risco. Agora, com a classificação do risco em mãos, é possível definir se ele deve ser tratado ou não como prioridade.
É essencial criar um ranking, elencando os riscos dos mais relevantes para os menos relevantes. Dessa forma, fica mais fácil priorizar ações e ser mais assertivos na condução dos trabalhos.
Passo 4 – Controle dos riscos identificados
Sabendo quais são os problemas e suas classificações, é chegada a hora de descobrir quais são suas respectivas soluções. Nesse momento da construção da matriz de risco, é fundamental que uma reunião de troca de sugestões seja realizada com todos os colaboradores envolvidos.
Um lembrete é que as sugestões devem priorizar a praticidade e a economia financeira, sendo o mais eficazes possível. Caso se encaixem nesses dois aspectos, é preciso que passem pela aprovação da liderança antes de serem implementadas.
Passo 5 – Implementação das soluções
Em um primeiro momento, criar uma matriz de risco pode parecer um trabalho apenas teórico. Porém, engana-se quem acredita nisso. É necessário também trazer a teoria para a prática, pois só assim será possível medir os resultados atingidos.
Sendo assim, depois de identificar os riscos, colocá-los em rankings e encontrar as soluções adequadas, é preciso agir. Nesse ponto, o apoio e engajamento de todos os colaboradores são muito importantes, pois eles precisarão se adaptar à nova rotina.
Outro ponto importante a ser ressaltado é que, para que a implementação ocorra de forma satisfatória, é fundamental que tanto a gestão quanto o restante da equipe saibam exatamente quais serão as mudanças. Logo, é necessário clareza e transparência em todas as etapas, para que não ocorram confusões e erros.
Exemplos de riscos
Dentro de uma empresa, muito provavelmente, a quantidade de riscos será proporcional ao tamanho dela. Isso porque quanto mais processos são necessários para que o funcionamento da organização ocorra de forma fluida, mais riscos em potencial se apresentam.
São diversos os riscos que podem ser encontrados dentro um negócio, independentemente do setor que atue. Também há riscos diferentes para cada área da empresa. Porém, uma coisa é certa: quanto melhor os riscos são identificados, menor será a chance de acontecerem e menores serão os prejuízos caso aconteçam.
Abaixo, listamos três exemplos de riscos fictícios, de forma a servirem de exemplo:
Risco: Queda de internet
Probabilidade: Média/50%, considerando a infraestrutura atual
Impacto: Muito alto, porque todo o trabalho é feito por meio da internet, ou seja, a empresa vai parar
Questões: O quanto conseguimos agir em um risco sobre queda de internet? Qual é o custo de melhorar nossa infraestrutura? Qual é o prejuízo de uma hora sem internet?
Risco: Perda de arquivos por conta da troca de todos os computadores da empresa por mais modernos
Probabilidade: Baixa/15%, considerando a realização de um backup
Impacto: Alto, porque são arquivos importantes
Questão: A empresa já lidou com a troca de computadores antes? Quanto vai custar o backup? Há condições de bancar esse custo? O que a perda desses arquivos representaria para a organização?
Risco: Atropelamento por veículos de carga no pátio
Probabilidade: Baixa/20%, considerando a demanda atual
Impacto: Muito alto, porque se trataria de lesões físicas (talvez irreversíveis) a colaboradores
Questões: O que se pode fazer para que os funcionários transitem menos no pátio? É possível utilizar sinais sonoros? Qual seria o custo da utilização de tecnologia para isso?
Como utilizar uma matriz de risco?
Quando se trata da utilização de uma matriz de risco, não há uma forma “correta” ou “incorreta” de utilizá-la. Isso se deve ao fato de que cada empresa pode definir os seus próprios critérios de prioridade em relação a cada tipo de risco. Afinal, há empresas de diferentes portes, segmentos e estrutura organizacional; é sempre importante, logo, levar em conta as particularidades de cada uma.
Sendo assim, há aquelas empresas que estudam e aplicam estratégias não apenas para riscos altos, mas também para os que apresentam criticidade moderada. Além dos presentes na faixa vermelha, olham para os que estão na faixa amarela. Cada organização deve definir o que faz sentido tratar ou não de acordo com sua realidade.
Mesmo assim, pode ainda ser que, em um primeiro momento, apenas um risco considerado moderado seja combatido, enquanto os outros não, partindo da ideia de que não necessariamente todos os riscos precisam efetivamente receber uma ação. O mais importante é posicionar o risco no local certo para que ele receba a adequada atenção.
Outro ponto é que, diante de um risco com impacto baixo, na faixa verde, a organização pode decidir por não fazer nada. De qualquer forma, o fato de estar presente na matriz de risco já mostra que foi detectado e que não deve ser esquecido, porque pode haver um aumento do seu impacto.
Por outro lado, os gestores do negócio podem decidir que todos os riscos, independentemente do seu nível de criticidade, devem ser analisados para que baixem sua probabilidade e impacto ou até mesmo sejam eliminados.
Uma vez definidas as prioridades, é chegado o momento de executar as medidas preventivas. Sempre é bom lembrar que é de responsabilidade dos colaboradores que utilizam a matriz de risco determinarem o momento certo de agir.
Algumas sugestões de como atuar perante os diferentes tipos de riscos:
- Riscos baixos: Fazer análises periódicas e gerenciamento por procedimentos de rotina;
- Riscos médios: Criar uma rotina de monitoramento;
- Riscos altos: Implementar ações imediatamente.
Erros mais cometidos: fique longe deles
Antes de fazer o gerenciamento de riscos de projetos ou até mesmo da empresa, vale ficar de olho em alguns erros comuns:
- Riscos em excesso: evite registrar qualquer risco para que não haja confusão e foque apenas nos que são mais relevantes;
- Ânsia por resolver tudo: é preciso priorizar e ir aos poucos, ou seja, trabalhar diretamente nos riscos que apresentam uma probabilidade maior de impactar projetos ou a própria empresa;
- Não fazer o acompanhamento correto: para não acabar esquecendo de seguir a continuidade apropriada, é importante realizar encontros para discutir a evolução dos riscos;
- Não envolver todos os participantes: gestores que tendem a ser centralizadores devem delegar responsabilidades entre todos do time;
- Olhar o contexto geral: deve-se olhar o projeto ou empresa como um todo, onde as situações devem “conversar” entre si e com o momento atual da organização ou time.
Cuidados no uso de uma matriz de risco
Há diversas ferramentas para lidar com a análise de riscos de uma empresa. A matriz de riscos, que apresentamos neste conteúdo, é uma delas. Como foi dito, é uma excelente alternativa para prevenir possíveis problemas que possam afetar o crescimento de um negócio.
Porém, é preciso realmente utilizá-la, não apenas reduzi-la a uma “tabela decorativa”. Para isso, é fundamental colocar em prática a gestão de riscos, a qual trará dinamismo, praticidade e assertividade na melhoria dos processos.
Como opção, é possível criar um documento que contenha um conjunto de regras, procedimentos, diretrizes, protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e informações.
Por fim, é indispensável monitorar os riscos periodicamente. Afinal, um risco que, a princípio, é classificado como baixo, pode tornar-se elevado sem que você perceba e, futuramente, trazer prejuízos ao seu negócio.
Dicas importantes
No momento em que a equipe estiver debatendo sobre um risco, uma dica para estimular a reflexão é utilizar perguntas. Elas não ajudarão somente na avaliação de impacto e probabilidade, mas também na definição de ações de tratativa do risco. Seguem exemplos:
- O quanto sabemos sobre esse risco?
- Já lidamos com ele antes?
- Temos alguma medição sobre isso?
Além disso, conhecer a legislação em atividade auxilia a criar uma matriz de gestão de riscos atualizada e realista, levando em consideração que as normas vigentes são uma grande fonte de riscos caso sejam descumpridas.
A fiscalização das soluções implementadas também merece sempre destaque e deve ser realizada tanto pelos líderes quanto pelos integrantes do time. Por meio dela, será mais fácil identificar se o problema foi realmente solucionado ou se os riscos continuam.
Assim, a matriz de riscos será uma excelente ferramenta para o sucesso da sua empresa!
Scoreplan: sistema para gestão de riscos
A Scoreplan é uma startup com sede em Caxias do Sul (RS), que desde 2018, existe com o propósito de oferecer o sistema mais completo do mercado para planejamento estratégico e financeiro.
O software criado possibilita um processo estruturado de planejamento estratégico de resultados dentro das empresas, o que garante uma melhor execução do plano de ação e consequentemente o atingimento de melhores índices.
Também propicia a centralização da gestão estratégica, superando a antiga descentralização formada por diferentes planilhas e sistemas que não se comunicavam. Como solução, entrega um software que une planejamento, execução e análise da gestão estratégica através de metodologias ágeis e tradicionais.
Em 2020, temos orgulho de compartilhar que figuramos no Ranking 100 Open Startups, da plataforma líder em open innovation no país.
Dê um passo além: veja como adotar um software especialista para gerir seus riscos pode fazer toda a diferença. Peça uma demonstração guiada do Scoreplan.