ISO 31000: como estruturar gestão de riscos vivo

Pergunta básica em qualquer reunião de board: "Quais são os 5 maiores riscos da nossa organização hoje?"

Em 80% das empresas que faço esse exercício, a resposta é alguma versão de:

• "Concorrência aumentou."
• "Mercado tá ruim."
• "Perder pessoa-chave."
• "Cibersegurança."
• "Reforma tributária."

Lista plausível, mas raramente consolidada com profundidade. Riscos genéricos, sem dimensionamento de impacto, sem responsável claro, sem plano de mitigação documentado.

É a diferença entre gestão de riscos amadora e profissional. Profissional segue framework. ISO 31000 é o framework universal - aplicável a qualquer setor, qualquer tipo de risco, qualquer porte de organização.

O que ISO 31000 NÃO é

Antes de explicar o que ela é, vale separar do que ela não é:

• Não é certificável: ISO 31000 é norma de princípios e diretrizes, não de requisitos. Você adota mas não certifica.
• Não é setorial: aplicável universalmente. Saúde, financeiro, indústria, governo, ONG.
• Não é checklist: princípios e processo, não formulário a preencher.

Por isso muita empresa adota ISO 31000 mesmo sem buscar certificação - usa o framework pra organizar gestão de riscos sem complicar com auditoria externa.

Os 3 níveis do framework

Nível 1: Os 8 princípios

Bases conceituais que orientam toda gestão de risco:

1. Integrado: faz parte de todas atividades organizacionais, não é caixa separada
2. Estruturado e abrangente: sistêmico, não pontual
3. Customizado: adaptado ao contexto específico da organização
4. Inclusivo: stakeholders relevantes engajados na identificação e tratamento
5. Dinâmico: evolui com mudanças no contexto
6. Melhor informação disponível: usa dados históricos, projeções, opinião especialista
7. Fatores humanos e culturais: comportamento humano e cultura organizacional afetam risco
8. Melhoria contínua: aprende com sucessos e falhas

Nível 2: Estrutura

Como gestão de risco se organiza dentro da empresa. Inclui:

• Liderança e comprometimento da alta direção
• Integração com governança corporativa, planejamento estratégico, operação
• Design da estrutura - papéis, responsabilidades, recursos
• Implementação - plano, formação, comunicação
• Avaliação da efetividade da estrutura
• Melhoria da estrutura ao longo do tempo

Nível 3: Processo

Como riscos são geridos no dia a dia:

1. Comunicação e consulta: stakeholders engajados em todas etapas
2. Estabelecimento do escopo, contexto, critérios: o que vamos analisar e como
3. Identificação de riscos: o que pode dar errado
4. Análise de riscos: probabilidade × impacto
5. Avaliação de riscos: prioridade vs apetite definido
6. Tratamento de riscos: aceitar, mitigar, transferir, evitar
7. Monitoramento e análise crítica: contínuos
8. Registro e relatos: evidência auditável

Identificação de riscos: a parte mais subestimada

Empresa pequena tipicamente identifica riscos em workshop pontual - 2-3 horas de brainstorm em sala fechada. Resulta em lista de 10-15 riscos genéricos.

Identificação séria envolve:

Categorias estruturadas de risco

• Estratégicos: mercado, concorrência, modelo de negócio, mudança tecnológica
• Operacionais: processos, sistemas, fornecedores, pessoas-chave
• Financeiros: liquidez, crédito, câmbio, juros
• Regulatórios: mudança de lei, sanção, fiscalização
• Reputacionais: imagem, mídia, redes sociais
• Tecnológicos: cibersegurança, falha de sistema, obsolescência
• ESG: ambiental, social, governança
• Compliance: anticorrupção, LGPD, trabalhista

Cada categoria tem dezenas de riscos potenciais. ISO 31000 propõe varredura estruturada.

Múltiplas fontes de identificação

• Workshop com liderança (visão estratégica)
• Entrevista com gestores operacionais (visão tática)
• Pesquisa com equipe (visão da ponta)
• Análise de incidentes históricos próprios
• Benchmark setorial - o que aconteceu com pares
• Análise de cenários (what-if)

Análise: probabilidade × impacto

Cada risco identificado é analisado em 2 dimensões:

Probabilidade

Quão provável é a ocorrência? Escalas comuns:

• Raro (1) - menos de 5% em 12 meses
• Improvável (2) - 5-25%
• Possível (3) - 25-50%
• Provável (4) - 50-75%
• Quase certo (5) - acima de 75%

Impacto

Se ocorrer, qual o estrago? Escalas customizáveis:

• Insignificante (1) - menos de 1% do EBITDA anual
• Menor (2) - 1-5%
• Moderado (3) - 5-15%
• Maior (4) - 15-50%
• Catastrófico (5) - acima de 50% ou ameaça à continuidade

Multiplicação dá score de 1 a 25. Riscos acima de 12 entram em zona de atenção crítica.

Tratamento: 4 opções

Pra cada risco analisado, decisão estruturada:

• Aceitar: risco está dentro do apetite, aceita sem ação
• Mitigar: implementar controles que reduzem probabilidade ou impacto
• Transferir: passar a outro (seguro, contrato, terceirização)
• Evitar: parar a atividade que gera o risco

Cada decisão fica documentada com responsável, prazo, indicador de monitoramento.

KRIs - Key Risk Indicators

Empresa madura não monitora risco com revisão anual. Define indicadores antecedentes que sinalizam quando risco está se materializando:

• Risco "perda de cliente major" → KRI: % de receita concentrada nos 3 maiores clientes
• Risco "ciberataque" → KRI: tempo médio pra patching de vulnerabilidades críticas
• Risco "burnout de equipe" → KRI: PHI Score em conciliação trabalho-vida (ver post sobre PHI)
• Risco "sanção regulatória" → KRI: % de não-conformidades em auditoria interna

KRIs com thresholds claros geram alertas antes do evento - permitem ação preventiva, não reativa.

O ROI da gestão de riscos estruturada

Empresa que migra de gestão reativa pra ISO 31000 tipicamente vê:

• Redução significativa de eventos adversos surpresa
• Decisões estratégicas mais embasadas - apetite de risco claro
• Melhor rating de seguros (premiações caem 5-15%)
• Vantagem em M&A - due diligence encontra empresa estruturada
• Conformidade com governança corporativa moderna
• Conexão com ESG (governança G é fortemente avaliada por gestores)

Custo de implementação inicial é baixo comparado ao retorno - especialmente porque ISO 31000 não exige certificação externa, só adoção do framework.