* Bruno Aghazarm, consultor das áreas de segurança de dados e LGPD do Henneberg, Ferreira e Linard Advogados. Pós-graduado e especialista em Direito Digital. Graduado em Engenharia Eletrônica e Direito.
É correto afirmar que as empresas e organizações modernas prezam pelo controle de seus ativos, tanto na aquisição, quanto na instalação e manutenção, pois são bens fungíveis ou infungíveis que compõem sua riqueza.
Nesse particular, as análises de risco corporativo e sua respectiva gestão são dois processos a serem implementados e que são considerados essenciais para garantir a segurança, o crescimento sustentável e a continuidade dos negócios de uma empresa. São fundamentais não apenas para identificar, avaliar e mitigar os riscos que podem afetar as operações, os ativos, os impactos nos negócios e a reputação da organização, mas igualmente para levar a organização à conformidade.
Costuma-se definir a análise de risco corporativo como o processo de identificação e avaliação dos riscos que uma empresa enfrenta ao longo de sua existência, incorporando momentos distintos. Ela envolve a análise de fatores internos e externos que podem representar ameaças ou oportunidades para o negócio. Determina quais são suas vulnerabilidades, assim como afere a criticidade de processos e possíveis impactos no negócio.
Os riscos podem ser de natureza financeira, operacional, legal, tecnológica, reputacional, entre outras. O objetivo é mapear e analisar a magnitude dos riscos e seus potenciais problemas consequentes, para que a empresa possa tomar decisões fundamentadas e sobre como lidar com eles.
Existem diversas metodologias utilizadas na análise de risco corporativo, sendo algumas delas:
– A Análise Qualitativa de Risco: Nesse prisma, os riscos são avaliados com base em critérios subjetivos, como a probabilidade de ocorrência e o impacto caso se materializem. As avaliações são geralmente expressas em termos de alta, média ou baixa probabilidade e alto, médio ou baixo impacto;
– A Análise Quantitativa de Risco: Envolve a utilização de dados e técnicas estatísticas para quantificar os riscos. Ela utiliza modelos matemáticos para calcular a probabilidade de ocorrência de eventos e as perdas financeiras associadas a eles. Isso permite uma avaliação mais precisa dos riscos e a determinação de medidas de mitigação mais efetivas; e
– A Análise de Cenários: Metodologia onde são identificados cenários plausíveis de eventos futuros e avaliadas suas consequências. Isso permite que a empresa esteja preparada para lidar com diferentes situações e tome medidas preventivas ou corretivas antes que os riscos se materializem.
Após os processos de análises dos riscos serem definidos e os dados devidamente coletados e estudados, segue-se a Gestão de Riscos Corporativos.
Essa gestão compreende o conjunto de processos, políticas e práticas adotadas por uma organização para identificar, avaliar, tratar e monitorar os riscos detectados. Seu objetivo principal é minimizar as ameaças e maximizar as oportunidades, garantindo, assim, a sustentabilidade do negócio.
Podemos citar, como exemplo, as seguintes etapas para permear esta gestão:
i) identificação de riscos; ii) avaliação de riscos; iii) tratamento de riscos; e iv) monitoramento de riscos.
Os resultados da análise e gestão de Riscos Corporativos são significativos para uma empresa. Ao adotar uma abordagem sistemática e proativa para lidar com os riscos, a organização estará preparada para enfrentar situações desafiadoras e incertezas, com resultados de minimização de perdas financeiras, proteção da reputação, melhoria na tomada de decisões, eficiência operacional e cumprimento de requisitos regulatórios.
Em suma, tais processos são fundamentais para a sobrevivência e o sucesso das empresas. Ao identificar, avaliar e tratar os riscos de forma estruturada, as organizações podem se proteger contra ameaças, aproveitar oportunidades e garantir um ambiente de negócios mais seguro e sustentável, como citado.
No Brasil, a gestão de riscos corporativos é uma prática cada vez mais valorizada e regulamentada, sendo que algumas leis e regulamentos podem se relacionar com esta gestão, a exemplo das seguintes leis: i) Lei das Sociedades por Ações (Lei nº 6.404/1976); ii) Lei Anticorrupção (Lei nº 12.846/2013); e iii) Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018).
Em relação a normas internacionais e recomendações, algumas referências relevantes para a gestão de riscos corporativos incluem normas como: i) ISO 31000:2018 – Gestão de Riscos; ii) COSO ERM – Enterprise Risk Management; iii) Basel III: Estabelecido pelo Comitê de Basileia de Supervisão Bancária; e iv) NIST SP 800-30: Guia de Gerenciamento de Riscos para Sistemas de Informação e Organizações.
Com efeito, sem a pretensão de exaurir o tema, traz-se a reflexão e a apresentação da questão relativa à Gestão de Riscos corporativos, na medida em que não se trata apenas de um diferencial mercadológico ou de negócio, mas, sim, da conformidade (compliance) normativa e legal necessária às Organizações.