Matriz de Riscos
A Matriz de Riscos (ou Matriz de Probabilidade e Impacto) cruza dois eixos — a chance de um risco acontecer e o impacto que ele causaria — para classificar ameaças por cor (verde, amarelo, vermelho) e mostrar o que tratar primeiro. Veja os eixos, as zonas, as 4 respostas e um exemplo.
Fundador do ResumoCast
Resposta rápida
A Matriz de Riscos (ou Matriz de Probabilidade e Impacto) cruza dois eixos — a chance de um risco acontecer e o impacto que ele causaria — para classificar ameaças por cor (verde, amarelo, vermelho) e mostrar o que tratar primeiro. Veja os eixos, as zonas, as 4 respostas e um exemplo.
Resposta rápida: a Matriz de Riscos (ou Matriz de Probabilidade e Impacto) é uma ferramenta visual de gestão de riscos que cruza dois eixos — a probabilidade de um risco acontecer e o impacto que ele causaria — para classificar cada ameaça por cor (verde, amarelo, vermelho) e mostrar, de relance, quais riscos atacar primeiro.
O que é a Matriz de Riscos?#
A Matriz de Riscos é uma tabela de dupla entrada usada na avaliação de riscos para definir o nível de gravidade de cada ameaça. Ela combina duas perguntas simples: qual a chance de isso acontecer? e se acontecer, quão ruim seria?. O cruzamento dessas duas respostas dá a cada risco uma posição na matriz — e uma cor.
Também é chamada de Matriz de Probabilidade e Impacto, Matriz de Probabilidade e Severidade ou, em inglês, risk matrix. A definição de referência é direta: é "a matriz usada durante a avaliação de riscos para definir o nível de risco considerando a categoria de probabilidade contra a categoria de severidade da consequência".
A grande virada que ela traz é transformar percepção em prioridade visível. Sem a matriz, todo risco parece igualmente urgente — e a equipe gasta energia no que faz barulho, não no que faz estrago. Com a matriz, um risco "raro e leve" cai no canto verde e um risco "provável e catastrófico" salta no canto vermelho. A decisão de onde agir primeiro deixa de ser opinião e vira mapa.
Para que serve a Matriz de Riscos?#
A Matriz de Riscos serve para priorizar ameaças e decidir onde investir tempo e dinheiro em prevenção. Como nenhuma equipe consegue tratar todos os riscos ao mesmo tempo, a matriz ordena a fila: ataca-se primeiro o que é mais provável e mais grave. Na prática, ela entrega:
- Priorização clara: em vez de uma lista plana de "coisas que podem dar errado", uma ordem de ataque baseada em probabilidade × impacto.
- Comunicação visual: um único quadro colorido que a diretoria, o time técnico e o cliente entendem em segundos, sem planilha.
- Decisão de resposta: a zona em que o risco cai sugere a ação — aceitar (verde), monitorar/mitigar (amarelo) ou agir já (vermelho).
- Registro auditável: uma foto do risco no tempo, que pode ser revisada e comparada ao longo do projeto.
Embora tenha nascido na gestão de projetos e na segurança, a matriz se aplica muito além disso: segurança do trabalho, qualidade, finanças, compliance, TI, saúde e meio ambiente. Onde houver incerteza que possa causar dano, há riscos para mapear e priorizar.
Quando usar: a Matriz de Riscos brilha quando você já tem uma lista de riscos identificados e precisa decidir o que tratar primeiro com recursos limitados. Ela é a etapa de análise qualitativa — vem depois de identificar os riscos e antes de planejar as respostas.
Os 2 eixos: Probabilidade × Impacto#
Toda Matriz de Riscos se apoia em dois eixos, e entender cada um é o que separa uma classificação útil de um chute colorido.
- Probabilidade (ou Frequência): a chance de o risco se concretizar. Vai de níveis como raro e improvável até provável e quase certo. Pode ser estimada por dados históricos ou pelo julgamento da equipe.
- Impacto (ou Severidade / Consequência): o tamanho do estrago se o risco acontecer. Vai de insignificante e menor até grave e catastrófico, medido em prazo, custo, qualidade, segurança ou reputação.
O nível de risco nasce do cruzamento dos dois: na versão mais comum, multiplica-se a nota da probabilidade pela nota do impacto. Um risco improvável (2) de impacto catastrófico (5) recebe nota 10; um risco quase certo (5) de impacto menor (2) também dá 10. É essa pontuação que define a cor e a posição na matriz.
Um cuidado importante: os dois eixos precisam de critérios definidos por escrito. "Impacto alto" sem definição vira achismo. Boas matrizes amarram cada nível a uma régua objetiva — por exemplo, impacto "grave" = atraso acima de 30 dias ou estouro de orçamento acima de 20%. Sem essa régua, duas pessoas classificam o mesmo risco de formas opostas.
Níveis e zonas: a matriz 3x3 e a 5x5#
O tamanho da matriz é o número de níveis em cada eixo. As versões mais usadas no mundo, segundo levantamento de 2019, são a 3x3 (associada à OHSAS 18001), a 4x4 (norma AS/NZS 4360) e a 5x5 (derivada da norma militar MIL-STD-882). Quanto mais níveis, mais granularidade — e mais subjetividade para distinguir, digamos, "improvável" de "raro".
| Versão | Eixos | Quando usar |
|---|---|---|
| 3x3 | 3 níveis de probabilidade × 3 de impacto | Simples e rápida; boa para projetos pequenos, reuniões e avaliação inicial. |
| 5x5 | 5 níveis de probabilidade × 5 de impacto | Mais granular; padrão em projetos grandes, segurança e auditorias formais. |
Independentemente do tamanho, a matriz é dividida em zonas de cor que traduzem a pontuação em ação:
- Zona verde (risco baixo): probabilidade e impacto baixos. Em geral o risco é aceito e apenas monitorado de leve. Não compensa gastar para tratá-lo.
- Zona amarela (risco moderado): a faixa de atenção. Exige um plano de mitigação e acompanhamento ativo — não é urgente, mas não pode ser esquecido.
- Zona vermelha (risco alto / crítico): probabilidade e/ou impacto altos. Demanda ação imediata, plano de resposta formal e atenção da liderança. É o que pode afundar o projeto.
Em matrizes 5x5 é comum ver quatro faixas, somando uma zona laranja (alto) entre o amarelo e o vermelho, ou um vermelho-escuro para o risco "extremo". A lógica de leitura, porém, é sempre a mesma: quanto mais para o canto superior direito (provável + catastrófico), mais quente a cor e mais urgente a resposta.
Quem criou a Matriz de Riscos? (origem no PMI e nas normas militares)#
A Matriz de Riscos não tem um "autor único" como muitos frameworks — ela nasceu da prática de gestão de riscos e foi padronizada por instituições. Suas raízes documentadas estão na defesa norte-americana: em 30 de março de 1984, o Departamento de Defesa dos EUA formalizou uma matriz de risco 5x4 na norma MIL-STD-882B (System Safety Program Requirements). Antes disso, em 1978, o pesquisador David E. Hussey já havia descrito uma "matriz de risco" de investimento cruzando probabilidade e impacto de forma muito parecida com a versão moderna.
Foi na gestão de projetos, porém, que a ferramenta virou um clássico de mercado. O PMI (Project Management Institute) consagrou a Matriz de Probabilidade e Impacto em seu guia PMBOK, dentro do processo de análise qualitativa de riscos. É lá que ela ganhou o formato hoje conhecido no mundo corporativo brasileiro: cada risco recebe uma nota de probabilidade e uma de impacto, e a combinação define se ele é de prioridade baixa, moderada ou alta.
Hoje a Matriz de Riscos é referenciada por diversos padrões de gestão de riscos, incluindo a ISO 31000 (norma internacional de gestão de riscos) e normas setoriais de segurança, qualidade e meio ambiente. Vale registrar uma ressalva honesta: o pesquisador Tony Cox publicou críticas técnicas à matriz, mostrando que ela tem "baixa resolução" e pode, em certos casos, ordenar mal riscos quantitativamente diferentes. Por isso ela é melhor usada como ferramenta de comunicação e triagem, não como cálculo de precisão.
"Matrizes de risco podem comparar de forma correta e inequívoca apenas uma pequena fração dos pares de ameaças selecionados ao acaso."
— Louis Anthony (Tony) Cox Jr., em "What's Wrong with Risk Matrices?" (revista Risk Analysis, 2008). Fonte: Risk matrix.
Classificação de riscos e as 4 respostas (evitar, mitigar, transferir, aceitar)#
Classificar o risco na matriz é só metade do trabalho. A outra metade é decidir o que fazer com ele. Para riscos negativos (ameaças), o PMBOK e a teoria de gestão de riscos definem quatro respostas clássicas — e a zona da matriz ajuda a escolher qual usar.
| Resposta | O que significa | Combina com a zona |
|---|---|---|
| Evitar (Prevenir) | Eliminar a ameaça ou mudar o plano para que ela não exista — cancelar uma atividade arriscada, trocar de fornecedor, alterar o escopo. | Vermelha (risco crítico e inaceitável) |
| Mitigar (Reduzir) | Reduzir a probabilidade ou o impacto a um nível tolerável — testes, redundância, treinamento, manutenção preventiva. | Amarela e vermelha |
| Transferir (Compartilhar) | Passar o impacto financeiro a um terceiro — seguro, garantia contratual, terceirização, cláusula de penalidade. | Vermelha (impacto alto, baixa frequência) |
| Aceitar (Reter) | Conviver com o risco e, no máximo, reservar um plano de contingência ou orçamento — sem investir em tratá-lo. | Verde (e parte do amarelo) |
A lógica é econômica: não se gasta para tratar um risco verde, porque o custo da prevenção superaria o do dano. Já o risco vermelho exige resposta ativa — evitar, transferir ou mitigar com força. O amarelo, no meio, costuma pedir mitigação proporcional. Para oportunidades (riscos positivos), o PMBOK ainda lista respostas espelhadas — explorar, melhorar, compartilhar e aceitar —, mas a matriz no dia a dia trata sobretudo das ameaças.
Como construir uma Matriz de Riscos passo a passo#
Na prática, montar a matriz num projeto ou operação segue este roteiro:
- Identifique os riscos. Liste tudo que pode dar errado — em brainstorming com a equipe, checklists, lições de projetos passados. Nada de filtrar ainda; a hora é de levantar.
- Defina as escalas dos dois eixos. Escolha o tamanho (3x3 ou 5x5) e descreva por escrito o que cada nível significa. Ex.: probabilidade "provável" = mais de 60% de chance; impacto "grave" = atraso acima de 30 dias.
- Avalie cada risco. Para cada item da lista, atribua uma nota de probabilidade e uma de impacto, segundo as escalas. Use dados quando houver; julgamento da equipe quando não houver.
- Calcule o nível de risco. Multiplique probabilidade × impacto (ou cruze as duas categorias na grade). Esse número define a posição e a cor.
- Posicione na matriz e leia as cores. Coloque cada risco na célula correspondente. Os que caem no vermelho viram prioridade; os verdes, apenas monitoramento.
- Defina a resposta de cada risco. Para os críticos, escolha entre evitar, mitigar, transferir ou aceitar, e nomeie um responsável e um prazo para a ação.
- Revise periodicamente. Risco não é estático: probabilidades mudam, novos riscos surgem, ações de mitigação reduzem notas. Atualize a matriz ao longo do projeto.
Exemplo de Matriz de Riscos na prática (caso fictício)#
Para sair da teoria, veja a Construtora Ipê Verde — uma empresa fictícia de Goiânia (GO) que vai erguer um edifício residencial de 18 andares. Antes de bater o martelo no cronograma, a equipe montou uma Matriz de Riscos 5x5 para decidir onde concentrar a atenção.
Passo 1 — Identificar. Em duas reuniões de brainstorming, levantaram os principais riscos: (a) chuvas fora de época atrasando a fundação; (b) atraso na entrega das estruturas metálicas; (c) acidente de trabalho em altura; (d) reajuste no preço do aço; (e) embargo por falha em licença ambiental.
Passo 2 — Avaliar. Com as escalas definidas, a equipe pontuou cada risco. O acidente em altura ficou com probabilidade possível (3) e impacto catastrófico (5) → nota 15, vermelho. O atraso das estruturas metálicas deu probabilidade provável (4) e impacto grave (4) → nota 16, vermelho. As chuvas ficaram em provável × impacto moderado (4×3 = 12, amarelo). O reajuste do aço caiu em possível × menor (3×2 = 6, amarelo claro). E o embargo ambiental, com a licença já aprovada, ficou raro × catastrófico (1×5 = 5, verde-amarelo, mas vigiado pelo impacto).
Passo 3 — Responder. A matriz deixou a fila óbvia. Para o acidente em altura (vermelho), a resposta foi mitigar: cinto, linha de vida, treinamento NR-35 e fiscalização diária. Para o atraso das estruturas (vermelho), mitigar + transferir: cláusula de multa por atraso no contrato com o fornecedor (transferindo parte do impacto) e um fornecedor reserva. Para as chuvas (amarelo), aceitar com contingência: folga de 15 dias no cronograma da fundação. E o reajuste do aço foi transferido via contrato de preço travado.
Resultado. Em vez de tratar cinco riscos com o mesmo peso, a Ipê Verde concentrou orçamento e atenção nos dois vermelhos, comprou um seguro barato para o que dava para transferir e deixou o verde apenas no radar. A obra entrou em risco controlado sem inflar custos com prevenção desnecessária.
Matriz de Riscos vs Análise SWOT: qual a diferença?#
As duas são matrizes de apoio à decisão, mas respondem a perguntas diferentes e raramente competem — na verdade, se complementam. A SWOT olha o cenário estratégico amplo; a Matriz de Riscos mergulha em uma das partes (as ameaças) e a transforma em plano de ação priorizado.
| Critério | Matriz de Riscos | Análise SWOT |
|---|---|---|
| Pergunta-chave | O que pode dar errado e o que tratar primeiro? | Onde estamos forte e fraco, por dentro e por fora? |
| O que mapeia | Riscos (ameaças), por probabilidade × impacto | Forças, Fraquezas, Oportunidades e Ameaças |
| Eixos / estrutura | Probabilidade × Impacto (com cores) | Interno × Externo / Positivo × Negativo |
| Resultado | Priorização e plano de resposta a cada risco | Diagnóstico estratégico geral |
| Quando usar | Análise qualitativa de riscos de um projeto/operação | Planejamento estratégico, antes de definir rumos |
Na prática, elas se encaixam: a SWOT levanta as ameaças no nível estratégico, e a Matriz de Riscos pega essas ameaças (mais os riscos operacionais do dia a dia) e as prioriza por probabilidade e impacto. Outra parente próxima é a FMEA (Análise de Modos de Falha e Efeitos), que vai além da matriz ao incluir um terceiro eixo — a detecção — e calcular um número de prioridade de risco. A SWOT diz "o que pode nos ameaçar"; a Matriz de Riscos diz "o que tratar primeiro"; a FMEA diz "como cada falha específica acontece e quão cedo a pegamos".
Erros comuns na Matriz de Riscos#
- Escalas sem definição: usar "alto", "médio" e "baixo" sem critério escrito. Sem régua objetiva, cada pessoa pontua o mesmo risco de um jeito e a matriz perde credibilidade.
- Tratar tudo como vermelho: inflar as notas por medo faz a matriz perder a função de priorizar. Se tudo é crítico, nada é prioridade.
- Esquecer de revisar: montar a matriz uma vez e arquivar. Risco é dinâmico — o que era raro pode virar provável; a matriz precisa de revisão periódica.
- Ignorar o impacto raro e catastrófico: riscos de baixa probabilidade mas impacto devastador (os "cisnes negros") caem no verde pela conta, mas exigem atenção — às vezes um seguro ou plano de contingência.
- Confundir análise com resposta: classificar o risco e parar ali. A matriz é o diagnóstico; o valor vem de definir e executar a resposta (evitar, mitigar, transferir, aceitar).
- Falsa precisão: tratar a nota (ex.: "12,5") como número exato. A matriz é qualitativa e serve para comunicar e priorizar, não para calcular risco com precisão de engenharia.
Ficha técnica da Matriz de Riscos#
| Nome em português | Matriz de Riscos / Matriz de Probabilidade e Impacto |
| Nome em inglês | Risk Matrix (Probability and Impact Matrix) |
| Origem | Gestão de riscos e segurança; padronizada pela defesa dos EUA (MIL-STD-882B, 1984) e consagrada pelo PMI no PMBOK |
| Ano de referência | 1984 (MIL-STD-882B); raiz conceitual em 1978 (David E. Hussey) |
| Normas relacionadas | ISO 31000, PMBOK (PMI), MIL-STD-882, OHSAS 18001, AS/NZS 4360 |
| Eixos | Probabilidade (chance de ocorrer) × Impacto (severidade da consequência) |
| Formatos comuns | 3x3, 4x4 e 5x5; zonas verde (baixo), amarelo (moderado) e vermelho (alto) |
| Respostas a riscos | Evitar, Mitigar, Transferir e Aceitar |
| Área | Gestão de projetos, segurança do trabalho, qualidade, compliance, finanças e TI |
| Melhor para | Priorizar riscos identificados e decidir onde investir em prevenção |
Perguntas Frequentes
Livros recomendados
Decisões de alto impacto
Uranio Bonoldi
Ouvir resumoLinks afiliados Amazon — saiba mais
Estratégia Adaptativa
Sandro Magaldi e José Salibi Neto
Ouvir resumoLinks afiliados Amazon — saiba mais

A Lógica do Cisne Negro
Nassim Nicholas Taleb
Links afiliados Amazon — saiba mais

Iludidos pelo Acaso
Nassim Nicholas Taleb
Links afiliados Amazon — saiba mais

Rápido e Devagar: Duas Formas de Pensar
Daniel Kahneman
Links afiliados Amazon — saiba mais

Pense de Novo
Adam Grant
Links afiliados Amazon — saiba mais
Aprenda ouvindo no ResumoCast
Resumos de livros de negócios em áudio, toda semana. Siga no Spotify e leve as melhores ideias no seu trajeto.
Seguir no SpotifyFundador do ResumoCast — podcast e portal de resumos de livros de negócios, com mais de 517 episódios publicados desde 2016.