Gestão de Riscos

15 de março de 2026

Aprenda a identificar, avaliar e tratar riscos organizacionais usando o registro de riscos da Imara.

O que é Gestão de Riscos?


Gestão de riscos é o processo sistemático de identificar, avaliar e tratar ameaças que podem impactar a segurança, a conformidade ou as operações de uma organização. Frameworks como ISO 27001 e SOC 2 exigem que as organizações mantenham um programa formal de gestão de riscos como parte do seu programa de conformidade.


O Registro de Riscos


O registro de riscos da Imara é um repositório centralizado onde sua organização documenta todos os riscos identificados. Cada risco contém:


  • Nome e Descrição — O que é o risco e como pode se manifestar
  • Probabilidade — Chance de o risco ocorrer (Baixa, Média, Alta)
  • Impacto — Consequências caso o risco se materialize (Baixo, Médio, Alto)
  • Pontuação de Risco — Calculada automaticamente com base em probabilidade × impacto
  • Tratamento — Como o risco será endereçado (Aceitar, Mitigar, Transferir, Evitar)
  • Responsável — Quem é responsável pelo tratamento do risco
  • Controles Vinculados — Quais controles de segurança mitigam este risco
  • Fornecedores Vinculados — Se o risco está associado a um fornecedor específico

Criando um Risco


  1. Acesse Riscos no menu lateral e clique em Novo Risco.
  2. Descreva o risco, sua causa e suas potenciais consequências.
  3. Avalie a probabilidade e o impacto inerentes (antes dos controles).
  4. Selecione o tratamento e avalie o risco residual (após os controles).
  5. Atribua um responsável e defina uma data de revisão.

Tratamentos de Risco


  • Mitigar — Implementar controles para reduzir a probabilidade ou o impacto do risco
  • Aceitar — Reconhecer o risco e decidir não agir (geralmente para riscos de baixo impacto)
  • Transferir — Repassar o risco para um terceiro (ex: seguro cibernético, contrato com fornecedor)
  • Evitar — Eliminar a atividade que cria o risco

Revisões Periódicas

Riscos devem ser revisados periodicamente — especialmente após incidentes, mudanças organizacionais significativas ou ciclos de auditoria. A Imara suporta a definição de datas de revisão para cada risco e envia lembretes quando o prazo se aproxima.