Matriz de riscos empresa é um dos termos mais buscados por gestores que entenderam que não é possível gerenciar o que não se mede, mas que ainda não sabem por onde começar. A boa notícia é que a matriz de riscos é uma das ferramentas mais acessíveis da gestão de riscos: simples de entender, adaptável a qualquer porte de empresa e com impacto imediato na qualidade das decisões estratégicas.
Neste artigo, explico o que é a matriz de riscos, como ela funciona, como criar a sua e como integrá-la ao programa de compliance e governança da empresa.
O que é a matriz de riscos
A matriz de riscos é uma ferramenta visual que organiza os riscos identificados em uma empresa segundo dois critérios: a probabilidade de que o risco se materialize e o impacto que ele causaria caso isso aconteça. A combinação desses dois fatores posiciona cada risco em um quadrante da matriz o que permite priorizar quais riscos exigem ação imediata, quais devem ser monitorados e quais têm baixa relevância para o momento atual.
A matriz é um componente central da gestão de riscos corporativos prevista na ISO 31000, na Portaria CGU 226/2025 e nas melhores práticas de governança do IBGC. Sua elaboração é uma das etapas avaliadas pela CGU em programas de integridade de empresas que contratam com o poder público.
Você não precisa eliminar todos os riscos. Você precisa saber quais estão acontecendo, qual é a severidade de cada um e o que você está fazendo a respeito.
Como funciona a matriz de riscos na prática
A matriz é representada graficamente como uma grade bidimensional. O eixo horizontal representa a probabilidade de ocorrência do risco, geralmente classificada em níveis como baixa, média e alta. O eixo vertical representa o impacto caso o risco se materialize, igualmente classificado em baixo, médio e alto.
Cada risco identificado é plotado na matriz de acordo com sua avaliação de probabilidade e impacto. Os riscos que caem no quadrante de alta probabilidade e alto impacto são os que exigem resposta imediata e controles prioritários. Os de baixa probabilidade e baixo impacto podem ser aceitos e monitorados periodicamente.
Como criar a matriz de riscos da sua empresa: passo a passo
01 — IDENTIFICAÇÃO DOS RISCOS
Mapear o que pode dar errado antes que dê
O primeiro passo é construir um inventário de riscos: uma lista estruturada de todos os riscos relevantes para o perfil da empresa. Para isso, envolva as principais áreas da organização: comercial, operações, financeiro, jurídico, RH e TI. Cada área tem visibilidade sobre riscos que as outras não enxergam.
Classifique os riscos por categoria: regulatório, financeiro, operacional, reputacional, jurídico, de compliance e estratégico. Essa categorização facilita o monitoramento e a atribuição de responsáveis.
02 — AVALIAÇÃO DE PROBABILIDADE E IMPACTO
Transformar percepção em dado objetivo
Para cada risco identificado, atribua uma pontuação de probabilidade e de impacto. Uma escala simples de 1 a 3 já é suficiente para empresas que estão iniciando: 1 = baixo, 2 = médio, 3 = alto. Multiplique os dois valores para obter o nível de risco — que vai de 1 (baixo) a 9 (crítico).
Riscos com pontuação 6 ou 9 (alta probabilidade ou alto impacto combinados) são os que precisam de resposta imediata. Riscos com pontuação 1 ou 2 podem ser aceitos com monitoramento periódico.
03 — PLOTAGEM NA MATRIZ
Visualizar os riscos para priorizar a ação
Com as avaliações feitas, plote cada risco na matriz. A visualização gráfica é o que torna a ferramenta tão eficaz: em um único quadro, a liderança consegue ver quais são os riscos mais críticos, como eles se distribuem e onde a empresa está mais vulnerável.
A matriz pode ser criada em Excel, em ferramentas de gestão de projetos ou em plataformas específicas de GRC. Para empresas que estão começando, uma planilha simples já é suficiente — o que importa é o processo, não a ferramenta.
04 — DEFINIÇÃO DOS CONTROLES E RESPONSÁVEIS
Cada risco precisa de um dono e de uma resposta
Para cada risco mapeado, defina a estratégia de resposta — evitar, mitigar, transferir ou aceitar — e o controle específico que será implementado. Atribua um responsável pelo monitoramento de cada risco e estabeleça indicadores que sinalizem quando o risco está saindo do controle.
05 — REVISÃO PERIÓDICA
Matriz desatualizada é pior do que não ter matriz
A matriz de riscos precisa ser revisada regularmente — pelo menos semestralmente, e sempre que houver mudanças significativas no ambiente regulatório, no mercado ou na operação da empresa. Riscos que eram de baixa probabilidade podem se tornar críticos em função de mudanças externas — como novas exigências regulatórias ou crises setoriais.
A revisão da matriz deve ser pauta fixa nas reuniões de conselho e de diretoria. Apresentar o mapa de riscos atualizado à liderança é uma das formas mais eficazes de manter a governança de riscos viva na cultura organizacional.
Matriz de riscos e o Programa de Integridade
A Portaria CGU 226/2025 avalia especificamente se a empresa possui uma matriz de riscos que contemple riscos de corrupção, fraude e irregularidades relacionadas ao poder público. Empresas que participam de licitações e não têm essa estrutura estão em desvantagem competitiva direta nos processos de habilitação.
Além da exigência regulatória, a matriz de riscos é o que permite que o Programa de Integridade seja proporcional ao risco real — em vez de genérico e desconectado da realidade da empresa. Um programa de compliance bem calibrado começa sempre com um mapeamento de riscos preciso.
Erros mais comuns na elaboração da matriz de riscos
- Criar a matriz apenas para cumprir exigência regulatória — sem usá-la na tomada de decisão
- Não envolver as áreas operacionais no processo — os riscos mais relevantes raramente são identificados apenas pelo jurídico ou pelo financeiro
- Usar escalas muito complexas que dificultam o consenso e a atualização
- Não atribuir responsáveis — o risco sem dono não é gerenciado
- Não revisar a matriz periodicamente — um risco de baixa probabilidade pode se tornar crítico em semanas
- Confundir risco com problema — a matriz mapeia o que pode acontecer, não o que já aconteceu
Conclusão
A matriz de riscos é uma das ferramentas mais acessíveis e mais impactantes da gestão empresarial. Ela transforma a percepção intuitiva de risco em um dado estruturado — que pode ser comunicado à liderança, monitorado ao longo do tempo e usado para priorizar investimentos em controles e em compliance.
Se a sua empresa ainda não tem uma matriz de riscos — ou se tem uma que existe apenas no papel —, a D’Souza Advocacia pode ajudar a construir um mapeamento proporcional ao perfil de risco do seu negócio e alinhado às exigências da Portaria CGU 226/2025.
Chame no WhatsApp e receba uma Matriz de Riscos
