Matriz de Riscos é a ferramenta que permite priorizar o risco iminente (mais relevantes) a ser testado e mitigado. A relevância é medida através de duas dimensões: probabilidade e impacto.
Probabilidade
Probabilidade é a chance do risco de materializar. Ou seja, qual é a chance de o problema ocorrer? Baixa, média ou alta?
Impacto
Impacto é o nível de dano que o risco atingirá se materializado. Ou seja, a gravidade do problema. Pergunte-se novamente: este risco é baixo, médio ou alto quanto à gravidade?
Nem sempre o impacto é financeiro. Veja outros tipos de riscos:
- Risco Ocupacional, biológico, químico, ergonômico;
- Risco ambiental;
- Risco operacional, risco de crédito, cambial;
- Risco de Imagem / Reputação;
Após estabelecer uma nota para cada dimensão, pode-se estabelecer um ponto na matriz e determinar com maior precisão se o risco é crítico, alto, moderado ou baixo.
Tomada de Decisões
A matriz de riscos é muito útil na tomada de decisões, pois permite a avaliação imparcial de uma situação. Quando bem utilizada, os critérios são impessoais e bem definidos.
Para cada risco mapeado, deve haver um ou mais controles que minimizem o impacto e/ou a probabilidade do risco. Chamamos isso de mitigar o risco.
De acordo com a complexidade, os controles podem ser manuais ou automáticos. Controles manuais, dependem da execução de um ser humano. Controles automáticos são aqueles baseados em sistemas, sensores ou verificações periódicas.
Periodicidade de Execução do Controle
A periodicidade de execução do controle ajuda a determinar quantos itens serão testados pelo auditor. O dicionário de riscos é ponto de partida para criação da matriz. Geralmente é criado e mantido por uma área da segunda linha de defesa: Gerenciamento de Riscos, Controles Internos, Compliance etc..
Mapa de Calor
Após finalizada, a matriz pode ser resumida em um mapa de calor (heatmap), onde os riscos são posicionados entre os eixos de impacto e probabilidade. Os quadrantes são separados por cores, geralmente do verde (risco baixo) ao vermelho (risco crítico).
Todos estes critérios devem constar na metodologia de Auditoria adotada pela Companhia.