A matriz de riscos é a ferramenta mais usada — e mais mal usada — da gestão de riscos corporativa. Bem construída, ela transforma uma lista dispersa de preocupações em um mapa priorizado que orienta orçamento, controles e atenção da diretoria. Mal construída, vira um quadro colorido que ninguém consulta depois do comitê.

Este guia mostra como montar uma matriz de riscos em 5 passos, com escalas de exemplo, um modelo de registro pronto para adaptar e os erros que mais comprometem o resultado.

O que é uma matriz de riscos?

É uma representação visual que cruza probabilidade (chance de o risco se materializar) com impacto (consequência se ele se materializar). Cada risco identificado recebe uma nota nas duas dimensões e cai em uma célula da matriz — tipicamente 3x3, 4x4 ou 5x5 — que determina sua criticidade: baixa, média, alta ou crítica.

A matriz não é um fim em si: é o instrumento de priorização. O produto real do exercício é a decisão do que tratar primeiro, com qual resposta e com qual dono.

Antes de começar: contexto e critérios

Dois acordos precisam existir antes do primeiro risco ser avaliado:

  1. Escopo e objetivo. Matriz de quê? Riscos estratégicos da companhia, riscos de um processo, de um projeto, de um fornecedor? Misturar níveis diferentes na mesma matriz é o erro número um.
  2. Escalas calibradas. O que significa "impacto alto" na SUA organização? Sem critérios explícitos (financeiro, regulatório, reputacional, operacional), cada avaliador usa uma régua diferente e a matriz perde a comparabilidade.

Passo 1 — Identificar os riscos

Levante os eventos que podem comprometer os objetivos do escopo definido. Boas fontes: incidentes históricos, achados de auditoria, mudanças regulatórias em curso, entrevistas com gestores, análise de processos. Descreva cada risco como causa → evento → consequência ("falha na segregação de funções no contas a pagar → pagamento fraudulento → perda financeira e achado de auditoria"), não como um tema genérico ("fraude").

Passo 2 — Avaliar probabilidade e impacto

Atribua notas usando as escalas acordadas. Exemplo de escala 1-5:

Nota Probabilidade Impacto (exemplo financeiro/regulatório)
1 Rara (menos de 1x a cada 5 anos) Irrelevante; sem exposição regulatória
2 Improvável (1x em 2-5 anos) Perda pequena; apontamento interno
3 Possível (1x ao ano) Perda moderada; achado de auditoria
4 Provável (algumas vezes ao ano) Perda relevante; notificação de regulador
5 Quase certa (mensal ou mais) Perda severa; sanção, multa ou dano reputacional

Avalie o risco inerente (sem considerar controles) e depois o risco residual (considerando os controles existentes e sua efetividade). A distância entre os dois é a medida do quanto seus controles trabalham.

Passo 3 — Classificar na matriz

Posicione cada risco na célula probabilidade x impacto. Em uma matriz 5x5, uma convenção comum: score 1-4 baixo, 5-9 médio, 10-14 alto, 15-25 crítico (score = probabilidade x impacto). Defina de antemão o que cada faixa exige — crítico sobe para a diretoria, alto exige plano de ação com prazo, e assim por diante.

Passo 4 — Definir a resposta

Para cada risco relevante, uma das quatro respostas clássicas, com dono e prazo:

  • Mitigar — implementar ou reforçar controles que reduzam probabilidade ou impacto;
  • Transferir — seguro, contrato, terceirização com responsabilização;
  • Evitar — descontinuar a atividade que origina o risco;
  • Aceitar — decisão formal e documentada de conviver com o risco residual.

Passo 5 — Monitorar e revisar

Matriz de riscos tem prazo de validade. Estabeleça ciclo de revisão (trimestral ou semestral), gatilhos de reavaliação (incidente, mudança regulatória, novo produto) e acompanhe os planos de ação até a conclusão. Uma matriz sem follow-up documenta a negligência em vez de reduzi-la.

Modelo de registro de riscos

Adapte as colunas à sua realidade:

Campo Exemplo
ID e título do risco R-014 — Pagamento sem segregação de funções
Causa → evento → consequência Acesso amplo no ERP → pagamento indevido → perda + achado
Categoria Operacional / Financeiro / Regulatório / Reputacional
Probabilidade (1-5) e impacto (1-5) 3 x 4
Score e criticidade 12 — Alto
Controles existentes Alçadas de aprovação; conciliação mensal
Risco residual 2 x 4 = 8 — Médio
Resposta, dono e prazo Mitigar — revisar perfis de acesso — Fin. — 30/09
Última revisão 10/07/2026

Erros comuns

  • Escalas sem critério — "alto" que varia por avaliador destrói a comparabilidade;
  • Matriz sem dono — risco sem responsável é risco aceito por omissão;
  • Avaliar só o inerente (ignora os controles) ou só o residual (esconde a dependência deles);
  • Parar na foto — sem plano de ação e follow-up, a matriz é decorativa;
  • Planilha solta — sem trilha de quem avaliou, quando e com que justificativa, a matriz não sustenta uma inspeção. Veja por que a trilha de auditoria importa tanto.

Como o T-Visor ajuda

O T-Visor estrutura o registro de riscos com escalas padronizadas, donos, planos de ação e trilha imutável de cada avaliação — e conecta os riscos às mudanças regulatórias capturadas pelo Radar Normativo, para que um requisito novo vire reavaliação de risco, não surpresa em fiscalização. Agende uma demonstração de 30 minutos.

Perguntas frequentes

Matriz 3x3, 4x4 ou 5x5? Quanto mais células, mais granularidade — e mais esforço de calibração. Para começar, 4x4 ou 5x5 equilibram discriminação e praticidade; 3x3 tende a concentrar tudo no meio.

Com que frequência revisar? No mínimo a cada ciclo de planejamento (semestral/anual) e sempre que houver incidente relevante, mudança regulatória ou mudança material no negócio.

Matriz de riscos é exigência regulatória? Depende do setor, mas normas de gerenciamento de riscos (financeiro, saúde, dados pessoais) pressupõem avaliação estruturada de riscos — e a matriz é a forma mais aceita de demonstrá-la.

Este conteúdo é informativo e não substitui aconselhamento profissional de riscos, jurídico ou regulatório.