Ernesto Kenji Igarashi, a partir de sua experiência como especialista em segurança institucional e proteção de autoridades, esclarece que a multiplicação de ameaças simultâneas, físicas, digitais e reputacionais, colocou a gestão de riscos no centro das decisões de segurança em 2026. A diferença entre instituições que atravessam crises com danos controlados e aquelas que colapsam raramente está na sorte. Está na existência, ou não, de um processo estruturado que identifica, mede, prioriza e trata riscos antes que eles se convertam em incidentes.
Compreenda com este artigo como funciona, na prática, o ciclo completo da gestão de riscos aplicada à segurança, da identificação à mitigação, em cinco etapas que qualquer organização pode implementar, independentemente do porte ou do setor.
Identificar riscos exige método, não brainstorming
O primeiro erro das organizações começa na largada, confundir identificação de riscos com reunião de opiniões. Identificar riscos de forma profissional significa mapear sistematicamente os ativos críticos (pessoas, instalações, informações, processos e reputação), as ameaças plausíveis a cada um deles e as vulnerabilidades que tornariam essas ameaças viáveis. Esse levantamento combina inspeções físicas, entrevistas estruturadas, análise de histórico de incidentes, estudo do entorno e revisão de processos internos.
Nesse ponto, Ernesto Kenji Igarashi salienta um aspecto frequentemente negligenciado: o risco que não é nomeado não é gerenciado. Organizações tendem a mapear exaustivamente riscos visíveis e confortáveis, como furto e incêndio, enquanto evitam registrar riscos politicamente sensíveis, como fraude interna, falha de liderança ou colapso de fornecedor crítico. Um inventário de riscos honesto é, antes de tudo, um exercício de coragem institucional.
Analisar é transformar percepção em medida
Identificados os riscos, a análise de riscos atribui a cada um deles duas dimensões fundamentais: a probabilidade de ocorrência e o impacto potencial caso se materialize. Essa etapa pode ser conduzida de forma qualitativa (escalas descritivas), quantitativa (valores financeiros e estatísticos) ou híbrida, que é o formato mais comum em segurança corporativa e institucional. Ernesto Kenji Igarashi aponta que o essencial é que os critérios sejam definidos previamente e aplicados com consistência, evitando que a avaliação reflita apenas a intuição de quem grita mais alto na reunião.
Com base nisso, a análise deve considerar também a velocidade do risco (quão rápido ele se materializa e se propaga) e a capacidade atual de detecção. Um risco de impacto médio que a organização não consegue detectar a tempo pode ser, na prática, mais perigoso que um risco de impacto alto amplamente monitorado. Essa sofisticação analítica é o que distingue diagnósticos maduros de planilhas preenchidas para o auditor ver.
A matriz de riscos como instrumento de decisão, não de decoração
A matriz de riscos, cruzamento visual entre probabilidade e impacto, é provavelmente a ferramenta mais conhecida e mais mal utilizada do setor. Bem construída, ela hierarquiza os riscos e orienta a alocação de recursos, mostrando à alta gestão, em uma única imagem, onde estão as prioridades reais.

O especialista em segurança institucional e proteção de autoridades, Ernesto Kenji Igarashi, esclarece que, mal construída, vira ornamento de apresentação, com todos os riscos convenientemente posicionados em zonas intermediárias que não obrigam ninguém a decidir nada.
Tratar e mitigar é onde a estratégia encontra o orçamento
A mitigação é a etapa em que o diagnóstico vira ação, e também onde a maioria dos programas emperra. Tratar um risco significa implementar controles que reduzam sua probabilidade, seu impacto ou ambos, desde barreiras físicas e redundâncias tecnológicas até revisão de processos, treinamento de equipes e contratação de seguros. Ernesto Kenji Igarashi destaca que a regra de ouro é a proporcionalidade, já que o custo do controle não pode superar o valor do que ele protege, e a eficácia esperada precisa ser verificável.
Em vista disso, planos de mitigação profissionais definem responsável, prazo, orçamento e indicador de conclusão para cada ação. Sem esses quatro elementos, a mitigação se dissolve em intenções. Vale registrar, ainda, que mitigar não significa eliminar; todo tratamento deixa um risco residual, e a organização precisa conhecê-lo e aceitá-lo formalmente, fechando o ciclo decisório com transparência.
Monitorar é admitir que o mapa de ontem já envelheceu
Por fim, a etapa que transforma a gestão de riscos em processo vivo é o monitoramento contínuo. Riscos mudam porque o mundo muda; assim, as novas tecnologias, novos marcos legais, novas dinâmicas criminais e novas decisões da própria organização alteram o cenário permanentemente.
Estruturas maduras estabelecem indicadores de risco, revisões periódicas da matriz e gatilhos de reavaliação extraordinária, acionados sempre que um evento relevante interno ou externo modifica as premissas do diagnóstico. É nesse ponto que a disciplina deixa de ser projeto e se converte em rotina de gestão, com o mesmo status de processos financeiros e de conformidade.
A gestão de riscos se torna a nova linguagem das organizações em busca de resiliência na próxima década
Nesse panorama, a gestão de riscos deixa de ser departamento e se torna linguagem comum das organizações que pretendem atravessar a próxima década com resiliência. A capacidade de discutir probabilidade, impacto e prioridade com método será tão básica para gestores de segurança quanto ler um orçamento, e as instituições que formarem seus quadros nessa gramática decidirão melhor, mais rápido e com menos desperdício.
Como conclui Ernesto Kenji Igarashi, especialista em segurança institucional e proteção de autoridades, o amadurecimento dessa disciplina no Brasil é um movimento sem retorno, acelerado pela pressão regulatória e pela sofisticação das ameaças.
