Como monitorar riscos em 2025: um guia com exemplos e melhores práticas

Uma Perspectiva Prática sobre a Gestão de Riscos no Planejamento Estratégico Usando a ISO 31000 como Norma Orientadora.

Principais tendências moldando o panorama da gestão de riscos em 2025/2026

Estamos acompanhando ativamente as tendências emergentes no planejamento estratégico, especificamente seu impacto na gestão de riscos.

Aqui estão as mudanças na gestão de riscos que esperamos ver em 2025/2026:

• Mais regulamentações estão incluindo explicitamente requisitos para práticas de gestão de riscos. O conceito de partes interessadas está se tornando mais prevalente na gestão de riscos.
• A tendência de GRC está em ascensão, com uma mudança visível do relatório de riscos para a gestão ativa de riscos. Por exemplo, vemos os registros de riscos tradicionais sendo complementados por uma documentação de riscos centrada em objetivos mais prática.
• A governança de IA está sendo amplamente adotada para mitigar os riscos associados à IA generativa emergente.
• Vazamentos de dados notáveis (como a falha do CrowdStrike) desencadearam um interesse aumentado na validação de fornecedores terceirizados.
• As tendências contínuas de instabilidade econômica e política estão levando as organizações a expandirem seus modelos de risco, especialmente no domínio da cadeia de suprimentos.
• Eventos climáticos extremos ampliaram o interesse na recuperação de desastres além do núcleo de TI.

O risco é um tópico em alta na comunidade profissional. Estamos vendo mais conferências de risco e GRC nos EUA e na Europa. Compartilharemos nossa experiência prática em gestão de riscos através de palestras em conferências planejadas.

Introdução: Definindo Risco Além da Probabilidade e Impacto

O padrão orientador no domínio da gestão de riscos é o ISO 31000. É intrigante observar a evolução da definição de risco deste padrão ao longo do tempo:

• A definição anterior do ISO para risco: “Uma chance ou probabilidade de perda.”
• A definição de acordo com o ISO 31000:2018: “O efeito da incerteza sobre os objetivos.”

O que mudou?

• A antiga definição mencionava “perda“; a nova utiliza o termo “efeito.” Essa mudança implica efeitos potenciais positivos e negativos, além de destacar a importância de intangíveis como a percepção do cliente.
• A antiga definição usava “chance” e “probabilidade” para descrever a probabilidade de ocorrências. Na definição moderna, encontramos o “efeito da incerteza,” também explicado como o efeito do conhecimento incompleto. Esta abordagem permite mais flexibilidade na definição de riscos, estendendo-se além do modelo “probabilidade x impacto”.
• A adição do termo “objetivo” à nova definição destaca que os riscos são definidos dentro de um contexto específico, evitando potenciais desalinhamentos com a estratégia geral.

Vamos explorar a aplicação prática da gestão de riscos no planejamento estratégico usando os princípios orientadores do padrão ISO.

1. Avaliação de risco: sistemática e consciente das partes interessadas

Mapeie possíveis riscos por meio de análise sistemática das forças motrizes e seus indicadores de sinais precoces no contexto da estratégia da organização e dos interesses das partes interessadas.

A diretriz geral da norma ISO enfatiza que a avaliação de risco deve ser sistemática e levar em consideração as opiniões de diferentes partes interessadas.

O que isso significa na prática?

Avaliação de Risco: Sistemática

O conceito de avaliação de risco ‘sistemática’ varia entre as indústrias. Essencialmente, envolve seguir processos e normas determinadas, tais como:

• Regularidade da avaliação de risco
• Quantificação do risco
• Atribuição de indivíduos responsáveis

Abaixo, discutimos como isso pode ser implementado em nível operacional.

Avaliação de Risco: Visão dos Stakeholders

Semelhante a outros domínios de negócios (considere, por exemplo, a diretiva de relatório de sustentabilidade), a norma ISO foca na definição de stakeholders e exige levar em consideração as visões dos stakeholders ao gerenciar riscos.

Na prática, isso significa que as organizações precisam:

• Realizar uma análise de stakeholders para definir as partes interessadas envolvidas.
• Levar em consideração os interesses dos stakeholders ao criar um modelo de risco no contexto dos objetivos.

Este requisito da norma está bem alinhado com a abordagem que endossamos através do nosso sistema de implementação de estratégia.

Os usuários do BSC Designer encontrarão o modelo de análise de stakeholders em suas contas.

• A lista de stakeholders pode ser definida via Configurações > Organização > Estratégia.
• Os stakeholders da lista serão incluídos na lista de ‘Proprietário‘ e podem ser atribuídos a um objetivo, risco ou plano de mitigação de risco.

Identificação de riscos no contexto de objetivos

A próxima etapa da avaliação de riscos é nomear o risco específico. A nova norma ISO exige que os riscos sejam definidos no contexto dos objetivos. A aspiração da norma é melhorar o alinhamento entre o risco e o contexto empresarial.

Michael Rasmussen, um renomado analista de GRC, compartilhou sua perspectiva sobre a gestão de riscos para a criação de valor versus a gestão de riscos para conformidade:

• “[Uma boa ferramenta para gestão de riscos] começa com os objetivos do negócio e mapeia e gerencia o risco no contexto desses objetivos (verdadeiro ISO 31000).”

Na elaboração de planejamento estratégico, ao invés de ter um scorecard de risco separado, integre os riscos nos scorecards de estratégia.

Ao conduzir a decomposição da estratégia baseada em valor, desmembramos as ambições estratégicas das partes interessadas em metas e submetas mais específicas. Neste ponto, quantificamos metas e definimos riscos para melhor compreender o contexto empresarial com o qual estamos lidando.

A maioria das ferramentas que usamos para analisar o ambiente de negócios (consulte o segmento de Análise de Estratégia no diagrama) naturalmente ajudará na identificação de riscos.

Para definir um risco no BSC Designer:

• Selecione uma meta existente ou crie uma nova.
• Escolha Adicionar Risco no menu do botão Adicionar.
• Preencha os fatores relevantes no campo de descrição e use a seção de Documentos para carregar qualquer documento de apoio.

Para inserir os resultados da análise de risco:

1. Selecione o indicador Probabilidade.
2. Insira a estimativa inicial de risco no campo Inerente.
3. Insira o risco aceitável no campo Aceitável.
4. Insira a estimativa de risco atual no campo Residual.

Repita os passos para o indicador Impacto.

Definir indicadores de sinais iniciais

A causa raiz do risco é o que se refere na ISO como o efeito do “conhecimento incompleto”.

Como podemos aprimorar nossos modelos de risco no contexto das forças motrizes?

Além dos indicadores de probabilidade, defina indicadores de sinais iniciais. Por exemplo, estes podem ser indicadores de alerta precoce de crises econômicas ou até mesmo guerras. Ao traduzir forças motrizes gerais em fatores mais específicos, aumentamos a chance de encontrar um indicador de alerta precoce confiável.

No planejamento estratégico, nós distinguimos esses indicadores de tendência/preditivos alinhados com fatores de sucesso de indicadores que medem resultados (indicadores de resultado).

Para criar um indicador preditivo de sinais iniciais no BSC Designer:

• Crie um novo indicador.
• Alterne para a aba Contexto.
• Altere o tipo de indicador para “Tendência”.

Changing type of indicator to Leading. Fonte: Risk Management Example.

Este indicador não será levado em consideração ao calcular o desempenho de seu objetivo pai, mas podemos rastreá-lo e usá-lo para quantificar a descoberta de riscos ou iniciativas de mitigação de riscos.

2. Análise de risco: Probabilidade, impacto, vulnerabilidade

Torne os riscos mais específicos quantificando atributos como probabilidade, impacto e vulnerabilidade.

A análise de risco é uma prática ampla focada em entender o risco e seus potenciais efeitos na organização. Abaixo, fornecemos sugestões para análise de risco no contexto do planejamento estratégico.

Defina o indicador de probabilidade/possibilidade

O indicador de probabilidade pode ser definido:

• Qualitativamente, por exemplo, na escala [Baixo, Médio, Alto] ou
• Quantitativamente, por exemplo, na escala [0 a 100%].

A escala quantitativa é adequada para casos onde o evento de risco possui dados empíricos suficientes para estimar sua probabilidade ao longo de um determinado período de tempo.

A quantitative scale for measuring risk likelihood. Fonte: Risk Management Example.

Os usuários do BSC Designer podem definir unidades de medida qualitativas (uma escala personalizada [“Raro, Improvável, Possível, Provável, Certo”]) que o software pode converter em valores específicos.

A qualitative scale for assessing risk probability. Fonte: Risk Management Example.

Indicador de Impacto de Risco

Semelhante ao indicador de probabilidade, podemos definir o indicador de risco quantitativamente em uma escala de 0 a 100%.

Uma opção alternativa seria utilizar uma escala em dólares para o indicador de impacto de risco.

Indicador de impacto medido em uma escala em dólares. Fonte: Exemplo de Gestão de Risco.

Semelhante ao indicador de probabilidade, podemos definir uma escala quantitativa personalizada para impacto:

Escala qualitativa para o indicador de impacto de risco. Fonte: Exemplo de Gestão de Risco.

Indicador de vulnerabilidade

A estimativa da probabilidade do risco e seu possível impacto não considera a sensibilidade da organização a esse tipo de risco.

Ao discutir indicadores de sinais precoces, quantificamos aspectos do ambiente de negócios que poderiam prever o desenvolvimento de certas forças motoras. No caso da vulnerabilidade, conduzimos uma análise semelhante, mas focamos na organização e na sua infraestrutura.

Por exemplo, poderíamos avaliar as vulnerabilidades existentes de cibersegurança através de simulações de guerra ou simulações de ataque. Exemplos mais específicos podem ser encontrados no artigo de cibersegurança.

A “Vulnerabilidade” pode ser quantificada de acordo com o CVSS na escala de 0 a 10 com a função de otimização “Minimização”.

Alinhar risco com a eficácia dos controles internos

Uma maneira de estimar a probabilidade ou o impacto de um risco é avaliando a eficácia dos controles internos.

A eficácia dos controles é validada por métricas de resultado. Se estas estiverem na zona verde, podemos esperar uma estimativa de risco mais baixa.

Acompanhar fatores de tempo

A constante mudança das forças motrizes, assim como as iniciativas de prevenção de riscos, resulta em alterações nas estimativas de risco.

Acompanhe a evolução do risco ao longo do tempo e anote ideias relevantes para o ciclo de aprendizado e melhoria.

Para automatizar isso no BSC Designer:

• Estabeleça um intervalo de atualização para os indicadores de risco.

• Use o calendário interno e o campo Valor para atualizar o indicador com dados novos.
• Use o botão de comentário para adicionar notas relevantes à atualização.

3. Tratamento de Risco: Decidir Como Responder ao Risco

Implemente planos de mitigação para os riscos e acompanhe o sucesso da implementação com os status das iniciativas e indicadores de mitigação de risco.

De acordo com os limites estabelecidos de riscos aceitáveis e seguindo os resultados da análise de risco, os tomadores de decisão formulam uma estratégia de resposta ao risco com possíveis opções como:

• Remover riscos como não relevantes
• Monitorar dentro do modelo de risco existente
• Introduzir um plano de tratamento de risco
• Questionar a análise de risco
• Questionar o contexto (objetivo ou ambição das partes interessadas)

No BSC Designer:

• Use iniciativas de Mitigação de Risco para anotar planos de tratamento de risco.
• Alinhe o indicador de progresso com a iniciativa de mitigação de risco.
• Use o campo de status do risco para indicar seu status atual de acordo com o fluxo de trabalho de gestão de riscos aceito.

Acompanhar o status da iniciativa de mitigação de risco. Fonte: Exemplo de Gestão de Risco.

• Adicione itens adicionais através do diálogo de Iniciativas (novos riscos, iniciativas, fundamentos, hipóteses, resultados esperados)
• Adicione dados relevantes para o tratamento de risco, como orçamento, cronograma, indicador de progresso, pessoas responsáveis
• Carregue documentos de apoio relevantes

4. Monitoramento de risco: um novo olhar sobre a exposição ao risco

Acompanhe a evolução da exposição ao risco ao longo do tempo com indicadores de risco chave e dashboards.

Os indicadores que usamos para definir os riscos são configurados para um certo intervalo de atualização. Os responsáveis atribuídos aos indicadores de risco receberão notificações sobre intervalos de atualização futuros e atualizações perdidas.

É possível visualizar no dashboard os indicadores que não foram atualizados a tempo.

Os detalhes de todas as atualizações (pessoa que atualizou, quando a atualização foi feita, se o valor anterior foi alterado) podem ser visualizados através do log de auditoria dos indicadores.

No nível do scorecard de governança, a análise de risco regular pode ser quantificada por um indicador dedicado:

• Adicione a “Realizar avaliação sistemática de risco” ao scorecard de governança.
• Configure o indicador para ser atualizado trimestral ou anualmente.
• Atribua a pessoa/equipe responsável pela análise de risco regular como responsável por este indicador para receber lembretes por e-mail sobre atualizações futuras.
• Alinhe este indicador com os indicadores correspondentes dos níveis inferiores que quantificam avaliações de risco realizadas em áreas específicas.

Painéis

Além de monitorar com indicadores atualizados regularmente, considere adicionar um painel com diagramas relevantes:

• Um diagrama com uma lista dos riscos, seus status, progresso do tratamento, pessoas responsáveis
• Diagramas dedicados para os riscos mais críticos
• Diagramas para o índice de risco e sua mudança ao longo do tempo.

Um painel com diagramas de risco. Fonte: Exemplo de Gestão de Riscos.

Índice de Risco Ponderado

Um dos meios populares para relatar incidentes de risco é usando um índice de risco ponderado. Um índice simples poderia ser assim:

• Eventos de baixo impacto (peso = 5%)
• Eventos de médio impacto (peso = 15%)
• Eventos de alto impacto (peso = 30%)
• Eventos críticos (peso = 50%)

O uso do índice ajuda a prevenir a manipulação do indicador ao mascarar eventos de alto valor com correções de baixo valor.

Um exemplo de índice de risco ponderado. Fonte: Risk Management Example.

• Use o botão Adicionar para criar uma estrutura hierárquica de indicadores.
• Use a propriedade de Peso na aba de Desempenho para atribuir o peso relevante aos indicadores.

Gerenciamento de Riscos em Escala: Registro de Riscos vs. Definições de Riscos Centradas em Metas

Ao ampliar as práticas relacionadas a riscos, as organizações tipicamente combinam esses dois métodos de gerenciamento de riscos para equilibrar a visibilidade e o alinhamento dos riscos:

• Usando um scorecard de registro de riscos para riscos gerais, e
• Focando em definições de riscos centradas em metas para riscos mais específicos.

Um exemplo de um registro de riscos em um scorecard funcional automatizado pelo BSC Designer. Fonte: Risk Register.

Slides

Sessão de treinamento: 'Gestão de Riscos com BSC Designer' é oferecida como parte do nosso programa de aprendizado contínuo e incluída com uma assinatura do BSC Designer.

As sessões de treinamento são realizadas semanalmente via Zoom, proporcionando insights práticos e orientação personalizada. Após a conclusão, os participantes recebem um certificado de participação. Explore todas as sessões de treinamento disponíveis aqui.

Conclusão: Integrar o risco no planejamento estratégico

Não estamos mais falando sobre disciplinas separadas de gestão de riscos, conformidade e governança. O ambiente de negócios em rápida mudança força as organizações a buscarem um framework integrado de GRC.

Conforme descrito em nosso Sistema de Implementação de Estratégia, a implementação prática inclui:

• Dividir problemas complexos em áreas específicas, geridas por scorecards de estratégia e função dedicados.
• Formular metas com definições de risco, indicadores e iniciativas apropriados.
• Focar os scorecards em áreas de interesse, como conformidade, cibersegurança ou a cadeia de suprimentos.

Use o modelo Risk Management Example

O BSC Designer ajuda as organizações a implementarem suas estratégias complexas:

1. Inscreva-se para um plano gratuito na plataforma.
2. Use o modelo Risk Management Example como ponto de partida. Você o encontrará em Novo > Novo Scorecard > Mais Modelos.
3. Siga o nosso Sistema de Implementação de Estratégia para alinhar as partes interessadas e ambições estratégicas em uma estratégia abrangente.

Comece hoje e veja como o BSC Designer pode simplificar a implementação da sua estratégia!

Alexis Savkín

Alexis é Consultor Sênior de Estratégia e CEO na BSC Designer, com mais de 20 anos de experiência em planejamento estratégico. Alexis desenvolveu o “Sistema de Implementação de Estratégia em 5 Passos” que ajuda empresas na implementação prática de suas estratégias. Ele é palestrante regular em conferências do setor e publicou mais de 100 artigos sobre estratégia e gestão de desempenho, incluindo o livro “Sistema de KPI em 10 Passos”. Seu trabalho é frequentemente citado em pesquisas acadêmicas.