Artigo
10/08/2025

Identificação de Riscos com Base nos Objetivos: A Base da Gestão de Riscos Eficaz

Mostra como a definição clara de objetivos é essencial para identificar riscos e suas causas na gestão organizacional.

Avatar Eduardo Pardini

Registros selecionados

Imagem de capa do artigo

Quando falamos em gestão de riscos, é essencial lembrar que ela não é apenas um mecanismo de controle ou uma exigência regulatória. Muito além disso, trata-se de uma ferramenta estratégica que, quando bem compreendida e aplicada, torna-se parte da inteligência organizacional. E, nesse processo, a identificação de riscos é, sem dúvida, o alicerce de tudo.

Costumo dizer que todo bom processo de gestão de riscos começa com uma pergunta simples, mas poderosa: “Quais são os objetivos que queremos alcançar?” Isso porque risco, em essência, é qualquer evento que possa comprometer o alcance de um objetivo. Sem objetivo, não há risco. E essa é uma lógica que não pode ser ignorada.

Sempre que iniciamos um processo de avaliação de riscos, o primeiro passo deve ser entender claramente os objetivos daquela organização, área ou processo. E aqui está um ponto crucial que muitas vezes é negligenciado: a clareza na formulação dos objetivos. Quando os objetivos são vagos, genéricos ou mal definidos, o risco torna-se um conceito abstrato e, consequentemente, difícil de gerenciar.

Os principais frameworks reforçam essa abordagem. O COSO ERM, por exemplo, no Princípio 10, afirma claramente que a organização deve identificar riscos que impactem o alcance de seus objetivos estratégicos e de negócios. O COSO de Controles Internos, no Princípio 6, orienta que os objetivos devem ser claramente definidos para permitir a identificação e avaliação de riscos. Já a ISO 31000 segue o mesmo caminho ao definir risco como o efeito da incerteza sobre os objetivos. Portanto, não há dúvida: os objetivos devem ser o ponto de partida.

Ao aplicar essa lógica na análise de um processo operacional, costumo recomendar a avaliação dos objetivos sob quatro perspectivas:

  1. Objetivo Inerente

    É o objetivo específico do próprio processo. Por exemplo, no processo de folha de pagamento, um objetivo inerente seria garantir que os colaboradores sejam pagos de forma justa e conforme os termos acordados. Esse objetivo pertence unicamente a esse processo e não deve ser confundido com outros.

  2. Objetivo de TI

    Relaciona-se à qualidade dos dados e informações processadas — especialmente quanto à consistência, integridade, confidencialidade e disponibilidade. No exemplo da folha de pagamento, significa assegurar que os dados sejam corretos, estejam sempre disponíveis e sigam padrões de segurança da informação.

  3. Objetivo de Integridade

    Vincula o processo aos valores éticos e morais da organização, definidos pelo seu programa de integridade e código de conduta. O objetivo aqui é garantir que cada decisão e ação tomadas durante o processo estejam alinhadas a esses valores.

  4. Objetivo de Conformidade Legal

    Refere-se ao cumprimento das leis e regulamentos aplicáveis — sejam federais, estaduais, municipais ou setoriais. Vale destacar que esses três últimos objetivos (TI, integridade e conformidade) estão presentes em todo processo operacional, sem exceção.

Uma vez definidos esses objetivos, a identificação de riscos torna-se um exercício lógico. Um bom ponto de partida é inverter a lógica do objetivo. Se o objetivo é garantir remuneração justa, o risco é exatamente o oposto: pagamento injusto ou não conforme. A partir daí, uma pergunta fundamental ajuda a aprofundar o raciocínio: “O que poderia impedir o alcance deste objetivo?” Essa pergunta direciona a análise para os fatores que ameaçam o sucesso do processo, permitindo mapear os riscos de forma prática e objetiva.

E aqui entra uma pergunta ainda mais poderosa: “Quais são as causas que poderiam gerar ou disparar este risco?”

Identificar o risco é importante — mas entender suas causas é o que realmente possibilita um tratamento eficaz.

Um erro comum em programas de gestão de riscos é listar os riscos, criar uma bela matriz e, na hora de construir planos de ação, cair em generalizações que não atacam o problema real.

Por que isso acontece? Porque as causas não foram estudadas. E é nelas que residem as verdadeiras vulnerabilidades do processo. Os riscos são efeitos, mas são as causas que os tornam possíveis. Quando compreendemos bem essas causas — e isso só é possível por meio de uma análise estruturada e aprofundada — conseguimos propor ações de tratamento eficazes, proporcionais e alinhadas à realidade da organização.

Em resumo, o ponto de partida para uma boa identificação de riscos é a definição clara dos objetivos. E o ponto de partida para entender as causas — que costumo chamar de fatores de risco — é o próprio risco. Essa sequência lógica e estruturada garante que a gestão de riscos não seja apenas um exercício formal, mas sim uma verdadeira ferramenta de tomada de decisão e geração de valor.

Portanto, se quisermos uma gestão de riscos eficaz, precisamos começar com uma pergunta simples, mas transformadora: “Quais são os nossos objetivos?” Porque é a partir deles que tudo se constrói. E é por eles que se protege o que realmente importa dentro da organização.

Quando seguimos essa lógica — objetivo → risco → causa — transformamos a gestão de riscos em uma ferramenta estratégica. Ela deixa de ser burocracia e passa a ser inteligência de negócios.

E nunca se esqueça: Sem objetivo, não há risco. E sem causa, não há tratamento eficaz. É simples, é direto e é fundamental.

Seja feliz!

Traduzido do inglês pela Okai.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Perguntas e respostas

Qual é a relação fundamental entre risco e objetivos na gestão de riscos?
A relação é intrínseca e direta: o risco é definido como qualquer evento que possa comprometer o alcance de um objetivo. Portanto, a existência de um objetivo é um pré-requisito para a existência de um risco. Sem um objetivo claramente definido, o conceito de risco torna-se abstrato e difícil de gerenciar.A definição clara dos objetivos da organização, área ou processo é o alicerce e o ponto de partida de toda a gestão de riscos. Quando os objetivos são bem formulados, a identificação dos riscos que podem ameaçá-los torna-se um exercício lógico e estruturado.
Como os principais frameworks de mercado, como COSO e ISO 31000, abordam a identificação de riscos?
Os principais frameworks reforçam a abordagem de que a identificação de riscos deve partir dos objetivos organizacionais.O COSO ERM, em seu Princípio 10, estabelece que a organização deve identificar os riscos que impactam o alcance de seus objetivos estratégicos e de negócios.O COSO de Controles Internos, em seu Princípio 6, orienta que os objetivos precisam ser claramente definidos para que seja possível identificar e avaliar os riscos associados a eles.A norma ISO 31000 segue a mesma linha, definindo risco como o efeito da incerteza sobre os objetivos. Essa convergência entre os frameworks destaca a centralidade dos objetivos como ponto de partida para qualquer processo de gestão de riscos.
Quais são as quatro perspectivas recomendadas para avaliar os objetivos de um processo operacional?
Na análise de um processo operacional, recomenda-se avaliar os objetivos sob quatro perspectivas distintas para garantir uma cobertura completa dos riscos:1. Objetivo Inerente: É o propósito específico do próprio processo. Por exemplo, no processo de folha de pagamento, o objetivo inerente é garantir que os colaboradores sejam pagos de forma correta e pontual.2. Objetivo de TI: Focado na qualidade dos dados e informações, abrangendo aspectos como consistência, integridade, confidencialidade e disponibilidade. No mesmo exemplo, seria garantir que os dados da folha de pagamento sejam precisos, seguros e acessíveis quando necessário.3. Objetivo de Integridade: Relaciona o processo aos valores éticos e ao código de conduta da organização. O objetivo é assegurar que todas as ações e decisões tomadas no processo estejam alinhadas ao programa de integridade da empresa.4. Objetivo de Conformidade Legal: Refere-se à aderência a todas as leis e regulamentos aplicáveis, sejam eles em nível federal, estadual, municipal ou setorial.É importante notar que os objetivos de TI, integridade e conformidade legal são considerados presentes em todos os processos operacionais de uma organização.
Qual é a sequência lógica recomendada para uma identificação e tratamento eficaz de riscos?
A sequência lógica recomendada para uma gestão de riscos eficaz e estratégica é: Objetivo → Risco → Causa.O processo se desenrola da seguinte forma:1. Definição do Objetivo: O primeiro passo é definir com clareza o que se deseja alcançar com a organização, área ou processo.2. Identificação do Risco: Com o objetivo definido, o risco é identificado ao se perguntar: “O que poderia impedir o alcance deste objetivo?”. Essencialmente, o risco é o oposto do objetivo.3. Análise da Causa: Após identificar o risco, a análise se aprofunda com a pergunta: “Quais são as causas que poderiam gerar ou disparar este risco?”. A identificação das causas, ou fatores de risco, é crucial, pois elas representam as vulnerabilidades reais do processo.Seguir essa sequência garante que as ações de tratamento sejam direcionadas para a raiz do problema, tornando a gestão de riscos uma ferramenta de inteligência de negócios e não apenas um exercício burocrático.
Por que a análise das causas é considerada mais importante do que apenas a identificação do risco?
A análise das causas é fundamental porque os riscos são apenas os efeitos, enquanto as causas são as vulnerabilidades que os tornam possíveis. Entender as causas permite um tratamento eficaz do risco, pois as ações podem ser direcionadas para a raiz do problema.Um erro comum em programas de gestão de riscos é focar apenas na listagem dos riscos e criar planos de ação genéricos. Isso geralmente ocorre porque as causas não foram devidamente estudadas. Sem compreender o que origina o risco, as medidas de controle ou mitigação podem não ser eficazes, proporcionais ou alinhadas à realidade da organização.Em resumo, enquanto a identificação do risco aponta o que pode dar errado, a análise de suas causas revela por que isso pode acontecer, permitindo a criação de soluções que realmente resolvam o problema.
Como a gestão de riscos pode se tornar uma ferramenta de inteligência de negócios?
A gestão de riscos transcende a função de controle ou exigência regulatória e se torna uma ferramenta de inteligência de negócios quando é estrategicamente integrada à tomada de decisão e à geração de valor.Isso ocorre ao adotar uma abordagem lógica e estruturada que começa pela definição clara dos objetivos organizacionais. Ao seguir a sequência Objetivo → Risco → Causa, a organização não apenas identifica o que pode dar errado, mas também compreende profundamente as vulnerabilidades (causas) que ameaçam seus objetivos. Esse entendimento permite desenvolver ações de tratamento mais eficazes e direcionadas.Dessa forma, a gestão de riscos deixa de ser uma atividade burocrática e formal para se transformar em uma fonte de inteligência, ajudando a proteger o que é mais importante para a organização e a tomar decisões mais bem informadas.

Autor

Foto de perfil de Eduardo Pardini

Eduardo Pardini

Fundador da Crossover Corporation, palestrante e membro de conselhos e comitês do IIA, atuando também como mentor de líderes emergentes

Tags

Itens vinculados

Nenhum item vinculado a este artefato.

Recomendações

Artigo

Eventos de Risco Operacional: Análise do Ciclo de Vida e Principais Desafios da sua Gestão

Artigo

Framework de Gestão de Riscos Operacionais – Parte 1 de 2: Como definir o melhor framework para a sua organização?

Artigo

Dicas de Estratégias de Negociação para Gestores de Riscos