Preciso cadastrar cartão de crédito para começar?

Não. O plano Gratuito é permanente e liberado apenas com seu e-mail, sem cartão de crédito e sem cobrança automática. O cartão só é solicitado se você decidir fazer upgrade para os planos Start ou Pro para destravar os recursos avançados de execução.

Quanto tempo leva para configurar e ver valor?

Em poucos minutos você cria sua conta e o Bizzy, no modo Guia, te conduz passo a passo. Em uma tarde é possível sair do diagnóstico até um plano de ação inicial. Em uma semana, o Bizzy, no modo Assistente, já está acompanhando suas iniciativas e OKRs.

Meus dados estão seguros? Vocês são compatíveis com a LGPD?

Sim. Tratamos seus dados em conformidade com a LGPD, com criptografia em trânsito e em repouso. Suas informações estratégicas pertencem à sua empresa, são usadas apenas para gerar suas análises e nunca são compartilhadas com terceiros nem usadas para treinar modelos públicos de IA.

A IA serve para o meu setor ou tipo de negócio?

Sim. O BizGuideAI funciona para empresas de serviços, indústria, comércio, tecnologia, saúde, educação e muitos outros setores. A IA usa o contexto que você informa sobre o seu negócio (modelo, mercado, concorrentes, metas) para gerar estratégias específicas para a sua realidade — não respostas genéricas.

Funciona para empresas pequenas ou só para grandes?

Funciona para os dois. Pequenas e médias empresas usam para finalmente ter um plano estruturado sem contratar uma consultoria cara. Empresas maiores usam para alinhar diretoria e gerências em torno de OKRs e iniciativas claras, com acompanhamento contínuo.

Que tipo de suporte recebo no plano Gratuito e nos planos pagos?

Você tem suporte humano por e-mail, WhatsApp ou telefone após contratar os planos Start ou Pro. Para o plano gratuito, o próprio Bizzy dentro da plataforma te orienta sobre o próximo passo a cada momento da jornada.

Posso cancelar quando quiser? Tem fidelidade?

Sim, você pode cancelar a qualquer momento, sem multa e sem fidelidade. A cobrança é mensal e, se cancelar, mantém o acesso até o fim do período já pago.

Se eu cancelar, o que acontece com os meus dados?

Seus dados continuam seus. Antes de encerrar, você pode exportar suas estratégias, OKRs e iniciativas. Após o cancelamento, removemos seus dados dos nossos sistemas conforme as regras da LGPD e o seu pedido.

Gestão de Riscos: matriz probabilidade x impacto e ISO 31000 explicada

Toda empresa convive com riscos — operacionais, financeiros, regulatórios, de mercado, de pessoas, de tecnologia, de imagem. A diferença entre as empresas que sobrevivem a crises e as que quebram raramente está em "ter mais sorte"; está em ter um processo consciente de identificar, avaliar, tratar e monitorar riscos. Este guia explica o que é gestão de riscos, como construir a matriz probabilidade × impacto, as quatro estratégias clássicas de tratamento, princípios da ISO 31000 em versão prática e como integrar o tema ao restante do planejamento estratégico.

O que é gestão de riscos

Gestão de riscos é o processo organizado de identificar ameaças e oportunidades incertas, avaliar probabilidade e impacto, decidir como agir (evitar, transferir, mitigar ou aceitar), e monitorar a evolução. O objetivo não é eliminar todo risco — é impossível e contraproducente — mas garantir que a empresa esteja consciente dos riscos que está correndo, que esses riscos sejam compatíveis com seu apetite e que existam respostas pré-pensadas para os mais relevantes.

Risco, por definição, tem dois componentes: incerteza (pode ou não acontecer) e efeito sobre objetivos (se acontecer, muda o que a empresa pretendia). Por isso a gestão de riscos só faz sentido amarrada a objetivos claros — risco "isolado" é difícil de avaliar, porque depende de para onde você está indo.

ISO 31000: a base de qualquer modelo

A ISO 31000:2018 é a norma internacional de gestão de riscos. Ela não é uma certificação — é um guia de princípios e processo aplicável a qualquer setor e porte. Os princípios centrais:

Integrada: gestão de riscos é parte da gestão da empresa, não um processo paralelo.
Estruturada e abrangente: segue um método claro e cobre todos os tipos de risco relevantes.
Customizada: não existe modelo único — adapta-se ao contexto, tamanho e objetivos.
Inclusiva: envolve as partes interessadas; risco visto de uma só cabeça é risco mal avaliado.
Dinâmica: riscos mudam — o processo precisa de revisão contínua.
Baseada na melhor informação disponível: assume incerteza e incorpora novas informações.
Considera fatores humanos e culturais: percepção de risco varia entre pessoas; cultura de medo distorce os dados.
Melhoria contínua: aprender com cada risco materializado.

Para a maioria das empresas, não é necessário implementar a norma "ao pé da letra". O que chamamos de "ISO 31000 light" é seguir o ciclo do processo (contexto → identificação → análise → avaliação → tratamento → monitoramento), com profundidade proporcional ao porte e à criticidade da operação.

O processo de gestão de riscos: 6 passos

Passo 1 — Estabelecer o contexto

Antes de listar riscos, defina contra quais objetivos você está medindo: meta de receita, lançamento de produto, expansão geográfica, conformidade regulatória, segurança da informação, continuidade operacional. Defina também o apetite ao risco — quanta perda potencial a empresa está disposta a aceitar para perseguir cada objetivo. Sem esse passo, a avaliação fica subjetiva e variável de pessoa para pessoa.

Passo 2 — Identificar riscos

Faça um workshop estruturado: liderança, áreas operacionais, jurídico, TI, financeiro cada um traz a lista do que pode dar errado nas próximas 12 a 24 meses. Use categorias como guia para não esquecer áreas:

Estratégicos: mudança de mercado, novo concorrente, perda de posicionamento, falha em executar a estratégia.
Operacionais: falha de processo, queda de produção, perda de fornecedor crítico, acidente.
Financeiros: inadimplência, variação cambial, falta de capital de giro, fraude.
Regulatórios e legais: mudança de lei, multa, processo trabalhista, LGPD/proteção de dados.
Tecnológicos: indisponibilidade de sistema, vazamento de dados, ataque cibernético, dívida técnica.
De pessoas: perda de pessoa-chave, dificuldade de contratar, baixa de engajamento, segurança no trabalho.
Reputacionais: crise de imagem, exposição em redes sociais, falha ESG, conflito com cliente importante.

O resultado é uma lista de 20 a 60 riscos brutos. É normal ser muito — o filtro vem no passo seguinte.

Passo 3 — Analisar (probabilidade e impacto)

Para cada risco, atribua duas notas em escala de 1 a 5:

Probabilidade: quão provável é que aconteça nos próximos 12 meses. 1 = quase impossível; 3 = pode acontecer; 5 = praticamente certo.
Impacto: se acontecer, qual o efeito sobre os objetivos. 1 = irrelevante; 3 = mexe no plano mas não no resultado anual; 5 = ameaça a sobrevivência ou os principais objetivos do ano.

O nível do risco é o produto: probabilidade × impacto. Riscos com nota alta entram no topo da lista; os de nota baixa, no rodapé. Calibrar a escala em equipe é importante: o que é "impacto 3" para o financeiro pode ser "impacto 5" para a área operacional.

Passo 4 — Avaliar (matriz probabilidade × impacto)

Plote os riscos numa matriz 5×5: probabilidade no eixo Y, impacto no eixo X. A matriz normalmente é colorida em três zonas:

Zona vermelha (alto): probabilidade alta + impacto alto. Exige plano de ação imediato.
Zona amarela (médio): probabilidade média ou impacto médio. Exige monitoramento ativo e plano de tratamento documentado.
Zona verde (baixo): probabilidade baixa e impacto baixo. Aceitar e monitorar; não vale o esforço de tratar.

A regra prática: empresas costumam ter 5 a 10 riscos vermelhos, 15 a 25 amarelos e o resto verde. Mais de 15 vermelhos quase sempre é sinal de calibragem inflada — ou de empresa em situação realmente crítica.

Passo 5 — Tratar (as 4 estratégias clássicas)

Para cada risco com nível médio ou alto, escolha uma das quatro estratégias:

Evitar: não fazer a atividade que gera o risco. Ex.: cancelar a entrada em um país com instabilidade política. Custo: abrir mão da oportunidade.
Transferir: passar o risco a um terceiro especializado. Ex.: contratar seguro contra incêndio, terceirizar logística para reduzir risco de operação. Custo: prêmio do seguro, margem do terceiro.
Mitigar (reduzir): agir para diminuir probabilidade, impacto, ou ambos. Ex.: implantar redundância no datacenter (reduz impacto de queda); treinar equipe (reduz probabilidade de erro humano).
Aceitar: reconhecer o risco e seguir com a atividade. Faz sentido quando o custo de tratamento é maior que o impacto esperado, ou quando o risco é inerente ao negócio. Aceitar conscientemente é diferente de ignorar — o risco continua monitorado.

Cada plano de tratamento deve ter responsável, prazo, indicador e custo estimado. Sem dono e prazo, o plano vira boa intenção.

Passo 6 — Monitorar e revisar

A matriz não é estática. Revise mensalmente os riscos vermelhos, trimestralmente os amarelos e anualmente o conjunto inteiro. Riscos novos surgem (regulação muda, mercado muda); riscos tratados podem migrar para a zona amarela ou verde; riscos materializados viram lições aprendidas. O monitoramento alimenta o ciclo de novo no Passo 1.

Exemplo prático: matriz para um e-commerce de médio porte

Vermelho — Indisponibilidade da plataforma na Black Friday (probabilidade 4, impacto 5). Tratamento: mitigar — duplicar capacidade, contratar CDN premium, simulação de carga em outubro. Dono: CTO.
Vermelho — Vazamento de dados de clientes (LGPD) (probabilidade 3, impacto 5). Tratamento: mitigar — auditoria de segurança, criptografia em repouso, treinamento; e transferir parte com seguro cibernético. Dono: DPO.
Amarelo — Concentração em 1 transportadora (probabilidade 2, impacto 4). Tratamento: mitigar — homologar 2ª transportadora até Q3. Dono: Logística.
Amarelo — Queda do CAC pago do principal canal (probabilidade 4, impacto 3). Tratamento: mitigar — investir em SEO e CRM próprio. Dono: Marketing.
Verde — Mudança no PIS/COFINS (probabilidade 2, impacto 2). Tratamento: aceitar e monitorar via consultoria tributária. Dono: CFO.

Note que cada risco tem dono, plano e fica com status visível em comitê — a matriz sai da gaveta e vira instrumento de gestão.

Riscos x oportunidades: o lado positivo

A ISO 31000 trata risco como "efeito da incerteza sobre objetivos" — esse efeito pode ser negativo (ameaça) ou positivo (oportunidade). Empresas maduras usam o mesmo processo para identificar oportunidades incertas: nova regulação que pode favorecer o setor, ruptura tecnológica que pode abrir mercado, falência de concorrente, mudança demográfica. As estratégias se invertem: explorar, compartilhar, aumentar, aceitar. Esse olhar evita o viés de só ver o lado defensivo da gestão de riscos.

Erros comuns em gestão de riscos

Identificar e arquivar. Lista de risco em PDF que ninguém revisa não é gestão de risco — é teatro de governança.
Confundir probabilidade com possibilidade. "Pode acontecer" não é probabilidade 5; probabilidade exige estimativa explícita.
Excesso de granularidade. 200 riscos = ninguém prioriza. Foque em 30 a 60 riscos brutos e 10 a 20 ativos no momento.
Tratamento sem dono. Plano de mitigação sem responsável é o caminho mais curto para a frustração.
Cultura de "matar o mensageiro". Quando trazer risco vira problema de carreira, o time esconde. A matriz fica linda; a empresa fica cega.
Não conectar com decisão estratégica. Risco de "aumento de concorrência" precisa entrar no SWOT e influenciar a estratégia, não viver isolado em uma planilha de compliance.
Falta de apetite definido. Sem dizer quanto risco é aceitável, todo risco parece grande demais — ou pequeno demais.

Como integrar gestão de riscos ao planejamento estratégico

Riscos não vivem isolados — eles são a contraparte natural das oportunidades e das estratégias da empresa:

A análise PESTEL e as 5 Forças alimentam a identificação de riscos externos.
A SWOT traduz ameaças em insumo direto para a matriz de riscos.
A análise de cenários mostra em quais futuros cada risco ganha ou perde relevância.
O Balanced Scorecard incorpora os riscos críticos como objetivos da perspectiva de processos ou aprendizado (ex.: "elevar maturidade de segurança da informação para nível 3").
Os OKRs traduzem os planos de tratamento dos riscos vermelhos em metas trimestrais com responsável.
Os indicadores e KPIs monitoram os sinais antecipados — quando um KRI (Key Risk Indicator) ultrapassa o limite, dispara o plano de contingência.

Em organizações maduras, o relatório mensal traz lado a lado o desempenho dos objetivos e o status dos riscos — porque planejamento é, em grande parte, gerir a relação entre apostas e riscos.

Perguntas frequentes sobre gestão de riscos

Gestão de riscos é só para empresas grandes?

Não. Empresa pequena se beneficia em versão leve: um workshop trimestral de 2 horas com a liderança, uma planilha com 15 a 30 riscos avaliados, plano para os 5 vermelhos. O valor está em forçar a conversa sobre o que pode dar errado — independente do porte.

Qual a diferença entre risco e problema?

Risco é incerto (pode ou não acontecer); problema já aconteceu. Quando um risco se materializa, ele sai da matriz de riscos e entra no plano de gestão de incidentes. As duas listas coexistem.

Quem é o dono da gestão de riscos na empresa?

Em empresas grandes, há um Chief Risk Officer (CRO) ou área dedicada. Em empresas médias e pequenas, a responsabilidade costuma ficar com o CFO ou diretor de operações, com cada área respondendo por seus próprios riscos. O CEO sempre é o dono último.

Com que frequência atualizar a matriz?

Os riscos vermelhos: revisão mensal em comitê de gestão. Os amarelos: revisão trimestral. A matriz inteira: revisão anual no planejamento. Eventos materiais (mudança de regulação, novo concorrente, crise) disparam revisão extraordinária.

O que é apetite ao risco e como definir?

Apetite ao risco é a quantidade de risco que a empresa está disposta a aceitar em busca de seus objetivos. Definir é decisão do CEO e do conselho: "aceitamos perder até X% da receita anual em desvios operacionais"; "não aceitamos riscos regulatórios com chance > 20% de afetar a licença de operação". Sem apetite explícito, não há critério para tratar ou aceitar.