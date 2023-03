Foto: arquivo pessoal.

Gabriel Barroso Fortes, Advogado e Consultor em Proteção de Dados. Sócio do Escritório Fortes Nasar Advogados. Pós-Graduado em Direito Digital e Compliance. Mestre em Direito Constitucional (Unifor). MBA em Liderança Estratégica e Gestão Financeira. CPC-PD ©

Popularmente, costuma-se dizer que empreender é correr riscos. De fato, poucas frases feitas são tão acertadas sobre a atividade empresarial como esta. Mas a perspectiva dessa afirmativa vai muito além da ideia de que o risco do empreendimento esteja na possibilidade de perder o seu dinheiro em um negócio que talvez não dê certo.

A verdade é que, em suas operações diárias, toda organização corre inúmeros riscos. A boa notícia é que, igualmente, toda organização realiza a gestão dos riscos que corre. A má notícia, porém, é que a maioria não o faz de forma estruturada ou propositiva - ou sequer de maneira consciente. Por isso é importante discutir-se, cada vez mais, sobre modelos de gestão de riscos corporativos - ou, na sua matriz internacional, a expressão "Enterprise Risk Management", conhecida no mercado pela sigla ERM.

O intuito da ERM é integrar políticas, procedimentos e controles, visando a implantação de mecanismos de gerenciamento dos riscos do negócio. E o que se espera com isso? Aumentar a eficiência da empresa, provendo segurança para viabilizar os processos, projetos e iniciativas, de modo a minimizar perdas e maximizar o resultado.

O problema é que esse tipo de proposição só funciona se o empreendedor compreender que absolutamente tudo dentro da organização precisa ser alvo desse gerenciamento, ou seja, a estrutura da ERM precisa se alastrar por toda a empresa. Afinal, é necessário termos em conta que, assim como os objetivos de toda organização cobrem várias atividades, os respectivos riscos precisam ser devidamente gerenciados.

Um sintoma da ausência de adequada gestão de riscos corporativos é o caso de empresas em que cada área, divisão ou unidade lida com sua própria realidade, com seus dados, suas métricas e critérios, o que não permite o gerenciamento integrado dos riscos da organização.

Enfim, o objetivo da ERM é não apenas preservar, mas agregar valor aos processos de negócio, pois a gestão de riscos adequada permite que a empresa execute suas operações e projetos de maneira segura, assertiva e lucrativa, desde que tenha identificado, avaliado e tratado os riscos envolvidos.

E por onde começar? Como implementar práticas de ERM? O preceito inicial é nunca acreditar que o risco não existe. Parece óbvio, mas ainda é comum vermos alguns empreendedores menosprezando essa realidade.

Mas, afinal de contas, de que riscos estamos falando? Aliás, o que, efetivamente, são os "riscos", no contexto empresarial? Existem algumas definições técnicas.

Riscos podem ser vistos como os efeitos da incerteza sobre os objetivos [1], ou como a possibilidade de que dado evento ocorra e impacte a estratégia do negócio [2]. Dentre outras conceituações, podemos ver que a gestão de riscos tem a ver com a prevenção de problemas relevantes. E prever não quer dizer necessariamente evitar o risco, mas saber administrá-lo.

O gerenciamento dos riscos corporativos (ERM), para ser eficiente, deve levar em conta todas as estratégias, táticas e operações da empresa, como finanças, marketing, recrutamento, contabilidade, tecnologia e, claro, a área jurídica - principalmente, neste último caso, quando a organização está sujeita à regulação legal ou mesmo às questões contratuais com parceiros, clientes, fornecedores, entre outros. É o que acontece perante a Lei Geral de Proteção de Dados (LGPD) com as suas obrigações e responsabilidades.

Conforme avança o fenômeno de "digitalização do mercado", onde as empresas passam a ocupar espaços online e a depender das Tecnologias de Informação e Comunicação (TIC) para existirem e operarem de maneira sustentável, torna-se necessário que os riscos atinentes ao meio digital integrem a gestão empresarial em nível estratégico.

É dizer se basicamente nenhum empreendimento consegue funcionar sem utilizar sites, softwares, redes sociais, aplicativos, servidores, serviços de nuvem, entre outros, as boas práticas de ERM devem necessariamente levar em conta os riscos digitais na gestão do negócio - riscos estes que aumentam, quando as informações administradas pelas empresas envolvem dados pessoais.

Assim, quanto mais departamentos e pessoas utilizam meios digitais para desempenhar as suas funções e, quanto mais dados pessoais são tratados nessas operações, cresce a necessidade de gerenciar, de maneira integrada, os riscos de segurança digital espalhados por toda a estrutura do negócio, principalmente para prevenir os riscos advindos da LGPD.

Afinal, a ERM deve entregar para a organização, dentre outras utilidades, a conformidade com leis e regulamentos, garantindo o gerenciamento dos riscos mais significativos.

Enfim, toda essa abordagem deixa ainda mais clara a necessidade de implementação de modelos de ERM perante a regulação estabelecida pela LGPD, uma vez que são incontáveis as atividades e, consequentemente, os riscos envolvendo dados de pessoas.

Notas

[1] Definição da normativa 31.000 da ISO - International Organization for Standardization, ou Organização Internacional para Padronização, entidade sem fins lucrativos voltada para a normatização e padronização em escala global, criada em 1947 em Genebra, na Suíça.

[2] COSO - Committee of Sponsoring Organizations of the Treadway Commission, organização privada, sem fins lucrativos, criada nos Estados Unidos, em 1985, para prevenir e evitar fraudes nos procedimentos e processos internos das empresas.