Gestão de riscos como expressão de maturidade em legal operations

1. Introdução: o jurídico entre a técnica e a governança

A advocacia brasileira sempre se destacou pela excelência técnica. Contudo, o cenário contemporâneo exige algo além da técnica: exige estrutura.

Departamentos jurídicos e escritórios que operam apenas com base na expertise individual de seus profissionais já não atendem às demandas de um ambiente regulatório complexo, financeiramente sensível e reputacionalmente exposto.

O jurídico moderno não é apenas executor de litígios. É guardião institucional de riscos.

É nesse contexto que a gestão de riscos se revela como expressão concreta de maturidade em Legal Operations.

Não se trata de importar modelos corporativos de maneira acríti1. Introdução: o jurídico entre a técnica e a governança

A advocacia brasileira sempre se destacou pela excelência técnica. Contudo, o cenário contemporâneo exige algo além da técnica: exige estrutura.

Departamentos jurídicos e escritórios que operam apenas com base na expertise individual de seus profissionais já não atendem às demandas de um ambiente regulatório complexo, financeiramente sensível e reputacionalmente exposto.

O jurídico moderno não é apenas executor de litígios. É guardião institucional de riscos.

É nesse contexto que a gestão de riscos se revela como expressão concreta de maturidade em Legal Operations.

Não se trata de importar modelos corporativos de maneira acrítica. Trata-se de compreender que previsibilidade, governança e controle são hoje exigências jurídicas, não meras escolhas gerenciais.

E maturidade, nesse cenário, não é discurso. É método.

2. Fundamentos jurídicos da gestão de riscos

A gestão de riscos encontra respaldo em fundamentos normativos sólidos do ordenamento jurídico brasileiro.

2.1 Dever de diligência e boa-fé objetiva

O art. 422 do CC impõe às partes o dever de observar a boa-fé objetiva na formação e execução dos contratos. A boa-fé, como cláusula geral, exige comportamento previsível, cooperativo e diligente.

No âmbito organizacional, a ausência de controles mínimos para prevenir falhas previsíveis pode representar violação indireta desse dever.

A previsibilidade é elemento estruturante da boa-fé.

2.2 Responsabilidade dos administradores

A lei 6.404/76 (lei das sociedades por ações), especialmente nos arts. 153 e 158, estabelece o dever de diligência dos administradores e sua responsabilização por atos praticados com culpa.

Um departamento jurídico que não mapeia contingências relevantes, que não estrutura provisões adequadas ou que não alerta a administração sobre riscos regulatórios relevantes compromete a governança corporativa.

A gestão de riscos, portanto, não é apenas ferramenta interna: é instrumento de proteção institucional.

2.3 Lei anticorrupção e compliance

A lei 12.846/13 exige programas efetivos de integridade. O decreto 11.129/22 reforça a necessidade de mecanismos de monitoramento e mitigação de riscos.

Não existe compliance efetivo sem matriz de risco estruturada.

Logo, o jurídico que não opera sob lógica de risco compromete a própria eficácia do programa de integridade.

2.4 LGPD e governança informacional

A lei 13.709/18 (Dispõe sobre a proteção de dados pessoais) impõe medidas técnicas e administrativas aptas a proteger dados pessoais.

A governança da informação é, hoje, dimensão essencial da gestão de riscos jurídicos.

Falhas nessa esfera podem gerar sanções administrativas, responsabilidade civil e danos reputacionais de difícil reversão.

3. Risco jurídico: Conceito ampliado

Tradicionalmente, risco jurídico era associado à probabilidade de condenação judicial. Essa visão é insuficiente.

Risco jurídico contemporâneo abrange:

• Exposição financeira não provisionada;
• Inconsistência contratual;
• Perda de prazo por falha sistêmica;
• Não conformidade regulatória;
• Vulnerabilidade tecnológica;
• Dependência excessiva de conhecimento individual;
• Dano reputacional.

Sob perspectiva metodológica, risco é a combinação entre probabilidade de ocorrência e impacto potencial.

Departamentos maduros classificam riscos por grau de criticidade e estruturam respostas proporcionais.

Departamentos imaturos reagem após o dano.

4. As Core 12 Competencies do CLOC como estrutura de maturidade

O CLOC estrutura Legal Operations a partir de competências integradas. A gestão de riscos permeia diversas delas.

4.1 Strategic planning: Risco como premissa estratégica

Planejamento estratégico jurídico não pode ignorar cenários adversos.

A competência Strategic Planning pressupõe:

• Alinhamento com objetivos corporativos;
• Definição de metas mensuráveis;
• Análise prospectiva de contingências;
• Planejamento orçamentário baseado em cenários.

Planejar sem mapear risco é projetar apenas o melhor cenário.

Maturidade exige considerar também o pior.

4.2 Financial Management: Provisão como instrumento técnico

A gestão financeira jurídica deve observar critérios técnicos.

O CPC 25 exige estimativas confiáveis para provisões. Isso demanda:

• Base histórica de decisões;
• Classificação de probabilidade de perda;
• Tendência jurisprudencial;
• Revisão periódica.

Provisão baseada em percepção subjetiva compromete governança e distorce decisões estratégicas.

O risco financeiro mal estimado afeta diretamente o planejamento empresarial.

4.3 Data Analytics: O risco objetivado

A competência Data Analytics consolida a necessidade de decisões baseadas em evidências.

Indicadores essenciais incluem:

• Índice de êxito por matéria;
• Valor médio de condenação;
• Tempo médio de tramitação;
• Custo médio por processo;
• Taxa de cumprimento de prazos;
• Índice de retrabalho.

O que não é mensurado não é gerenciado.

E o que não é gerenciado se transforma em crise.

4.4 Technology: Mitigação estrutural de falhas humanas

A tecnologia reduz vulnerabilidades operacionais.

Workflows automatizados, controle eletrônico de prazos e integração de dados diminuem a incidência de falhas humanas previsíveis.

Planilhas paralelas e controles manuais são, hoje, fatores de risco.

Maturidade tecnológica não é aquisição de software: é integração sistêmica.

4.5 Vendor Management: Risco compartilhado não é risco transferido

A contratação de escritórios externos e consultorias não elimina responsabilidade institucional.

A gestão madura exige:

• SLA formal;
• Indicadores de desempenho;
• Monitoramento periódico;
• Cláusulas contratuais de compliance;
• Avaliação de custo-benefício.

Terceirizar não é terceirizar o risco.

4.6 Information Governance: Risco informacional como prioridade estratégica

A governança da informação envolve:

• Política de retenção documental;
• Controle de acessos;
• Registro de operações;
• Auditoria de segurança.

Em ambiente regulado, falhas informacionais geram consequências jurídicas relevantes.

4.7 Organizational Health: O risco invisível

Risco humano é frequentemente negligenciado.

Burnout, concentração de conhecimento e ausência de plano de sucessão comprometem continuidade operacional.

A maturidade organizacional exige:

• Manualização de processos;
• Distribuição equilibrada de demandas;
• Treinamento estruturado;
• Cultura de responsabilidade compartilhada.

A dependência excessiva de pessoas é risco estratégico.

5. Matriz de risco: Instrumento técnico de governança

A matriz de risco deve ser estruturada com critérios objetivos:

1. Descrição clara do evento;
2. Base normativa relacionada;
3. Classificação do risco;
4. Probabilidade estimada;
5. Impacto financeiro e reputacional;
6. Grau de criticidade;
7. Medidas preventivas;
8. Plano de contingência;
9. Responsável;
10. Indicador de acompanhamento.

Sem atualização periódica, a matriz perde eficácia.

Gestão de risco é processo contínuo.

6. Níveis de maturidade em Legal Operations

Podemos identificar quatro estágios:

Reativo - Atua após ocorrência do dano.

Formalizado - Possui controles documentais fragmentados.

Integrado - Risco incorporado ao planejamento estratégico.

Estratégico - Análise preditiva, dashboards executivos e reporte à alta administração.

A diferença entre eles é previsibilidade.

7. A provocação necessária

Legal Operations não é estética organizacional.

Não é dashboard bonito.

Não é planilha sofisticada.

Não é software caro.

É estrutura.

E estrutura sem gestão de riscos é fragilidade institucional.

Departamentos jurídicos maduros:

• Antecipam cenários;
• Estruturam contingências;
• Monitoram indicadores;
• Reportam riscos com transparência;
• Ajustam estratégia com base em dados.

A pergunta final é inevitável:

Seu jurídico administra riscos com método ou apenas administra crises com discurso?

Porque maturidade não se declara.

Se demonstra na previsibilidade, na governança e na responsabilidade institucional.

E previsibilidade, hoje, é o verdadeiro ativo estratégico do jurídico contemporâneo.

_______

Referências

BRASIL. Código Civil. Lei nº 10.406, de 10 de janeiro de 2002. Diário Oficial da União: Brasília, DF, 11 jan. 2002.

BRASIL. Lei das Sociedades por Ações. Lei nº 6.404, de 15 de dezembro de 1976. Diário Oficial da União: Brasília, DF, 17 dez. 1976.

BRASIL. Lei Anticorrupção Empresarial. Lei nº 12.846, de 1º de agosto de 2013. Diário Oficial da União: Brasília, DF, 2 ago. 2013.

BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD). Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial da União: Brasília, DF, 15 ago. 2018.

BRASIL. Estatuto da Advocacia e da OAB. Lei nº 8.906, de 4 de julho de 1994. Diário Oficial da União: Brasília, DF, 5 jul. 1994.

Corporate Legal Operations Consortium. Core 12 Competencies Framework. Disponível em: https://cloc.org. Acesso em: [inserir data].

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO). ISO 31000:2018 – Risk Management – Guidelines. Geneva: ISO, 2018.

IBGC – INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Código das Melhores Práticas de Governança Corporativa. 6. ed. São Paulo: IBGC, 2023.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR ISO 37301:2021 – Sistemas de gestão de compliance. Rio de Janeiro: ABNT, 2021.

CARVALHOSA, Modesto. Comentários à Lei de Sociedades Anônimas. 6. ed. São Paulo: Saraiva, 2014.