1. Introdução: o jurídico entre a técnica e a governança
A advocacia brasileira sempre se destacou pela excelência técnica. Contudo, o cenário contemporâneo exige algo além da técnica: exige estrutura.
Departamentos jurídicos e escritórios que operam apenas com base na expertise individual de seus profissionais já não atendem às demandas de um ambiente regulatório complexo, financeiramente sensível e reputacionalmente exposto.
O jurídico moderno não é apenas executor de litígios. É guardião institucional de riscos.
É nesse contexto que a gestão de riscos se revela como expressão concreta de maturidade em Legal Operations.
Não se trata de importar modelos corporativos de maneira acríti1. Introdução: o jurídico entre a técnica e a governança
A advocacia brasileira sempre se destacou pela excelência técnica. Contudo, o cenário contemporâneo exige algo além da técnica: exige estrutura.
Departamentos jurídicos e escritórios que operam apenas com base na expertise individual de seus profissionais já não atendem às demandas de um ambiente regulatório complexo, financeiramente sensível e reputacionalmente exposto.
O jurídico moderno não é apenas executor de litígios. É guardião institucional de riscos.
É nesse contexto que a gestão de riscos se revela como expressão concreta de maturidade em Legal Operations.
Não se trata de importar modelos corporativos de maneira acrítica. Trata-se de compreender que previsibilidade, governança e controle são hoje exigências jurídicas, não meras escolhas gerenciais.
E maturidade, nesse cenário, não é discurso. É método.
2. Fundamentos jurídicos da gestão de riscos
A gestão de riscos encontra respaldo em fundamentos normativos sólidos do ordenamento jurídico brasileiro.
2.1 Dever de diligência e boa-fé objetiva
O art. 422 do CC impõe às partes o dever de observar a boa-fé objetiva na formação e execução dos contratos. A boa-fé, como cláusula geral, exige comportamento previsível, cooperativo e diligente.
No âmbito organizacional, a ausência de controles mínimos para prevenir falhas previsíveis pode representar violação indireta desse dever.
A previsibilidade é elemento estruturante da boa-fé.
2.2 Responsabilidade dos administradores
A lei 6.404/76 (lei das sociedades por ações), especialmente nos arts. 153 e 158, estabelece o dever de diligência dos administradores e sua responsabilização por atos praticados com culpa.
Um departamento jurídico que não mapeia contingências relevantes, que não estrutura provisões adequadas ou que não alerta a administração sobre riscos regulatórios relevantes compromete a governança corporativa.
A gestão de riscos, portanto, não é apenas ferramenta interna: é instrumento de proteção institucional.
2.3 Lei anticorrupção e compliance
A lei 12.846/13 exige programas efetivos de integridade. O decreto 11.129/22 reforça a necessidade de mecanismos de monitoramento e mitigação de riscos.
Não existe compliance efetivo sem matriz de risco estruturada.
Logo, o jurídico que não opera sob lógica de risco compromete a própria eficácia do programa de integridade.
2.4 LGPD e governança informacional
A lei 13.709/18 (Dispõe sobre a proteção de dados pessoais) impõe medidas técnicas e administrativas aptas a proteger dados pessoais.
A governança da informação é, hoje, dimensão essencial da gestão de riscos jurídicos.
Falhas nessa esfera podem gerar sanções administrativas, responsabilidade civil e danos reputacionais de difícil reversão.
3. Risco jurídico: Conceito ampliado
Tradicionalmente, risco jurídico era associado à probabilidade de condenação judicial. Essa visão é insuficiente.
Risco jurídico contemporâneo abrange:
- Exposição financeira não provisionada;
- Inconsistência contratual;
- Perda de prazo por falha sistêmica;
- Não conformidade regulatória;
- Vulnerabilidade tecnológica;
- Dependência excessiva de conhecimento individual;
- Dano reputacional.
Sob perspectiva metodológica, risco é a combinação entre probabilidade de ocorrência e impacto potencial.
Departamentos maduros classificam riscos por grau de criticidade e estruturam respostas proporcionais.
Departamentos imaturos reagem após o dano.
4. As Core 12 Competencies do CLOC como estrutura de maturidade
O CLOC estrutura Legal Operations a partir de competências integradas. A gestão de riscos permeia diversas delas.
4.1 Strategic planning: Risco como premissa estratégica
Planejamento estratégico jurídico não pode ignorar cenários adversos.
A competência Strategic Planning pressupõe:
- Alinhamento com objetivos corporativos;
- Definição de metas mensuráveis;
- Análise prospectiva de contingências;
- Planejamento orçamentário baseado em cenários.
Planejar sem mapear risco é projetar apenas o melhor cenário.
Maturidade exige considerar também o pior.
4.2 Financial Management: Provisão como instrumento técnico
A gestão financeira jurídica deve observar critérios técnicos.
O CPC 25 exige estimativas confiáveis para provisões. Isso demanda:
- Base histórica de decisões;
- Classificação de probabilidade de perda;
- Tendência jurisprudencial;
- Revisão periódica.
Provisão baseada em percepção subjetiva compromete governança e distorce decisões estratégicas.
O risco financeiro mal estimado afeta diretamente o planejamento empresarial.
4.3 Data Analytics: O risco objetivado
A competência Data Analytics consolida a necessidade de decisões baseadas em evidências.
Indicadores essenciais incluem:
- Índice de êxito por matéria;
- Valor médio de condenação;
- Tempo médio de tramitação;
- Custo médio por processo;
- Taxa de cumprimento de prazos;
- Índice de retrabalho.
O que não é mensurado não é gerenciado.
E o que não é gerenciado se transforma em crise.
4.4 Technology: Mitigação estrutural de falhas humanas
A tecnologia reduz vulnerabilidades operacionais.
Workflows automatizados, controle eletrônico de prazos e integração de dados diminuem a incidência de falhas humanas previsíveis.
Planilhas paralelas e controles manuais são, hoje, fatores de risco.
Maturidade tecnológica não é aquisição de software: é integração sistêmica.
4.5 Vendor Management: Risco compartilhado não é risco transferido
A contratação de escritórios externos e consultorias não elimina responsabilidade institucional.
A gestão madura exige:
- SLA formal;
- Indicadores de desempenho;
- Monitoramento periódico;
- Cláusulas contratuais de compliance;
- Avaliação de custo-benefício.
Terceirizar não é terceirizar o risco.
4.6 Information Governance: Risco informacional como prioridade estratégica
A governança da informação envolve:
- Política de retenção documental;
- Controle de acessos;
- Registro de operações;
- Auditoria de segurança.
Em ambiente regulado, falhas informacionais geram consequências jurídicas relevantes.
4.7 Organizational Health: O risco invisível
Risco humano é frequentemente negligenciado.
Burnout, concentração de conhecimento e ausência de plano de sucessão comprometem continuidade operacional.
A maturidade organizacional exige:
- Manualização de processos;
- Distribuição equilibrada de demandas;
- Treinamento estruturado;
- Cultura de responsabilidade compartilhada.
A dependência excessiva de pessoas é risco estratégico.
5. Matriz de risco: Instrumento técnico de governança
A matriz de risco deve ser estruturada com critérios objetivos:
- Descrição clara do evento;
- Base normativa relacionada;
- Classificação do risco;
- Probabilidade estimada;
- Impacto financeiro e reputacional;
- Grau de criticidade;
- Medidas preventivas;
- Plano de contingência;
- Responsável;
- Indicador de acompanhamento.
Sem atualização periódica, a matriz perde eficácia.
Gestão de risco é processo contínuo.
6. Níveis de maturidade em Legal Operations
Podemos identificar quatro estágios:
Reativo - Atua após ocorrência do dano.
Formalizado - Possui controles documentais fragmentados.
Integrado - Risco incorporado ao planejamento estratégico.
Estratégico - Análise preditiva, dashboards executivos e reporte à alta administração.
A diferença entre eles é previsibilidade.
7. A provocação necessária
Legal Operations não é estética organizacional.
Não é dashboard bonito.
Não é planilha sofisticada.
Não é software caro.
É estrutura.
E estrutura sem gestão de riscos é fragilidade institucional.
Departamentos jurídicos maduros:
- Antecipam cenários;
- Estruturam contingências;
- Monitoram indicadores;
- Reportam riscos com transparência;
- Ajustam estratégia com base em dados.
A pergunta final é inevitável:
Seu jurídico administra riscos com método ou apenas administra crises com discurso?
Porque maturidade não se declara.
Se demonstra na previsibilidade, na governança e na responsabilidade institucional.
E previsibilidade, hoje, é o verdadeiro ativo estratégico do jurídico contemporâneo.
_______
Referências
BRASIL. Código Civil. Lei nº 10.406, de 10 de janeiro de 2002. Diário Oficial da União: Brasília, DF, 11 jan. 2002.
BRASIL. Lei das Sociedades por Ações. Lei nº 6.404, de 15 de dezembro de 1976. Diário Oficial da União: Brasília, DF, 17 dez. 1976.
BRASIL. Lei Anticorrupção Empresarial. Lei nº 12.846, de 1º de agosto de 2013. Diário Oficial da União: Brasília, DF, 2 ago. 2013.
BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD). Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial da União: Brasília, DF, 15 ago. 2018.
BRASIL. Estatuto da Advocacia e da OAB. Lei nº 8.906, de 4 de julho de 1994. Diário Oficial da União: Brasília, DF, 5 jul. 1994.
Corporate Legal Operations Consortium. Core 12 Competencies Framework. Disponível em: https://cloc.org. Acesso em: [inserir data].
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO). ISO 31000:2018 – Risk Management – Guidelines. Geneva: ISO, 2018.
IBGC – INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Código das Melhores Práticas de Governança Corporativa. 6. ed. São Paulo: IBGC, 2023.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO 37301:2021 – Sistemas de gestão de compliance. Rio de Janeiro: ABNT, 2021.
CARVALHOSA, Modesto. Comentários à Lei de Sociedades Anônimas. 6. ed. São Paulo: Saraiva, 2014.