O que é um registro de riscos?

Um registro de riscos é uma lista estruturada de todos os riscos identificados em uma organização ou projeto, junto com avaliação, responsabilidade, ações e status. É operacional: deve ser lido, atualizado e revisado regularmente.

O registro não é um relatório de riscos. O relatório é um retrato instantâneo (PDF para o conselho) extraído do registro. O registro é o dado vivo.

Na ISO 27001, o registro de riscos é uma parte obrigatória do SGSI (cláusulas 6.1.2 e 8.2). Na ISO 31000, é a saída padrão do processo. No Art. 21 da NIS2, é o pré-requisito para a cibersegurança baseada em riscos.

Um registro de riscos completo normalmente tem estes campos por risco:

• ID

  Número ou código único (R-001, R-002...). Permite referenciar o risco sem escrever toda a descrição.

• Descrição

  Qual é o risco? Escreva 1–2 frases. Evite frases vagas (”risco de problemas de TI”), seja específico (”indisponibilidade do sistema de faturamento por mais de 4 horas”).

• Categoria/domínio

  Operacional, financeiro, estratégico, conformidade, cibernético, projeto. Facilita a filtragem e o relato.

• Probabilidade (1–5)

  Quão provável é que o risco ocorra. Use uma escala definida.

• Consequência (1–5)

  Quão grave é se o risco ocorrer. Pode ser avaliada separadamente em dimensões financeira, operacional, reputacional e de conformidade.

• Pontuação / severidade

  P × C = 1–25. Traduz-se em baixo/médio/alto/crítico.

• Responsável

  Pessoa nomeada como responsável pelo risco. Sem responsável, nada é feito.

• Ação

  O que está sendo feito sobre o risco? Aceitar, reduzir, transferir ou evitar. Plano de ação concreto se for reduzir.

• Status

  Aberto, em tratamento, tratado, fechado. Muda ao longo do tempo.

• Datas

  Quando o risco foi identificado? Quando foi revisado pela última vez? Quando será o próximo?

• Risco residual

  Probabilidade e consequência após o tratamento. Mostra se a ação é suficiente.

Um registro de riscos maduro distingue três medidas de risco por linha. Estes são os termos que auditores da ISO 27001 e conselhos esperam ver:

• Risco bruto (risco inerente)

  O risco sem nenhum controle ou tratamento. Quão ruim poderia ficar no pior cenário? Essencial para justificar investimentos em segurança.

• Risco líquido / risco residual

  O risco após considerar os controles existentes. Este é o valor comparado com sua tolerância ao risco. Também chamado de risco residual.

• Risco-alvo

  O nível de risco que você pretende alcançar após os tratamentos planejados. A diferença entre o risco líquido e o risco-alvo mostra se as ações planejadas são suficientes.

Por que isso importa? Um risco com alto risco bruto, mas baixo risco líquido (graças a controles fortes), precisa de manutenção de controles, não de novos tratamentos. Um item com baixo risco bruto raramente precisa de ações dedicadas. Sem essa distinção, tudo vira uma pilha só.

Para uma PME (15–50 pessoas): 10–30 riscos é típico. Menos do que isso e provavelmente você está deixando coisas importantes de fora. Mais do que isso e o registro se torna difícil de gerenciar.

Para uma organização de médio porte (100–500 pessoas): 30–80 riscos distribuídos entre domínios.

Para grandes organizações: 100+ riscos, frequentemente divididos por área de negócio ou domínio.

Um projeto: 10–20 riscos, atualizados por sprint ou reunião de comitê.

• O registro nunca é atualizado

  Criado para a certificação ISO e depois fica parado. Valor perdido em 6 meses.

• Sem responsável por risco

  Sem um responsável, o risco é teórico. Pessoa nomeada com mandato.

• Riscos sem ação

  Documentar um risco sem plano é documentar o fracasso. Todo risco deve ter uma resposta escolhida (aceitar/reduzir/transferir/evitar).

• Frases abstratas demais

  ”Risco de incidentes de TI” não é um risco. ”Ataque de ransomware que torna o sistema de faturamento indisponível por mais de 4 horas” é um risco.

• Ninguém da diretoria lê

  Se ninguém da diretoria usa ativamente o registro, o processo não foi ancorado. Conserte isso primeiro, não o formato.

O Excel funciona para registros pequenos (menos de ~15 riscos), mas rapidamente se torna problemático: descontrole de versões, fórmulas quebradas, ausência de trilha de auditoria, dificuldade de compartilhar com controle e sem acesso baseado em papéis.

Uma ferramenta dedicada como o RiskNote oferece histórico de versões por risco, compartilhamento via link com papéis, sugestões de IA para identificação e exportação em PDF diretamente dos dados, em vez de montagem manual de relatório.

Veja nosso guia de alternativas ao Excel para registros de riscos.