Você sabe o que é e como aplicar uma Matriz de Riscos na sua empresa? Confira todos os benefícios dessa ferramenta e como ela pode te auxiliar na etapa de identificação de riscos!
O que é Matriz de Riscos?
A identificação de riscos é uma etapa fundamental na implantação de sistemas de gestão. Porém em seguida é necessário priorizar quais riscos devemos dirigir esforços e recursos para reduzir e controlá-los, para isso precisamos de uma ferramenta que ajude a definir prioridades. Essa ferramenta é a Matriz de riscos.
A Matriz de Riscos ou Matriz de Probabilidade e Impacto é uma ferramenta gráfica de gerenciamento de riscos aplicada na etapa de avaliação de riscos, que permite visualizar informações sobre um determinado conjunto de riscos e em que grau irão afetar a organização, possibilitando a tomada de decisões e a realização de medidas preventivas para tratar esses riscos de forma clara e precisa, colaborando com engajamento da equipe no processo de gestão de riscos.
A matriz de risco consiste em uma matriz com duas variáveis: probabilidade e impacto, que, através dessas variáveis, permite visualizar a classificação do risco, que consiste na avaliação do seu impacto e sua probabilidade.
O resultado da classificação do risco, indica em qual célula da matriz o risco se encaixa. Observe na figura abaixo que há cores diferenciadas entre as células que indicam qual é a classificação do risco, ou seja, quão crítico um determinado risco é.
Por exemplo, os riscos que resultaram em uma classificação alta (cor vermelha na matriz) devem ser priorizados em relação aos riscos classificados como médios (cor amarela na matriz) que por sua vez são mais importantes que os classificados como baixos, (cor verde na matriz).
Exemplo de Matriz de Riscos
É necessário definir os critérios para essas duas variáveis da Matriz de Riscos.
Probabilidade
A probabilidade (eixo vertical) consiste na estimativa de quão provável é a ocorrência do risco. Ou seja, quão fácil ou difícil é que determinado risco aconteça, o quão provável determinado evento aconteça.
A probabilidade deve ser medida em níveis, por exemplo: muito baixo, baixo, moderado, alto e muito alto, ou rara, pouco provável, possível, provável e quase certo. Nomeie a seu critério.
- muito baixo = 5 a 20%;
- baixo = 21% a 35%;
- moderado = 36% a 50%;
- alto = 51% a 65%;
- muito alto = 66% a 90%.
Sempre que possível devemos procurar fugir de dados qualitativos (que dependem de opinião) e utilizar dados quantitativos, ou seja, números. Por exemplo, se conhecemos a porcentagem de entregas atrasadas, ao invés de uma opinião de alguém do grupo, que poderia ter dito baixo (que cairia na faixa de 21% a 35%) e olharmos para o histórico, suponhamos que historicamente o porcentual de atraso seja 14%, sabemos que é muito baixo.
Impacto
O impacto (eixo horizontal) se refere às consequências do risco caso ele vier a ocorrer. O impacto pode ser negativo por exemplo, prejuízo financeiro, perda de clientes, dano à equipamento, acidentes com trabalhadores etc.; ou ainda, positivo, como novas oportunidades de negócio, terminar um projeto antes do prazo, utilização de uma nova tecnologia, redução de taxas ou impostos etc. O impacto também é medido em níveis, por exemplo: muito baixo, baixo, moderado, alto e muito alto.
É importante ter um critério claro de cada nível antes de definir o impacto de cada risco. Para isso uma boa técnica é pegar o pior impacto e colocar como muito alto e o menor como muito baixo para ter parâmetros para definir os outros níveis.
Relação Probabilidade e Impacto na Matriz de Riscos
Podemos definir a quantidade de níveis tanto para o impacto quanto para a probabilidade. Como explicado acima e pode ser visto na Figura 2, a matriz apresentada é composta por 5 níveis verticais (probabilidade) e 5 horizontais (impacto).
Agora é necessário definir o grau de risco, ou seja, definir o grau de risco para cada célula de probabilidade x impacto. Vejam o exemplo abaixo:
Os graus de riscos foram definidos como trivial, aceitável, moderado, substancial e intolerável.
O número de níveis de probabilidade e impacto devem sempre ser iguais, essa matriz precisa ser sempre quadrada, se não ou a probabilidade ou a consequência passam a ter pesos diferentes, distorcendo a análise, portanto, se a probabilidade tiver 3 níveis: baixa, média e alta, o impacto deve ter também 3 níveis: insignificante, moderado e crítico.
Quando utilizar a Matriz de Riscos?
O risco é o efeito da incerteza sobre um determinado objetivo ou evento, é “a chance de algo acontecer”. A Matriz de Riscos pode ser utilizada na avaliação de qualquer risco, desde riscos organizacionais de processos, riscos de saúde e segurança organizacional, até riscos de um projeto ou Sistema de Gestão, por exemplo. As organizações podem ter grandes quantidades de riscos identificados e não há recursos humanos e de capital para tratar todos ao mesmo tempo. Usando a Matriz de Riscos pode priorizá-los.
Um ponto importante e que vale ser relembrado é que um risco pode ser tanto uma ameaça quanto uma oportunidade. Uma ameaça é um risco “ruim”, uma fonte de perdas, um risco que pode gerar danos negativos à organização. Já uma oportunidade é um risco “bom”, algo que pode melhorar seus resultados (impacto positivo).
Como fazer uma Matriz de Riscos?
Inicialmente é necessário saber quais riscos serão analisados e definir o número de níveis da matriz.
Em seguida, definir e descrever quais são os critérios que deverão classificar a probabilidade e o impacto.
Vejam abaixo um exemplo de critérios para probabilidade e Impacto. Fica a critério da organização definir esses critérios baseado no ser contexto e nos riscos a serem analisados
Suponha que uma empresa utilize 5 níveis de probabilidade e impacto para a avaliação de riscos. Para isso, os critérios e a descrição desses critérios para probabilidade e impacto foram definidos no processo de gestão de risco conforme abaixo. Note que não há valores abaixo de 5% e acima de 90% pois nesses casos não há quase probabilidade de ocorrência ou de não ocorrência respectivamente.
Probabilidade
Impacto
Impacto
Grau de risco
O próximo passo é definir os graus de risco. Por exemplo, podemos definir os graus de risco como trivial, aceitável, moderado, substancial e intolerável.
A definição de grau de risco, pela coloração, também fica a cargo da organização em função do que está sendo analisado. Nada impede, por exemplo, de considerar intolerável um risco de probabilidade rara, por exemplo risco de morte ou de grande prejuízo financeiro irrecuperável.
Em seguida, para cada risco identificado, analisar a sua probabilidade e impacto de acordo com os critérios definidos. Vale frisar que o conhecimento sobre o risco identificado é fundamental para que a avaliação da probabilidade e impacto seja realista. Um grupo de 4 a 6 pessoas que conheçam o assunto e cheguem a um consenso para cada risco é o ideal. As discussões geradas ajudarão a entender e esclarecer qual é o nível real de impacto e probabilidade do risco sob avaliação. A existência de dados sobre ocorrências anteriores é de grande valia. Na análise, deve ser tomado o cuidado para avaliar probabilidade e impacto separadamente, pois é comum considerarem o impacto na hora de definir probabilidade.
Feita a avaliação de probabilidade e impacto, saberemos o grau de risco.
Depois de classificados todos os riscos, podem então ser estabelecidas as prioridades para atacá-los.
Implementando um Sistema de Gestão Integrado
Quer consolidar todos os processos do seu negócio em um único sistema de gerenciamento? Fale agora mesmo com um de nossos especialistas para iniciar o seu processo de implementação do SGI!
