Matriz de Riscos (Matriz de Probabilidade e Impacto)
O que é Matriz de Riscos?
A Matriz de Riscos ou Matriz de Probabilidade e Impacto é uma ferramenta de gerenciamento de riscos que permite de forma visual identificar quais são os riscos que devem receber mais atenção. Por se tratar de uma ferramenta para priorização de riscos, ela pode ser aplicada na etapa de avaliação de riscos. Dessa forma, a identificação dos riscos é uma etapa que deve ser feita antes da aplicação da ferramenta.
O grande diferencial da Matriz de Riscos é a facilidade que ela proporciona para visualizar informações sobre um determinado conjunto de riscos. Por se tratar de uma ferramenta gráfica, se torna fácil identificar quais riscos irão afetar menos ou mais a organização, possibilitando a tomada de decisões e a realização de medidas preventivas para tratar esses riscos. Além disso, por ser uma ferramenta de fácil entendimento e por dispor informações de forma clara e precisa, colabora com engajamento da equipe no processo de gestão de riscos.
A matriz de risco consiste em uma matriz (tabela) orientada por duas dimensões: probabilidade e impacto. Por meio dessas duas dimensões, é possível calcular e visualizar a classificação do risco, que consiste na avaliação do impacto versus a probabilidade.
O resultado da classificação do risco, indica em qual célula da matriz o risco se encaixa. Como pode ser visto na Figura 1, há cores diferenciadas entre as células e essas cores indicam o quão alta é a classificação do risco, ou seja, o quão crítico um determinado risco é.
Por exemplo, os riscos que resultaram em uma classificação alta (cor vermelha na matriz) devem receber maior atenção do que os riscos classificados como moderados ou médios (cor amarela na matriz) e, consequentemente, os riscos classificados como baixo (cor verde na matriz) podem ter menor atenção que os moderados e altos.
Visto que as duas dimensões de uma Matriz de Riscos são compostas pela probabilidade e impacto, a seguir é apresentado de forma mais detalhada a definição dessas duas variáveis.
Probabilidade
A probabilidade (eixo vertical) consiste na medição de o quão provável é a ocorrência do risco. Em outras palavras, na probabilidade deve-se analisar o quão fácil ou difícil é que determinado risco aconteça, por exemplo, medir o quão provável é que chova hoje? A probabilidade deve ser medida em níveis, por exemplo: muito baixo, baixo, moderado, alto e muito alto. Essas probabilidades também podem ser convertidas em números (porcentagens) para facilitar o entendimento, sendo:
- muito baixo = 1 a 10%;
- baixo = 11% a 30%;
- moderado = 31% a 50%;
- alto = 51% a 70%;
- muito alto = 71% a 90%.
Impacto
O impacto (eixo horizontal) se refere às consequências do risco caso ele vier a ocorrer, ou seja, quais serão os prejuízos ou danos causados caso o risco incida de fato. O impacto pode ser negativo por exemplo, prejuízo financeiro, perda de clientes, dano à equipamento, etc; ou ainda, positivo, como novas oportunidades de negócio, utilização de uma nova tecnologia, redução de taxas ou impostos, etc. O impacto também é medido em níveis, por exemplo: muito baixo, baixo, moderado, alto e muito alto.
Relação Probabilidade e Impacto na Matriz de Riscos
É importante destacar que tanto para o impacto quanto para a probabilidade é possível definir a quantidade de níveis que desejar. Como explicado acima e pode ser visto na Figura 2, a matriz apresentada é composta por 5 níveis verticais (probabilidade) e 5 horizontais (impacto).
Em relação à definição dos níveis das dimensões, é necessário se atentar para que a quantidade de níveis para probabilidade e impacto sejam as mesmas, por exemplo, se for decidido que a probabilidade será apenas baixa, média e alta (3 níveis) o impacto pode ser insignificante, moderado ou catastrófico, ou seja, 3 níveis também (uma Matriz de Riscos com 3 níveis pode ser vista na Figura 1).
Quando utilizar a Matriz de Riscos?
O risco é o efeito da incerteza sobre um determinado objetivo ou evento. Como o próprio nome da ferramenta indica, a Matriz de Riscos deve ser utilizada na avaliação de qualquer risco, desde riscos organizacionais de processos até riscos de um projeto, por exemplo. Em cenários com grandes quantidades de riscos identificados, a Matriz de Riscos é uma ferramenta eficaz para direcionar o trabalho, ou seja, para ajudar a saber por quais riscos começar a tratativa.
Um ponto importante e que vale ser relembrado é que um risco pode ser tanto uma ameaça quanto uma oportunidade. Uma ameaça é um risco “ruim”, uma fonte de perdas, ou seja, é um risco que, se incidir, gera danos negativos à organização ou projeto. Já uma oportunidade é um risco “bom”, uma fonte de ganhos que a organização pode ter para melhorar seus resultados (impacto positivo). Diante desse cenário, pode-se utilizar a Matriz de Riscos para avaliar ameaças e oportunidades, para tal basta expandir a matriz de risco.
Como pode ser visto na Figura 3, a Matriz de Riscos foi expandida para abordar riscos e oportunidades. Do lado esquerdo da matriz ficam as ameaças e do lado direito as oportunidades. Os critérios de avaliação seguem a mesma lógica para ambos os tipos de riscos.
Como fazer uma Matriz de Riscos?
A Matriz de Riscos deve ser uma ferramenta inserida no processo de gestão de riscos da organização. O primeiro passo para utilizar essa ferramenta consiste em criar uma matriz adaptada de acordo com o contexto da empresa. Ou seja, definir e descrever quais são os critérios que deverão classificar a probabilidade e o impacto do risco para processos ou projetos.
Por exemplo, suponha que uma empresa utilize 5 níveis de probabilidade e impacto para a avaliação de riscos. Para isso, os critérios e a descrição desses critérios para probabilidade e impacto foram definidos no processo de gestão de risco da seguinte forma:
Probabilidade:
Probabilidade | Descrição dos critérios de probabilidade | |
Numérica | Descritiva | |
1% a 10% | Muito baixa | Não é provável que aconteça |
11% a 30% | Baixa | Pode ser que ocorra uma vez dentro de um ano |
31% a 50% | Moderada | Pode ser que ocorra mais de uma vez dentro de um ano |
51% a 70% | Alta | Pode ser que ocorra mensalmente |
71% a 90% | Muito alta | Pode ser que ocorra semanalmente |
Impacto:
Impacto | Descrição dos critérios de impacto |
Muito baixo | Os riscos possuem consequências pouco significativas |
Baixo | Os riscos possuem consequências reversíveis em curto e médio prazo com custos pouco significativos |
Moderado | Os riscos possuem consequências reversíveis em curto e médio prazo com custos baixos |
Alto | Os riscos possuem consequências reversíveis em curto e médio prazo com custos altos |
Muito alto | Os riscos possuem consequências irreversíveis ou com custos inviáveis |
Monte sua Matriz de Riscos
Após a definição dos critérios de probabilidade e impacto, é o momento definir qual ferramenta você utilizará para apoiar o processo de avaliação dos riscos. Podem ser utilizadas planilhas eletrônicas, folhas de papel, ou até mesmo um software para gestão de riscos que possua e automatize a ferramenta.
Em seguida, é necessário realizar a identificação dos riscos e, na sequência, para cada risco identificado, analisar a sua probabilidade e impacto de acordo com os critérios definidos. Vale frisar que é muito importante que a avaliação da probabilidade e impacto seja feita pelas pessoas certas.
O conhecimento sobre o risco identificado é fundamental para que a avaliação seja realista e precisa. Além disso, a avaliação do risco pode ser feita por um time ao invés de apenas por uma pessoa. As discussões geradas ajudarão a entender e esclarecer qual é o nível real de impacto e probabilidade do risco sob avaliação.
Uma dica para estimular a reflexão nesse momento é fazer perguntas como: “O quanto sabemos sobre esse risco? Já lidamos com ele antes? Temos algum fato ou dado sobre o risco (por exemplo, incidências, indicadores, etc.)?”. Essas perguntas não ajudarão somente a avaliação de impacto e probabilidade, mas também na definição de ações de tratativa do risco.
Ao determinar a probabilidade e impacto do risco, esses valores devem ser inseridos na linha e coluna correspondente ao resultado obtido, gerando assim a classificação do risco. De acordo com a classificação do risco será possível definir se ele deve ser tratado ou não como prioridade.
Exemplo de avaliação de risco com a Matriz de Riscos
A fim de facilitar a compreensão, será utilizada a Matriz de Riscos ilustrada na Figura 3. Nessa matriz, foi escolhido o eixo vertical para representar os níveis de probabilidade e o eixo horizontal os níveis de impacto (entretanto, não há problemas em inverter os eixos). Também serão utilizados os critérios para probabilidade e impacto definidos na seção anterior.
Avaliando o risco
Dito isso, suponha que uma empresa de telemarketing tenha identificado o seguinte risco (ameaça) de infraestrutura:
Risco 001: Queda das linhas telefônicas disponíveis |
Para avaliar esse risco, se reuniram os seguintes colaboradores da empresa: o gestor de infraestrutura (responsável pelo risco), o analista responsável pela manutenção dos telefones e o gestor da área de atendimento ao cliente. Esses colaboradores foram escolhidos pois eles desempenham papéis que estão diretamente relacionados com o risco em avaliação.
Durante a discussão, os colaboradores da infraestrutura informaram que a queda das linhas telefônicas da empresa aconteceu duas vezes nos últimos quatro meses. Assim, de acordo com a descrição dos critérios de probabilidade definidos no processo de gestão de riscos da empresa, a probabilidade do risco acontecer é moderada, pois aconteceu mais de uma vez cada ano, porém não ocorreu mensalmente.
Em relação ao impacto, as contribuições do gestor da área de atendimento ao cliente foram muito relevantes. Ele mencionou que quando houve a queda das linhas telefônica pela última vez, um período de duas horas de ausência trouxe um prejuízo que representou 10% do faturamento mensal do setor, pois se tratava de um dia que uma campanha de venda grande estava acontecendo. Além disso, no mês foram registradas mais de 500 reclamações de clientes por indisponibilidade e houveram alguns cancelamentos de serviços por clientes devido a essa indisponibilidade.
Mediante esses fatos e por meio de um consenso, os envolvidos chegaram à conclusão que o impacto do risco é muito alto, pois as consequências desse risco são irreversíveis. Por se tratar de uma empresa de telemarketing, ter as linhas telefônicas operando a todo o momento é fundamental para que a empresa gere receita. Assim, a classificação do risco resultante foi alta. A Figura 4 ilustra a localização do risco na Matriz de Riscos.
Preencha a matriz com todos os riscos identificados
Suponha também que a organização identificou mais três riscos (ameaças) de infraestrutura. São eles:
Risco 002: Queda de internet |
Risco 003: Falta de energia elétrica |
Risco 004: Quebra dos equipamentos de trabalho |
Analisando esses riscos e utilizando a mesma abordagem adotada para o Risco 001, as classificações resultantes foram:
- Risco 002: Alta porque a probabilidade de ocorrer é alta visto que nos últimos meses uma incidência por mês foi registrada. O impacto é alto pois o sistema principal que a empresa utiliza precisa de internet para operar.
- Risco 003: Média porque a probabilidade de ocorrer é muito baixa pois raramente na localização da empresa a energia cai e quando cai não gera nenhum impacto porque a empresa conta com um gerador de energia próprio. Já o impacto é muito alto caso vier a acontecer, pois todos os equipamentos de trabalho da empresa dependem de energia elétrica para operar.
- Risco 004: Baixa porque a probabilidade de ocorrer é muito baixa dado que a empresa conta com uma reserva considerável de equipamentos de trabalho em estoque e realiza manutenções periódicas nos equipamentos. Além disso, até o momento não há registro de incidência desse risco. Quanto ao impacto, é médio pois há vários equipamentos iguais operando no setor fazendo com que a quebra de um ou outro seja rapidamente reversível e de baixo custo.
Dessa forma, a Matriz de Riscos final para os riscos de infraestrutura é apresentada na Figura 5.
Não se esqueça das oportunidades
Não menos importante, para os riscos que são oportunidades, a avaliação deve deve ser realizada da mesma forma que foi feita para as ameaças. Seguindo os mesmos critérios e posicionando as oportunidades na matriz.
A tratativa dos riscos, tanto de ameaças quanto das oportunidades avaliadas, deve ser feita de acordo a disposição desses riscos na Matriz de Riscos. A Figura 6 apresenta um guia de como ler a Matriz de Riscos e ajudar na priorização da tratativa dos riscos classificados pela ferramenta.
Priorizando os risos analisados
Assim, retornando para o exemplo dado da Figura 5, os Riscos 001 e 002 são pontos críticos que devem ser tratados de imediato e o Risco 003 deve ser um ponto de atenção.
Por fim, o Risco 004 deve ser analisado periodicamente, mas não há necessidade de implementação de uma ação específica. O gerenciamento durante os procedimentos de rotina é suficiente, nesse caso por exemplo, o simples gerenciamento pelo procedimento de manutenção de equipamentos do setor de infraestrutura trataria o risco.