Fluxograma de Avaliação de Risco: Identificando e Mitigando Riscos de Negócio
Aprenda a construir um fluxograma de avaliação de risco que identifica, analisa e mitiga riscos de negócio. Inclui templates para riscos de TI, financeiros e de projetos.
Todo negócio enfrenta riscos — falhas operacionais, perdas financeiras, violações de conformidade, ataques cibernéticos. As organizações que lidam bem com risco não são as que evitam a incerteza; são as que têm um processo sistemático para identificá-la e responder a ela. Um fluxograma de avaliação de risco transforma esse processo em algo repetível, auditável e treinável.
Este guia orienta na construção de um fluxograma completo de avaliação de risco, desde a identificação inicial até o monitoramento e revisão. Abrange as principais categorias de risco, critérios de decisão em cada etapa e exemplos específicos de setor que você pode adaptar imediatamente.
O que um fluxograma de avaliação de risco faz
Um fluxograma de avaliação de risco documenta o processo da sua organização para avaliar ameaças potenciais e decidir o que fazer sobre elas. Ao contrário de um registro de riscos estático ou uma planilha, um fluxograma torna a lógica de decisão explícita — quem faz o quê, sob quais condições e o que acontece a seguir.
O valor está no processo, não apenas no resultado:
- Novos membros da equipe seguem os mesmos passos que os veteranos
- Auditores podem ver que um processo definido existe e é seguido
- Lacunas de cobertura ficam visíveis quando nenhuma etapa trata de um cenário particular
- Tratamento consistente entre departamentos e tipos de risco
O framework principal de avaliação de risco
A maioria dos frameworks de risco segue a mesma estrutura geral, independentemente do setor ou tipo de risco:
┌──────────────┐
│ Identificar │
│ Risco │
└──────┬───────┘
│
▼
┌──────────────┐
│ Analisar │
│ Probabilidade│
│ e Impacto │
└──────┬───────┘
│
▼
┌──────────────┐
│ Avaliar │
│ Nível de │
│ Risco │
└──────┬───────┘
│
▼
┌──────────────────────────────────────────────────────┐
│ Tratar: Aceitar / Mitigar / Transferir / Evitar │
└──────┬───────────────────────────────────────────────┘
│
▼
┌──────────────┐
│ Implementar │
│ Controles │
└──────┬───────┘
│
▼
┌──────────────┐
│ Monitorar │
│ e Revisar │
└──────────────┘
Cada etapa tem sua própria lógica de decisão, e o processo faz um loop — o monitoramento alimenta novas informações no próximo ciclo de identificação.
Etapa 1: Identificação de risco
O primeiro passo é trazer à tona riscos potenciais antes que se materializem. Esta etapa responde: o que poderia dar errado?
Fontes comuns para identificação de risco:
- Incidentes históricos — O que deu errado no passado, internamente ou em organizações similares?
- Mapeamento de processos — Percorra cada processo de negócio e pergunte onde podem ocorrer falhas
- Entrevistas com especialistas — Chefes de departamento e funcionários de linha de frente frequentemente conhecem os riscos que não aparecem em relatórios
- Fontes externas — Relatórios do setor, orientações regulatórias, feeds de inteligência de ameaças
- Eventos de mudança — Novos sistemas, aquisições, mudanças de mercado, mudanças regulatórias
O resultado desta etapa é uma lista bruta de riscos. Neste ponto, nenhuma filtragem acontece — capture tudo antes de avaliar.
┌─────────────────────┐
│ Gatilho: Novo │
│ risco identificado│
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ É uma variante de │
│ risco conhecido? │
└──────────┬──────────┘
│
┌──────┴──────┐
Sim Não
│ │
▼ ▼
┌───────────┐ ┌───────────────┐
│ Atualizar │ │ Criar novo │
│ registro │ │ registro de │
│ existente │ │ risco │
└───────────┘ └───────┬───────┘
│
▼
┌────────────────┐
│ Atribuir dono │
│ do risco │
└────────┬───────┘
│
▼
┌────────────────┐
│ Avançar para │
│ Análise │
└────────────────┘
Todo risco identificado deve ter um dono — uma pessoa nomeada responsável por rastreá-lo e responder a ele.
Etapa 2: Análise de risco
A análise quantifica o risco usando duas dimensões: probabilidade (quão provável é ocorrer?) e impacto (quão grave seria se ocorresse?).
Matriz Probabilidade x Impacto
| Impacto \ Probabilidade | Raro (1) | Improvável (2) | Possível (3) | Provável (4) | Quase Certo (5) |
|---|---|---|---|---|---|
| Catastrófico (5) | 5 | 10 | 15 | 20 | 25 |
| Grave (4) | 4 | 8 | 12 | 16 | 20 |
| Moderado (3) | 3 | 6 | 9 | 12 | 15 |
| Menor (2) | 2 | 4 | 6 | 8 | 10 |
| Negligível (1) | 1 | 2 | 3 | 4 | 5 |
Pontuação = Probabilidade x Impacto. Esta pontuação impulsiona a avaliação na Etapa 3.
┌─────────────────────┐
│ Avaliar Probabilidade│
│ (escala 1-5) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Avaliar Impacto │
│ (escala 1-5) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Calcular Pontuação │
│ de Risco = P x I │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Documentar risco │
│ inerente (pré-ctrl)│
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Controles já │
│ existem? │
└──────────┬──────────┘
│
┌──────┴──────┐
Sim Não
│ │
▼ ▼
┌─────────────┐ ┌────────────────┐
│ Documentar │ │ Documentar │
│ pontuação │ │ pontuação de │
│ risco resid.│ │ risco sem ctrl │
└─────┬───────┘ └───────┬────────┘
└──────────────────┘
│
▼
┌─────────────────────┐
│ Avançar para │
│ Avaliação │
└─────────────────────┘
Avaliar tanto o risco inerente (antes dos controles) quanto o risco residual (após os controles) mostra se seus controles existentes estão funcionando.
Etapa 3: Avaliação de risco
A avaliação transforma a pontuação em uma decisão: esse risco é aceitável assim como está, ou requer ação?
A maioria dos frameworks usa três faixas de risco:
| Pontuação | Faixa | Ação padrão |
|---|---|---|
| 15-25 | Alto | Ação imediata necessária |
| 8-14 | Médio | Ação necessária dentro do prazo definido |
| 1-7 | Baixo | Monitorar; aceitar se não existir controle custo-efetivo |
┌─────────────────┐
│ Pontuação de │
│ Risco │
└────────┬────────┘
│
┌───────────────┼───────────────┐
│ │ │
Pont. 1-7 Pont. 8-14 Pont. 15-25
│ │ │
▼ ▼ ▼
┌────────────┐ ┌─────────────┐ ┌────────────┐
│ BAIXO │ │ MÉDIO │ │ ALTO │
│ Aceitar ou │ │ Ação em │ │ Ação │
│ monitorar │ │ 90 dias │ │ imediata │
│ │ │ │ │ necessária│
└────────────┘ └─────────────┘ └────────────┘
│ │ │
└───────────────┴───────────────┘
│
▼
┌─────────────────────┐
│ Selecionar │
│ estratégia de │
│ tratamento │
└─────────────────────┘
Etapa 4: Tratamento de risco
Uma vez avaliado o risco, você escolhe como tratá-lo. Existem quatro opções padrão de tratamento:
| Tratamento | Definição | Quando usar |
|---|---|---|
| Aceitar | Reconhecer o risco, não tomar ação | Riscos de baixa pontuação onde o custo do controle supera a perda potencial |
| Mitigar | Implementar controles para reduzir probabilidade ou impacto | Maioria dos riscos médios e altos |
| Transferir | Transferir o risco para outro (seguro, contratos) | Riscos com impacto financeiro quantificável |
| Evitar | Parar a atividade que cria o risco | Riscos altos onde não existe mitigação custo-efetiva |
┌─────────────────────┐
│ O custo do trat. │
│ é menor que a │
│ perda esperada? │
└──────────┬──────────┘
│
┌──────┴──────┐
Sim Não
│ │
▼ ▼
┌──────────┐ ┌──────────────────────┐
│ Mitigar │ │ Aceitar, Transferir, │
│ │ │ ou Evitar │
└────┬─────┘ └──────────┬───────────┘
│ │
└─────────┬─────────┘
│
▼
┌────────────────────────┐
│ O risco pode ser │
│ transferido (segurado, │
│ terceirizado)? │
└───────────┬────────────┘
│
┌──────┴──────┐
Sim Não
│ │
▼ ▼
┌─────────┐ ┌────────────────────┐
│Transferir│ │ A atividade que │
└─────────┘ │ gera risco pode │
│ ser interrompida? │
└────────┬───────────┘
│
┌──────┴──────┐
Sim Não
│ │
▼ ▼
┌────────┐ ┌────────┐
│ Evitar │ │ Aceitar│
└────────┘ │ com │
│revisão│
└────────┘
Etapa 5: Planejamento de mitigação
Para riscos que você escolhe mitigar, o próximo passo é definir controles específicos e atribuir responsabilidade.
Um plano de mitigação responde a quatro perguntas:
- Qual controle será implementado?
- Quem é responsável por implementá-lo?
- Quando será concluído?
- Como a eficácia será medida?
┌─────────────────────────┐
│ Definir tipo de ctrl: │
│ - Preventivo │
│ - Detectivo │
│ - Corretivo │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Atribuir dono do ctrl │
│ e prazo │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Definir métrica de │
│ sucesso (como saber │
│ que está funcionando?) │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Estimar risco residual │
│ após o controle │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Risco residual │
│ aceitável? │
└──────────┬──────────────┘
│
┌──────┴──────┐
Sim Não
│ │
▼ ▼
┌──────────┐ ┌────────────────┐
│ Avançar │ │ Adicionar ctrl │
│ para │ │ adicionais ou │
│ implement│ │ reconsiderar │
│ │ │ tratamento │
└──────────┘ └────────────────┘
Etapa 6: Monitoramento e revisão
A avaliação de risco não é um exercício pontual. Os riscos mudam à medida que o negócio muda, e os controles se degradam ao longo do tempo.
┌─────────────────────┐
│ Definir frequência │
│ de revisão: │
│ Alto: Trimestral │
│ Médio: Semestral │
│ Baixo: Anual │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Evento gatilho? │
│ (incidente,audit., │
│ mudança maior) │
└──────────┬──────────┘
│
┌──────┴──────┐
Sim Não
│ │
▼ ▼
┌──────────┐ ┌──────────────────┐
│ Revisão │ │ Aguardar revisão │
│ imediata │ │ programada │
└────┬─────┘ └────────┬─────────┘
└─────────────────┘
│
▼
┌─────────────────────┐
│ Controle ainda │
│ eficaz? │
└──────────┬──────────┘
│
┌──────┴──────┐
Sim Não
│ │
▼ ▼
┌────────────┐ ┌────────────────┐
│ Continuar │ │ Atualizar ctrl │
│ monitorando│ │ ou reavaliação │
│ │ │ de pontuação │
└────────────┘ └────────┬───────┘
│
▼
┌─────────────────┐
│ Retornar à │
│ Etapa 3: │
│ Avaliação │
└─────────────────┘
Categorias de risco e exemplos específicos por domínio
Risco operacional
Riscos operacionais surgem de pessoas, processos, sistemas e eventos externos.
| Exemplo de Risco | Probabilidade | Impacto | Tratamento |
|---|---|---|---|
| Saída de funcionário-chave | Provável | Grave | Mitigar: treinamento cruzado, documentar processos |
| Falha de fornecedor | Possível | Grave | Mitigar: dupla fonte; Transferir: penalidades contratuais |
| Erro de entrada de dados | Quase certo | Menor | Mitigar: controles de validação |
| Inundação do escritório | Raro | Catastrófico | Transferir: seguro; Mitigar: site backup |
Fluxograma de avaliação de risco de segurança de TI:
┌───────────────────────┐
│ Ameaça de segurança │
│ identificada │
└──────────┬────────────┘
│
▼
┌───────────────────────┐
│ Sistema está exposto │
│ externamente? │
└──────────┬────────────┘
│
┌──────┴──────┐
Sim Não
│ │
▼ ▼
┌──────────┐ ┌──────────────────┐
│ Risco de │ │ Sistema está na │
│ exposição│ │ rede interna? │
│ alto │ └────────┬─────────┘
└────┬─────┘ ┌──────┴──────┐
│ Sim Não
│ │ │
│ ▼ ▼
│ ┌────────┐ ┌──────────┐
│ │ Risco │ │ Risco │
│ │ médio │ │ baixo │
│ └────────┘ └──────────┘
│ │ │
└──────────┴─────────────┘
│
▼
┌─────────────────────┐
│ Aplicar controles: │
│ patches, MFA, │
│ segm. de rede, │
│ monitoramento │
└─────────────────────┘
Risco financeiro
Riscos financeiros afetam o fluxo de caixa, lucratividade ou o balanço patrimonial.
Pontos de decisão comuns em fluxograma de risco financeiro:
- Exposição cambial: O risco está acima de um limite definido? Se sim, considere instrumentos de hedge.
- Risco de crédito: A contraparte atende aos critérios de crédito? Se não, exija garantias ou rejeite.
- Risco de liquidez: Os ativos líquidos são suficientes para cobrir 90 dias de despesas operacionais? Se não, acione revisão de gestão de caixa.
Risco de projeto
Riscos de projeto têm prazo determinado. Um risco que importa na semana 1 pode ser irrelevante na semana 10.
┌───────────────────────┐
│ Novo risco de projeto │
│ identificado │
└──────────┬────────────┘
│
▼
┌───────────────────────┐
│ O risco está no │
│ caminho crítico? │
└──────────┬────────────┘
│
┌──────┴──────┐
Sim Não
│ │
▼ ▼
┌──────────┐ ┌────────────────────┐
│ Ação │ │ Adicionar ao │
│ imediata │ │ registro, monitorar│
│ necessária│ │ na reunião semanal │
└──────────┘ └────────────────────┘
Risco de conformidade
Riscos de conformidade surgem de requisitos regulatórios, contratos e políticas internas.
Decisão principal: Há um prazo regulatório específico? Se sim, o prazo de mitigação é inegociável — a conformidade não é opcional.
Risco reputacional
Riscos reputacionais são mais difíceis de quantificar, mas frequentemente os mais consequentes. Um proxy útil: se esse risco se materializasse e fosse público, como afetaria a confiança dos clientes, o preço das ações ou o recrutamento?
Para riscos reputacionais, a decisão de tratamento frequentemente envolve planejamento de comunicações ao lado de controles operacionais.
Construindo seu fluxograma de avaliação de risco com Flowova
Criar um fluxograma abrangente de avaliação de risco do zero é demorado. A ferramenta de texto para fluxograma da Flowova permite que você descreva seu processo de risco em linguagem simples e gera um fluxograma estruturado em segundos. Você pode então editar nós diretamente, adicionar ramificações de decisão e ajustar o layout sem tocar em um canvas de diagramação manualmente.
Para organizações que adaptam um framework de risco existente (ISO 31000, COSO ERM, NIST RMF), os templates de fluxograma da Flowova fornecem um ponto de partida que você pode adaptar ao seu setor e apetite a risco específicos.
Erros comuns em fluxogramas de avaliação de risco
Confundir probabilidade com impacto. Um risco de alta probabilidade e baixo impacto (como uma impressora travada) recebe uma pontuação mais baixa que um risco de baixa probabilidade e alto impacto (como uma violação de dados). Distinga claramente as duas dimensões em sua lógica de pontuação.
Sem responsabilidade clara. Um risco sem dono não é problema de ninguém. Todo registro de risco deve ter um indivíduo nomeado, não um departamento ou comitê.
Tratar o monitoramento como opcional. O loop de monitoramento é o que torna a avaliação de risco contínua em vez de um exercício pontual de conformidade. Integre-o ao fluxograma e atribua responsabilidade explicitamente.
Pontuações de risco desatualizadas. Controles que funcionavam dois anos atrás podem não ser mais eficazes. Agende revisões e acione-as em eventos significativos — uma nova implantação de sistema, uma mudança regulatória, um incidente do setor.
Aprovação/rejeição binária. O tratamento real de risco raramente é aceitar/rejeitar. Integre as quatro opções de tratamento (aceitar, mitigar, transferir, evitar) como caminhos distintos, cada um com seus próprios critérios de decisão.
Conclusão
Um fluxograma de avaliação de risco converte uma obrigação abstrata de governança em um processo concreto e repetível. Ao documentar cada etapa — identificação, análise, avaliação, tratamento, implementação e monitoramento — você cria um sistema que qualquer membro da equipe pode seguir e qualquer auditor pode validar.
Comece com o fluxo principal de seis etapas, depois adicione lógica de decisão específica do domínio para suas categorias de risco de maior prioridade. Revise o próprio fluxograma pelo menos anualmente: se o seu negócio mudou, o processo de risco deve refletir isso.
Recursos relacionados
- Guia de Mapeamento de Processos — Mapeamento e melhoria de fluxos de trabalho operacionais
- Guia de Diagrama de Raias — Responsabilidade multifuncional em fluxogramas
- Árvore de Decisão vs Fluxograma — Escolhendo o tipo de diagrama certo
- Ferramenta Texto para Fluxograma — Converta descrições de risco em diagramas instantaneamente
