RiskNote
Guia

Como fazer uma avaliação de riscos

Uma avaliação de riscos não precisa ser complicada. Aqui está um guia passo a passo para construir sua primeira avaliação de riscos em uma tarde, seja você o CEO de uma empresa de 15 pessoas ou um consultor atendendo um cliente.

By Kim Borg, Founder, RiskNote · Last updated

O que é uma avaliação de riscos?

Uma avaliação de riscos é um processo estruturado para identificar riscos que podem afetar seus objetivos, avaliar o grau de severidade e decidir o que fazer a respeito. É o mesmo processo central, seja para avaliar segurança da informação, segurança ocupacional, risco de projetos ou risco de negócios.

O padrão global de gestão de riscos é a ISO 31000:2018. Ela descreve um processo genérico (identificar, analisar, avaliar, tratar, monitorar) que funciona para qualquer organização e qualquer tipo de risco. Não é certificável, mas é a referência sobre a qual outros padrões (ISO 27001, NIS2, DORA) se baseiam.

Avaliação de riscos no ambiente de trabalho — AFS 2001:1 e SAM

Na Suécia, a gestão sistemática do ambiente de trabalho (SAM) é regulamentada pelas normas da Autoridade do Ambiente de Trabalho AFS 2001:1. O empregador é obrigado a investigar, avaliar, tratar e acompanhar continuamente o ambiente de trabalho — não como um projeto pontual, mas como um ciclo contínuo.

A avaliação de riscos deve ser por escrito (quando a empresa tiver mais de dez funcionários), revisada pelo menos anualmente, e sempre antes de mudanças relevantes: novos equipamentos, nova organização, novas tarefas, relocação ou aquisições que afetem o trabalho.

  • Investigar

    Mapeie as condições de trabalho. Inspeções de segurança, pesquisas com funcionários, estatísticas de afastamento e registros de incidentes são fontes típicas.

  • Avaliar

    Avalie cada risco identificado por probabilidade e severidade. Riscos físicos, ergonômicos, químicos, biológicos, psicossociais e organizacionais devem ser contemplados.

  • Tratar

    Plano de ação por escrito com a ação, responsável, prazo e acompanhamento. Tudo que não for corrigido imediatamente entra no plano.

  • Acompanhar

    Verifique se as ações foram executadas e tiveram o efeito esperado. Revise a avaliação em caso de mudança ou, no mínimo, anualmente.

A participação do representante de segurança é obrigatória. Se a empresa tiver um representante de segurança, ele deve ser incluído na avaliação (Lei do Ambiente de Trabalho da Suécia, cap. 6 § 4). A documentação deve estar disponível para inspeção pela Autoridade do Ambiente de Trabalho.

Riscos no ambiente de trabalho e riscos de segurança da informação frequentemente se sobrepõem (por exemplo, estresse durante incidentes, exigências da GDPR para monitoramento no trabalho). Uma avaliação integrada economiza tempo, mas exige expertise multifuncional.

Etapa 1. Preparação

  • Patrocínio da liderança

    Uma avaliação de riscos sem respaldo da gestão vira um documento que nunca é lido. Certifique-se de que alguém na liderança seja responsável pelo processo. Uma política de gestão de riscos de uma página assinada pelo CEO é suficiente.

  • Defina o escopo

    O que será avaliado? Toda a empresa, uma área específica, um projeto, um processo específico (por exemplo, tratamento de dados pessoais)?

  • Defina a tolerância ao risco

    Quais riscos você está disposto a aceitar? Quais exigem ação? Escreva três ou quatro níveis (por exemplo, pontuação 1–3 = aceitar, 4–7 = monitorar, 8–14 = plano de ação, 15–25 = ação imediata).

  • Reúna as pessoas certas

    Uma avaliação de riscos feita por uma única pessoa é a opinião de uma única pessoa. Convide de 3 a 6 pessoas-chave com perspectivas diferentes: operações, finanças, TI, atendimento ao cliente.

Etapa 2. Identificar riscos

Esta é a etapa mais importante. Um risco não identificado é mais perigoso do que um risco mal avaliado.

Algumas técnicas para identificação de riscos:

  • Brainstorming estruturado

    Reúna o grupo e percorra área por área do negócio. Pergunte: «o que pode dar errado aqui?»

  • Sugestões de IA como ponto de partida

    Ferramentas como o RiskNote usam IA para sugerir 5 riscos relevantes ao setor por análise. Útil para identificar riscos que você nunca considerou.

  • Revisão de incidentes passados

    O que deu errado antes? Com você, com concorrentes, no setor?

  • Consulte listas padronizadas

    A ISO 27005 possui catálogos de riscos típicos de segurança da informação. As normas de segurança ocupacional trazem exemplos de riscos no ambiente de trabalho. Use como checklists.

  • Análise de processos

    Percorra um processo crítico (por exemplo, faturamento, contratação, operações de sistema) passo a passo e pergunte: «o que pode dar errado aqui?»

Etapa 3. Analisar riscos

Para cada risco identificado, avalie probabilidade e consequência. A prática padrão é uma matriz 5x5 (probabilidade 1–5 × consequência 1–5 = pontuação 1–25).

O fundamental é a aplicação consistente da escala. Defina cada nível antecipadamente para que todos os avaliadores utilizem o mesmo entendimento.

  • Probabilidade 1–5

    1 = rara (uma vez a cada 10 anos), 3 = possível (uma vez a cada 2–3 anos), 5 = quase certa (várias vezes por ano).

  • Consequência 1–5

    1 = insignificante (tratada nas operações normais), 3 = moderada (requer intervenção da gestão), 5 = catastrófica (ameaça à existência da organização).

  • Avalie em grupo

    A avaliação de uma única pessoa é subjetiva. Em grupo, obtém-se mais nuance e consenso.

  • Documente o raciocínio

    Escreva uma linha explicando por que escolheu determinado valor de probabilidade e consequência. Facilita revisões futuras.

Etapa 4. Avaliar e priorizar

Quando cada risco tiver uma pontuação, compare com sua tolerância ao risco. Riscos críticos (por exemplo, pontuação 15–25) exigem um plano de ação imediato. Riscos altos (8–14) precisam de uma resposta estruturada. Riscos médios e baixos podem ser monitorados.

Fique atento aos cisnes negros, riscos com baixa probabilidade mas consequências catastróficas (P=1, C=5 gera pontuação 5, que parece baixa mas pode ser existencial). Use julgamento qualitativo, não apenas a pontuação.

Etapa 5. Tratar riscos

  • Aceitar

    O risco está dentro da tolerância. Documente e siga em frente.

  • Reduzir (mitigar)

    Tome medidas para reduzir a probabilidade ou a consequência. A escolha mais comum. Documente a ação, o responsável e o prazo.

  • Transferir

    Seguro, terceirização ou cláusulas contratuais que transferem o risco. Atenção: alguns riscos (como reputação) não podem ser transferidos.

  • Evitar

    Recuse a atividade que gera o risco. Às vezes, é a única escolha razoável.

Etapa 6. Monitorar e revisar

Os riscos mudam. Novos surgem, antigos se tornam irrelevantes, ações alteram o cenário. Uma avaliação de riscos tem prazo de validade.

Prática recomendada: revisão trimestral para riscos operacionais, anual para riscos estratégicos. Riscos de projeto são atualizados a cada sprint ou reunião de steering. Em mudanças relevantes (novo fornecedor, mudança regulatória, troca de sistema), sempre inicie um novo ciclo.

Perguntas frequentes sobre avaliação de riscos

Quanto tempo leva uma primeira avaliação de riscos?

Para uma PME: de 2 a 4 horas para a primeira rodada de identificação e avaliação. Mais 1 a 2 horas para o planejamento de ações. No total, meio dia de trabalho para uma pessoa capacitada que conhece o negócio.

Precisamos de um consultor de riscos certificado?

Não para uma avaliação interna. Para certificações (ISO 27001, ISO 9001) ou domínios particularmente complexos (DORA para finanças, DPIA da GDPR para tratamentos de alto risco), a expertise externa pode ser valiosa.

A matriz 5x5 é obrigatória?

Não. A ISO 31000 não define o tamanho da matriz. A 5x5 é a prática mais comum. A 3x3 é muito grosseira para a maioria dos propósitos. Algumas organizações utilizam 7x7 ou categorias qualitativas em vez de escalas numéricas.

Qual é a diferença entre risco e problema?

Um risco é algo que pode acontecer no futuro. Um problema é algo que já aconteceu. Riscos são tratados por meio da avaliação de riscos. Problemas são tratados por meio da gestão de incidentes. Ambos os processos são necessários.

Devemos avaliar os riscos antes ou depois da mitigação?

Nos dois momentos. O risco bruto (antes da mitigação) mostra o quão grave a situação poderia ser sem controles, o que é importante para justificar investimentos. O risco líquido ou risco residual (após a mitigação) mostra o cenário real. Organizações certificadas pela ISO 27001 precisam ter os dois.

More guides

How to do a risk analysis (2026)

Complete pillar guide: method, frameworks, template, tools.

Read guide

How to conduct a risk analysis

Seven steps from blank page to a working risk register.

Read guideBlog

A risk assessment in one afternoon

Practical walkthrough with a concrete example and time savings.

Read article

Pule a fase do Excel

O RiskNote transforma as etapas 1 a 6 em um processo estruturado. Primeira avaliação pronta em uma tarde. Comece um teste gratuito hoje.

    Avaliação de Riscos em 5 Etapas: Guia Prático (2026) | RiskNote