Pular para o conteúdo
FERRAMENTA · Matriz de Riscos
Infográfico ResumoCast — Matriz de Riscos
Produtividade

Matriz de Riscos

A Matriz de Riscos (ou Matriz de Probabilidade e Impacto) cruza dois eixos — a chance de um risco acontecer e o impacto que ele causaria — para classificar ameaças por cor (verde, amarelo, vermelho) e mostrar o que tratar primeiro. Veja os eixos, as zonas, as 4 respostas e um exemplo.

Gustavo Carriconde

Fundador do ResumoCast

2 de junho de 20265 min de leitura

Resposta rápida

A Matriz de Riscos (ou Matriz de Probabilidade e Impacto) cruza dois eixos — a chance de um risco acontecer e o impacto que ele causaria — para classificar ameaças por cor (verde, amarelo, vermelho) e mostrar o que tratar primeiro. Veja os eixos, as zonas, as 4 respostas e um exemplo.

Resposta rápida: a Matriz de Riscos (ou Matriz de Probabilidade e Impacto) é uma ferramenta visual de gestão de riscos que cruza dois eixos — a probabilidade de um risco acontecer e o impacto que ele causaria — para classificar cada ameaça por cor (verde, amarelo, vermelho) e mostrar, de relance, quais riscos atacar primeiro.

O que é a Matriz de Riscos?#

A Matriz de Riscos é uma tabela de dupla entrada usada na avaliação de riscos para definir o nível de gravidade de cada ameaça. Ela combina duas perguntas simples: qual a chance de isso acontecer? e se acontecer, quão ruim seria?. O cruzamento dessas duas respostas dá a cada risco uma posição na matriz — e uma cor.

Também é chamada de Matriz de Probabilidade e Impacto, Matriz de Probabilidade e Severidade ou, em inglês, risk matrix. A definição de referência é direta: é "a matriz usada durante a avaliação de riscos para definir o nível de risco considerando a categoria de probabilidade contra a categoria de severidade da consequência".

A grande virada que ela traz é transformar percepção em prioridade visível. Sem a matriz, todo risco parece igualmente urgente — e a equipe gasta energia no que faz barulho, não no que faz estrago. Com a matriz, um risco "raro e leve" cai no canto verde e um risco "provável e catastrófico" salta no canto vermelho. A decisão de onde agir primeiro deixa de ser opinião e vira mapa.

Para que serve a Matriz de Riscos?#

A Matriz de Riscos serve para priorizar ameaças e decidir onde investir tempo e dinheiro em prevenção. Como nenhuma equipe consegue tratar todos os riscos ao mesmo tempo, a matriz ordena a fila: ataca-se primeiro o que é mais provável e mais grave. Na prática, ela entrega:

  • Priorização clara: em vez de uma lista plana de "coisas que podem dar errado", uma ordem de ataque baseada em probabilidade × impacto.
  • Comunicação visual: um único quadro colorido que a diretoria, o time técnico e o cliente entendem em segundos, sem planilha.
  • Decisão de resposta: a zona em que o risco cai sugere a ação — aceitar (verde), monitorar/mitigar (amarelo) ou agir já (vermelho).
  • Registro auditável: uma foto do risco no tempo, que pode ser revisada e comparada ao longo do projeto.

Embora tenha nascido na gestão de projetos e na segurança, a matriz se aplica muito além disso: segurança do trabalho, qualidade, finanças, compliance, TI, saúde e meio ambiente. Onde houver incerteza que possa causar dano, há riscos para mapear e priorizar.

Quando usar: a Matriz de Riscos brilha quando você já tem uma lista de riscos identificados e precisa decidir o que tratar primeiro com recursos limitados. Ela é a etapa de análise qualitativa — vem depois de identificar os riscos e antes de planejar as respostas.

Os 2 eixos: Probabilidade × Impacto#

Toda Matriz de Riscos se apoia em dois eixos, e entender cada um é o que separa uma classificação útil de um chute colorido.

  • Probabilidade (ou Frequência): a chance de o risco se concretizar. Vai de níveis como raro e improvável até provável e quase certo. Pode ser estimada por dados históricos ou pelo julgamento da equipe.
  • Impacto (ou Severidade / Consequência): o tamanho do estrago se o risco acontecer. Vai de insignificante e menor até grave e catastrófico, medido em prazo, custo, qualidade, segurança ou reputação.

O nível de risco nasce do cruzamento dos dois: na versão mais comum, multiplica-se a nota da probabilidade pela nota do impacto. Um risco improvável (2) de impacto catastrófico (5) recebe nota 10; um risco quase certo (5) de impacto menor (2) também dá 10. É essa pontuação que define a cor e a posição na matriz.

Um cuidado importante: os dois eixos precisam de critérios definidos por escrito. "Impacto alto" sem definição vira achismo. Boas matrizes amarram cada nível a uma régua objetiva — por exemplo, impacto "grave" = atraso acima de 30 dias ou estouro de orçamento acima de 20%. Sem essa régua, duas pessoas classificam o mesmo risco de formas opostas.

Níveis e zonas: a matriz 3x3 e a 5x5#

O tamanho da matriz é o número de níveis em cada eixo. As versões mais usadas no mundo, segundo levantamento de 2019, são a 3x3 (associada à OHSAS 18001), a 4x4 (norma AS/NZS 4360) e a 5x5 (derivada da norma militar MIL-STD-882). Quanto mais níveis, mais granularidade — e mais subjetividade para distinguir, digamos, "improvável" de "raro".

VersãoEixosQuando usar
3x33 níveis de probabilidade × 3 de impactoSimples e rápida; boa para projetos pequenos, reuniões e avaliação inicial.
5x55 níveis de probabilidade × 5 de impactoMais granular; padrão em projetos grandes, segurança e auditorias formais.

Independentemente do tamanho, a matriz é dividida em zonas de cor que traduzem a pontuação em ação:

  • Zona verde (risco baixo): probabilidade e impacto baixos. Em geral o risco é aceito e apenas monitorado de leve. Não compensa gastar para tratá-lo.
  • Zona amarela (risco moderado): a faixa de atenção. Exige um plano de mitigação e acompanhamento ativo — não é urgente, mas não pode ser esquecido.
  • Zona vermelha (risco alto / crítico): probabilidade e/ou impacto altos. Demanda ação imediata, plano de resposta formal e atenção da liderança. É o que pode afundar o projeto.

Em matrizes 5x5 é comum ver quatro faixas, somando uma zona laranja (alto) entre o amarelo e o vermelho, ou um vermelho-escuro para o risco "extremo". A lógica de leitura, porém, é sempre a mesma: quanto mais para o canto superior direito (provável + catastrófico), mais quente a cor e mais urgente a resposta.

Quem criou a Matriz de Riscos? (origem no PMI e nas normas militares)#

A Matriz de Riscos não tem um "autor único" como muitos frameworks — ela nasceu da prática de gestão de riscos e foi padronizada por instituições. Suas raízes documentadas estão na defesa norte-americana: em 30 de março de 1984, o Departamento de Defesa dos EUA formalizou uma matriz de risco 5x4 na norma MIL-STD-882B (System Safety Program Requirements). Antes disso, em 1978, o pesquisador David E. Hussey já havia descrito uma "matriz de risco" de investimento cruzando probabilidade e impacto de forma muito parecida com a versão moderna.

Foi na gestão de projetos, porém, que a ferramenta virou um clássico de mercado. O PMI (Project Management Institute) consagrou a Matriz de Probabilidade e Impacto em seu guia PMBOK, dentro do processo de análise qualitativa de riscos. É lá que ela ganhou o formato hoje conhecido no mundo corporativo brasileiro: cada risco recebe uma nota de probabilidade e uma de impacto, e a combinação define se ele é de prioridade baixa, moderada ou alta.

Hoje a Matriz de Riscos é referenciada por diversos padrões de gestão de riscos, incluindo a ISO 31000 (norma internacional de gestão de riscos) e normas setoriais de segurança, qualidade e meio ambiente. Vale registrar uma ressalva honesta: o pesquisador Tony Cox publicou críticas técnicas à matriz, mostrando que ela tem "baixa resolução" e pode, em certos casos, ordenar mal riscos quantitativamente diferentes. Por isso ela é melhor usada como ferramenta de comunicação e triagem, não como cálculo de precisão.

"Matrizes de risco podem comparar de forma correta e inequívoca apenas uma pequena fração dos pares de ameaças selecionados ao acaso."
Louis Anthony (Tony) Cox Jr., em "What's Wrong with Risk Matrices?" (revista Risk Analysis, 2008). Fonte: Risk matrix.

Classificação de riscos e as 4 respostas (evitar, mitigar, transferir, aceitar)#

Classificar o risco na matriz é só metade do trabalho. A outra metade é decidir o que fazer com ele. Para riscos negativos (ameaças), o PMBOK e a teoria de gestão de riscos definem quatro respostas clássicas — e a zona da matriz ajuda a escolher qual usar.

RespostaO que significaCombina com a zona
Evitar (Prevenir)Eliminar a ameaça ou mudar o plano para que ela não exista — cancelar uma atividade arriscada, trocar de fornecedor, alterar o escopo.Vermelha (risco crítico e inaceitável)
Mitigar (Reduzir)Reduzir a probabilidade ou o impacto a um nível tolerável — testes, redundância, treinamento, manutenção preventiva.Amarela e vermelha
Transferir (Compartilhar)Passar o impacto financeiro a um terceiro — seguro, garantia contratual, terceirização, cláusula de penalidade.Vermelha (impacto alto, baixa frequência)
Aceitar (Reter)Conviver com o risco e, no máximo, reservar um plano de contingência ou orçamento — sem investir em tratá-lo.Verde (e parte do amarelo)

A lógica é econômica: não se gasta para tratar um risco verde, porque o custo da prevenção superaria o do dano. Já o risco vermelho exige resposta ativa — evitar, transferir ou mitigar com força. O amarelo, no meio, costuma pedir mitigação proporcional. Para oportunidades (riscos positivos), o PMBOK ainda lista respostas espelhadas — explorar, melhorar, compartilhar e aceitar —, mas a matriz no dia a dia trata sobretudo das ameaças.

Como construir uma Matriz de Riscos passo a passo#

Na prática, montar a matriz num projeto ou operação segue este roteiro:

  1. Identifique os riscos. Liste tudo que pode dar errado — em brainstorming com a equipe, checklists, lições de projetos passados. Nada de filtrar ainda; a hora é de levantar.
  2. Defina as escalas dos dois eixos. Escolha o tamanho (3x3 ou 5x5) e descreva por escrito o que cada nível significa. Ex.: probabilidade "provável" = mais de 60% de chance; impacto "grave" = atraso acima de 30 dias.
  3. Avalie cada risco. Para cada item da lista, atribua uma nota de probabilidade e uma de impacto, segundo as escalas. Use dados quando houver; julgamento da equipe quando não houver.
  4. Calcule o nível de risco. Multiplique probabilidade × impacto (ou cruze as duas categorias na grade). Esse número define a posição e a cor.
  5. Posicione na matriz e leia as cores. Coloque cada risco na célula correspondente. Os que caem no vermelho viram prioridade; os verdes, apenas monitoramento.
  6. Defina a resposta de cada risco. Para os críticos, escolha entre evitar, mitigar, transferir ou aceitar, e nomeie um responsável e um prazo para a ação.
  7. Revise periodicamente. Risco não é estático: probabilidades mudam, novos riscos surgem, ações de mitigação reduzem notas. Atualize a matriz ao longo do projeto.

Exemplo de Matriz de Riscos na prática (caso fictício)#

Para sair da teoria, veja a Construtora Ipê Verde — uma empresa fictícia de Goiânia (GO) que vai erguer um edifício residencial de 18 andares. Antes de bater o martelo no cronograma, a equipe montou uma Matriz de Riscos 5x5 para decidir onde concentrar a atenção.

Passo 1 — Identificar. Em duas reuniões de brainstorming, levantaram os principais riscos: (a) chuvas fora de época atrasando a fundação; (b) atraso na entrega das estruturas metálicas; (c) acidente de trabalho em altura; (d) reajuste no preço do aço; (e) embargo por falha em licença ambiental.

Passo 2 — Avaliar. Com as escalas definidas, a equipe pontuou cada risco. O acidente em altura ficou com probabilidade possível (3) e impacto catastrófico (5) → nota 15, vermelho. O atraso das estruturas metálicas deu probabilidade provável (4) e impacto grave (4) → nota 16, vermelho. As chuvas ficaram em provável × impacto moderado (4×3 = 12, amarelo). O reajuste do aço caiu em possível × menor (3×2 = 6, amarelo claro). E o embargo ambiental, com a licença já aprovada, ficou raro × catastrófico (1×5 = 5, verde-amarelo, mas vigiado pelo impacto).

Passo 3 — Responder. A matriz deixou a fila óbvia. Para o acidente em altura (vermelho), a resposta foi mitigar: cinto, linha de vida, treinamento NR-35 e fiscalização diária. Para o atraso das estruturas (vermelho), mitigar + transferir: cláusula de multa por atraso no contrato com o fornecedor (transferindo parte do impacto) e um fornecedor reserva. Para as chuvas (amarelo), aceitar com contingência: folga de 15 dias no cronograma da fundação. E o reajuste do aço foi transferido via contrato de preço travado.

Resultado. Em vez de tratar cinco riscos com o mesmo peso, a Ipê Verde concentrou orçamento e atenção nos dois vermelhos, comprou um seguro barato para o que dava para transferir e deixou o verde apenas no radar. A obra entrou em risco controlado sem inflar custos com prevenção desnecessária.

Matriz de Riscos vs Análise SWOT: qual a diferença?#

As duas são matrizes de apoio à decisão, mas respondem a perguntas diferentes e raramente competem — na verdade, se complementam. A SWOT olha o cenário estratégico amplo; a Matriz de Riscos mergulha em uma das partes (as ameaças) e a transforma em plano de ação priorizado.

CritérioMatriz de RiscosAnálise SWOT
Pergunta-chaveO que pode dar errado e o que tratar primeiro?Onde estamos forte e fraco, por dentro e por fora?
O que mapeiaRiscos (ameaças), por probabilidade × impactoForças, Fraquezas, Oportunidades e Ameaças
Eixos / estruturaProbabilidade × Impacto (com cores)Interno × Externo / Positivo × Negativo
ResultadoPriorização e plano de resposta a cada riscoDiagnóstico estratégico geral
Quando usarAnálise qualitativa de riscos de um projeto/operaçãoPlanejamento estratégico, antes de definir rumos

Na prática, elas se encaixam: a SWOT levanta as ameaças no nível estratégico, e a Matriz de Riscos pega essas ameaças (mais os riscos operacionais do dia a dia) e as prioriza por probabilidade e impacto. Outra parente próxima é a FMEA (Análise de Modos de Falha e Efeitos), que vai além da matriz ao incluir um terceiro eixo — a detecção — e calcular um número de prioridade de risco. A SWOT diz "o que pode nos ameaçar"; a Matriz de Riscos diz "o que tratar primeiro"; a FMEA diz "como cada falha específica acontece e quão cedo a pegamos".

Erros comuns na Matriz de Riscos#

  • Escalas sem definição: usar "alto", "médio" e "baixo" sem critério escrito. Sem régua objetiva, cada pessoa pontua o mesmo risco de um jeito e a matriz perde credibilidade.
  • Tratar tudo como vermelho: inflar as notas por medo faz a matriz perder a função de priorizar. Se tudo é crítico, nada é prioridade.
  • Esquecer de revisar: montar a matriz uma vez e arquivar. Risco é dinâmico — o que era raro pode virar provável; a matriz precisa de revisão periódica.
  • Ignorar o impacto raro e catastrófico: riscos de baixa probabilidade mas impacto devastador (os "cisnes negros") caem no verde pela conta, mas exigem atenção — às vezes um seguro ou plano de contingência.
  • Confundir análise com resposta: classificar o risco e parar ali. A matriz é o diagnóstico; o valor vem de definir e executar a resposta (evitar, mitigar, transferir, aceitar).
  • Falsa precisão: tratar a nota (ex.: "12,5") como número exato. A matriz é qualitativa e serve para comunicar e priorizar, não para calcular risco com precisão de engenharia.

Ficha técnica da Matriz de Riscos#

Nome em portuguêsMatriz de Riscos / Matriz de Probabilidade e Impacto
Nome em inglêsRisk Matrix (Probability and Impact Matrix)
OrigemGestão de riscos e segurança; padronizada pela defesa dos EUA (MIL-STD-882B, 1984) e consagrada pelo PMI no PMBOK
Ano de referência1984 (MIL-STD-882B); raiz conceitual em 1978 (David E. Hussey)
Normas relacionadasISO 31000, PMBOK (PMI), MIL-STD-882, OHSAS 18001, AS/NZS 4360
EixosProbabilidade (chance de ocorrer) × Impacto (severidade da consequência)
Formatos comuns3x3, 4x4 e 5x5; zonas verde (baixo), amarelo (moderado) e vermelho (alto)
Respostas a riscosEvitar, Mitigar, Transferir e Aceitar
ÁreaGestão de projetos, segurança do trabalho, qualidade, compliance, finanças e TI
Melhor paraPriorizar riscos identificados e decidir onde investir em prevenção

Perguntas Frequentes

É uma ferramenta visual de gestão de riscos, em formato de tabela de dupla entrada, que cruza dois eixos: a probabilidade de um risco acontecer e o impacto que ele causaria se acontecesse. O cruzamento dá a cada risco uma nota e uma cor — verde (baixo), amarelo (moderado) ou vermelho (alto). Também chamada de Matriz de Probabilidade e Impacto, ela serve para priorizar ameaças e decidir, de relance, quais riscos atacar primeiro com recursos limitados.

Livros recomendados

A Lógica do Cisne Negro

A Lógica do Cisne Negro

Nassim Nicholas Taleb

Links afiliados Amazon — saiba mais

Iludidos pelo Acaso

Iludidos pelo Acaso

Nassim Nicholas Taleb

Links afiliados Amazon — saiba mais

Rápido e Devagar: Duas Formas de Pensar

Rápido e Devagar: Duas Formas de Pensar

Daniel Kahneman

Links afiliados Amazon — saiba mais

Pense de Novo

Pense de Novo

Adam Grant

Links afiliados Amazon — saiba mais

Aprenda ouvindo no ResumoCast

Resumos de livros de negócios em áudio, toda semana. Siga no Spotify e leve as melhores ideias no seu trajeto.

Seguir no Spotify
Gustavo Carriconde
Gustavo CarricondeFundador do ResumoCastLinkedIn

Fundador do ResumoCast — podcast e portal de resumos de livros de negócios, com mais de 517 episódios publicados desde 2016.