Gestão de riscos
Framework end-to-end com matriz de risco, registo de riscos, apetite ao risco, ISO 31000 e alinhamento com NIS2, DORA e RGPD
Descarregar pack completoÂmbito e objectivos
Garantir que a organização compreende e gere eficazmente os riscos, maximizando oportunidades e minimizando ameaças à entrega de valor.
Novo projecto ou serviço, alteração regulamentar (NIS2, DORA, RGPD), incidente grave, auditoria interna ou externa, revisão periódica do registo de riscos.
Governance de risco, identificação, análise, avaliação, tratamento, monitorização e revisão de riscos estratégicos, operacionais, financeiros, de conformidade, tecnológicos e reputacionais.
Riscos de segurança da informação em detalhe (gestão de segurança da informação / ISO 27005) e planeamento de continuidade de serviço (service continuity management).
Política de risco aprovada, registo de riscos actualizado, plano de tratamento de riscos com acções e responsáveis, relatórios de risco para gestão de topo e partes interessadas.
Matriz de risco
A matriz 5x5 (probabilidade x impacto) é a ferramenta central para classificar e priorizar riscos. Cada célula corresponde a um nível de risco que determina a urgência do tratamento e os limites do apetite ao risco da organização.
| Impacto | |||||
|---|---|---|---|---|---|
| Probabilidade | 1 Insignificante | 2 Menor | 3 Moderado | 4 Maior | 5 Catastrófico |
| 5 Quase certo | Médio 5 |
Alto 10 |
Crítico 15 |
Crítico 20 |
Crítico 25 |
| 4 Provável | Baixo 4 |
Médio 8 |
Alto 12 |
Crítico 16 |
Crítico 20 |
| 3 Possível | Baixo 3 |
Médio 6 |
Médio 9 |
Alto 12 |
Crítico 15 |
| 2 Improvável | Baixo 2 |
Baixo 4 |
Médio 6 |
Médio 8 |
Alto 10 |
| 1 Raro | Baixo 1 |
Baixo 2 |
Baixo 3 |
Baixo 4 |
Médio 5 |
Diagrama do processo
Diagrama BPMN simplificado do processo de gestão de riscos (3 swimlanes). Percorra horizontalmente em dispositivos móveis.
Actividades macro
| # | Actividade | Responsável | Input | Output |
|---|---|---|---|---|
| 1 | Governance de risco | Gestão de topo / Risk manager | Estratégia organizacional, requisitos regulamentares | Política de risco, apetite e capacidade de risco definidos |
| 2 | Identificação de riscos | Risk manager / Process owners | Política de risco, contexto organizacional, outputs de outros processos | Lista de riscos identificados (ameaças e oportunidades) |
| 3 | Análise e avaliação | Risk manager | Lista de riscos, critérios de avaliação, matriz de risco | Riscos classificados por probabilidade e impacto, prioridade definida |
| 4 | Tratamento de riscos | Risk manager / Gestão de topo | Riscos avaliados, apetite ao risco | Estratégia de tratamento (mitigar, transferir, aceitar, evitar) e plano de acção |
| 5 | Implementação de controlos | Process owners | Plano de tratamento de riscos | Controlos implementados, risco residual documentado |
| 6 | Monitorização contínua | Risk manager / Process owners | KRIs, alertas, métricas de controlo | Estado actualizado dos riscos, alertas de desvio ao apetite |
| 7 | Revisão periódica | Risk manager / Auditor | Registo de riscos, resultados de auditoria, eventos externos | Registo de riscos actualizado, riscos novos identificados |
| 8 | Reporting | Risk manager | Registo de riscos, KRIs, plano de tratamento | Relatórios de risco para gestão de topo e conselho de administração |
| 9 | Melhoria do framework | Risk manager / Gestão de topo | Lições aprendidas, benchmarks, alterações regulamentares | Framework de risco actualizado, política revista |
Descrição detalhada das actividades
A governance de risco estabelece as fundações do framework: política de risco, apetite ao risco (quanto risco a organização aceita voluntariamente) e capacidade de risco (o máximo de risco que a organização consegue suportar). Estes limites orientam todas as decisões de tratamento. Em sectores regulados, como banca (Basileia III/IV) ou infraestruturas críticas (NIS2, DORA), a governance de risco tem requisitos formais de reporte ao regulador.
Categorias de risco a cobrir
- Estratégico: mudanças de mercado, concorrência, decisões de liderança erradas
- Operacional: falhas de processos, sistemas ou pessoas, fornecedores críticos
- Financeiro: liquidez, crédito, câmbio, requisitos de capital (Basileia III/IV)
- Conformidade: RGPD, NIS2, DORA, ISO 27001, legislação laboral
- Tecnológico: cibersegurança, obsolescência, dependências de cloud
- Reputacional: percepção de clientes, media, partes interessadas
A identificação sistemática de riscos utiliza múltiplas técnicas para garantir cobertura abrangente. Risco inclui tanto ameaças (impacto negativo) como oportunidades (incerteza com impacto positivo). O output é uma lista estruturada que alimenta o registo de riscos.
Técnicas de identificação
- Brainstorming: sessões com equipas multidisciplinares para levantamento livre
- Análise SWOT: forças, fraquezas, oportunidades e ameaças organizacionais
- Análise PESTLE: factores políticos, económicos, sociais, tecnológicos, legais e ambientais
- Checklists: listas de riscos típicos do sector ou tipo de projecto
- Análise de cenários: simulação de situações adversas plausíveis
- Entrevistas com especialistas: recolha de experiência de quem conhece o processo
A análise determina a probabilidade e o impacto de cada risco; a avaliação compara o nível de risco resultante com os critérios de aceitação definidos na política. Existem duas abordagens complementares que podem ser utilizadas em conjunto.
Análise qualitativa vs. quantitativa
- Qualitativa: escalas de 1-5 para probabilidade e impacto, matriz de risco, rápida e intuitiva, adequada para a maioria dos contextos
- Quantitativa: modelos probabilísticos, valor esperado, simulação Monte Carlo, VaR (Value at Risk) para riscos financeiros, adequada para decisões de elevado impacto
- ISO 31000: recomenda uma abordagem proporcional ao contexto; para riscos de segurança da informação, a ISO 27005 fornece metodologia específica
- Risco inerente vs. residual: avaliar primeiro sem controlos (inerente), depois com controlos existentes (residual)
O tratamento selecciona e implementa a resposta mais adequada para cada risco que excede o apetite da organização. A estratégia escolhida depende do custo do tratamento face ao impacto esperado do risco.
Estratégias de tratamento com exemplos
- Mitigar: reduzir probabilidade ou impacto — ex. implementar MFA para reduzir risco de acesso indevido; contratos de fornecedores alternativos para reduzir dependência
- Transferir: passar o risco a terceiros — ex. seguro cibernético, SLA contratual com penalizações, outsourcing de actividades de risco elevado
- Aceitar: decisão consciente de não agir — ex. riscos baixos abaixo do limiar de apetite; riscos cujo custo de mitigação excede o impacto esperado
- Evitar: eliminar a actividade que gera o risco — ex. descontinuar produto não conforme com RGPD; abandonar projecto com perfil de risco inaceitável
Os process owners e service owners executam as acções definidas no plano de tratamento. O risco residual — o risco que permanece após a aplicação dos controlos — deve ser documentado e aceite formalmente pela gestão. Quando o risco residual ainda excede o apetite, são necessários controlos adicionais ou escalação para decisão de gestão de topo.
Passos chave
- Implementar os controlos técnicos, processuais e organizacionais definidos
- Testar a eficácia dos controlos implementados
- Documentar o risco residual após aplicação dos controlos
- Obter aceitação formal do risco residual pelos responsáveis
- Actualizar o registo de riscos com o estado de implementação
Os Key Risk Indicators (KRIs) são métricas que sinalizam antecipadamente o aumento de exposição a um risco, permitindo agir antes que o risco se materialize. Diferem dos KPIs porque medem o potencial de um evento adverso, não o desempenho actual. Um bom KRI é mensurável, correlacionado com o risco que monitoriza e disponível com frequência suficiente para ser accionável.
Exemplos de KRIs por categoria
- Tecnológico: número de vulnerabilidades críticas não corrigidas, tempo médio de patching, incidentes de segurança por mês
- Operacional: taxa de erro em processos críticos, número de excepções de controlo, rotatividade de pessoal-chave
- Fornecedores: percentagem de fornecedores críticos sem avaliação de risco actualizada, SLA de fornecedores abaixo do limiar
- Conformidade: número de não conformidades em auditorias, prazo para resposta a pedidos RGPD, desvios a políticas internas
- Financeiro: rácio de liquidez, exposição a contraparte, concentração de receita por cliente
O registo de riscos deve ser revisto periodicamente para garantir que reflecte o contexto actual da organização. Riscos podem mudar de classificação, novos riscos emergem (ex. novas ameaças de cibersegurança, alterações regulamentares como a entrada em vigor da DORA em Janeiro 2025) e riscos tratados podem precisar de reavaliação. A revisão é também obrigatória após incidentes significativos.
Passos chave
- Rever todos os riscos no registo e actualizar probabilidade e impacto
- Identificar novos riscos emergentes desde a última revisão
- Verificar se os controlos implementados mantêm a eficácia
- Incorporar lições aprendidas de incidentes e quase-acidentes
- Validar alinhamento com alterações regulamentares (NIS2, DORA, RGPD, Basileia)
O reporting regular sobre o estado do risco é essencial para que a gestão de topo tome decisões informadas. Em organizações reguladas, o reporting ao regulador é obrigatório (ex. DORA exige reporte de incidentes de risco operacional ao regulador no prazo definido; NIS2 exige notificação de incidentes significativos).
Passos chave
- Consolidar o estado do registo de riscos para o período de reporte
- Destacar riscos novos, em escalada ou com violação do apetite
- Apresentar KRIs com tendência e comparação face a períodos anteriores
- Resumir o estado de implementação do plano de tratamento
- Submeter reporting regulatório dentro dos prazos aplicáveis (DORA, NIS2)
O framework de gestão de riscos é ele próprio sujeito a melhoria contínua. A ISO 31000 recomenda que a organização avalie periodicamente a adequação do framework ao contexto, incorpore aprendizagens e adapte metodologias. A maturidade do processo de gestão de riscos pode ser avaliada através de modelos de maturidade específicos.
Passos chave
- Avaliar a eficácia do framework com base em resultados e feedback
- Incorporar lições aprendidas de incidentes materializados
- Rever metodologias e ferramentas à luz de melhores práticas do sector
- Actualizar formação e consciencialização das equipas sobre gestão de riscos
- Alinhar o framework com novos requisitos regulamentares ou normativos
Modelo RACI
| Actividade | Risk manager (RM) |
Gestão de topo (GT) |
Process/Service owners (PO) |
Auditor interno (AU) |
Compliance (CO) |
|---|---|---|---|---|---|
| Governance de risco | R | A | I | C | C |
| Identificação de riscos | A | I | R | I | C |
| Análise e avaliação | R | A | C | I | I |
| Tratamento de riscos | R | A | C | I | C |
| Implementação de controlos | I | A | R | C | I |
| Monitorização contínua | A | I | R | - | I |
| Revisão periódica | R | A | C | R | C |
| Reporting | R | A | I | I | C |
| Melhoria do framework | R | A | I | C | C |
Métricas e KPIs
| Métrica | Descrição | Target sugerido |
|---|---|---|
| Total de riscos no registo | Número total de riscos documentados no registo de riscos activo | 100% identificados |
| Riscos críticos e altos | Número e percentagem de riscos classificados como alto ou crítico na matriz de risco | Tendência decrescente |
| Conclusão do plano de tratamento | Percentagem de acções de tratamento concluídas no prazo definido | > 85% |
| Revisões em atraso | Número de riscos sem revisão dentro do período definido pela política (ex. trimestral para riscos altos) | 0 em atraso |
| Violações do apetite ao risco | Número de riscos activos que excedem o apetite ao risco aprovado pela gestão de topo | 0 não endereçados |
| Violações de KRIs | Número de Key Risk Indicators que cruzaram o limiar de alerta no período | Resposta < 24h |
| Tempo médio de tratamento | Tempo médio entre a identificação de um risco alto/crítico e a implementação das acções de tratamento | < 30 dias (crítico) |
Interfaces com outros processos
Segurança da informação
Riscos de segurança identificados são transferidos para o processo de gestão de segurança da informação (ISO 27001 / ISO 27005) para tratamento especializado.
Continuidade de serviço
Riscos com potencial de interrupção de serviço são partilhados com o processo de continuidade para inclusão nos planos BCP/DRP e análise BIA.
Gestão de fornecedores
Riscos relacionados com terceiros e fornecedores críticos são integrados nas avaliações de risco de fornecedores e nos contratos de gestão de risco de contraparte.
Change enablement
Cada mudança proposta deve incluir avaliação de risco; o processo de gestão de riscos valida o perfil de risco de mudanças significativas antes da aprovação.
Todos os processos operacionais
Incidentes, problemas, mudanças e outros eventos operacionais são fontes de identificação de novos riscos ou actualização de riscos existentes no registo.
Governance executiva
O reporting de risco alimenta o conselho de administração e comités de risco com informação para decisões estratégicas, conformidade regulatória e reporte a supervisores (Banco de Portugal, CNPD, CERT.PT).
Descarregar o pack completo
Inclui o processo documentado, registo de riscos em Excel com matriz 5x5, modelo RACI, política de risco e dashboard de KRIs.