ABNT NBR ISO 31022 – Diretrizes
para a Gestão de Riscos Legais
Flavio Fleury de Souza Lima, CIEAC, CISI, CIGR
Especialista nas áreas de imposto sobre a renda, contribuição social sobre o lucro líquido, PIS e Cofins. Formado pelo CPOR/SP, é graduado em administração de empresas pelo Mackenzie e cursou direito na UNIP. Atualmente trabalha como Diretor Associado da Divisão de Risco Tributário na Brasiliano INTERISK
Março | 2022
A grande variedade da regulamentação legal a que estão expostas as empresas que operam no ambiente global resultou na necessidade de aprimoramento da gestão de riscos legais.
Os riscos legais estão relacionados a danos ou a qualquer perda incorrida em um negócio devido a negligência, em conformidade com as leis relacionadas ao negócio. Eles podem ser encontrados em qualquer fase do processo comercial. Pode haver erros em razão de falhas na interpretação das leis ou da não-apresentação de alguns documentos que precisam ser submetidos às autoridades que regulamentam um negócio específico.
A ABNT NBR ISO 31022 de 12/2020 - Gestão de Riscos Legais – é o conjunto de orientações para a gestão de riscos legais que estabelece diretrizes para a gestão específica desses riscos, constituindo-se em um documento complementar à NBR ISO 31000 que estabelece uma estrutura genérica para todos os tipos de riscos, conforme apresentado na figura abaixo:
Os oito princípios encontram-se descritos no contexto da gestão de riscos legais. Adicionalmente, para a gestão desses riscos, é conveniente que o princípio da equidade também seja considerado.
A gestão de riscos legais integra a governança global da organização. As atividades do processo de gestão desses riscos devem ser incorporadas ao planejamento estratégico, às tomadas de decisões de negócios e aos processos de gestão da organização.
A integração da gestão de riscos legais nos processos e atividades organizacionais, papéis e responsabilidades apropriados deve ser estabelecida dentro da organização e deve ser integrada a outros sistemas de gestão, como compliance, segurança, qualidade e controles internos. Ao avaliar os riscos legais e considerar as opções de tratamento, é conveniente que especialistas no assunto sejam consultados em conjunto com outros peritos ou especialistas.
No processo genérico de gestão de riscos, é importante avaliar os riscos legais da organização, dentro de um contexto apropriado, para que uma abordagem abrangente e pertinente à gestão desses riscos possa ser adotada.
A gestão de riscos legais em uma organização deve ser personalizada para refletir as diferenças do contexto externo, que inclui o contexto legal e regulatório e as características do setor, bem como o contexto interno da organização, incluindo a natureza da entidade legal, objetivos e valores da organização.
A organização deve ter um entendimento detalhado da aplicabilidade, impacto e consequências da falha em cumprir leis pertinentes, e processos para assegurar que leis novas ou atualizações aplicáveis sejam adequadamente identificadas, interpretadas e avaliadas em relação ao impacto. A organização deve minimizar a complexidade e o custo dos procedimentos legais e as consequências negativas dos riscos legais.
As organizações podem buscar ativamente oportunidades para evitar disputas ou litígios, tomando medidas para tratar riscos legais antes que um evento adverso possa ocorrer e buscando chegar a acordos que equilibrem custos, objetivos comerciais, reputação e tempo investido pela organização. Ao envolver todas as partes interessadas na gestão de riscos legais, uma organização pode mitigar eventos adversos, aí incluindo a aplicação regulatória.
A organização deve tomar cuidado para assegurar que privilégios legais (ou qualquer outra forma equivalente de proteção na jurisdição pertinente) sejam mantidos na medida do possível e que a confidencialidade seja mantida, mas, em todos os casos, essas proteções precisam ser avaliadas em relação aos benefícios da inclusão.
É importante, também, que a organização faça o monitoramento das mudanças nas leis e políticas públicas, no contexto em que opera, e que estabeleça indicadores apropriados de alerta precoce.
A gestão eficaz de riscos legais, além da experiência de consultores jurídicos internos, quando existentes, deve se utilizar da inteligência de negócios, análise de negócios, bancos de dados e sistemas jurídicos (incluindo gestão de casos), ferramentas e serviços de gestão de arquivos eletrônicos e know-how fornecido por leis externas às empresas, prestadores de serviços e consultores.
Se for tomado em consideração que as partes interessadas possam ter conhecimentos, expectativas e visões diferentes em relação aos riscos legais e que essas visões possam ser emocionalmente, socialmente, culturalmente e politicamente construídas e percebidas, convém que a organização desenvolva mecanismos formais e informais para ajudar a assegurar que fatores humanos e culturais não resultem inadvertidamente em riscos legais.
As organizações devem procurar incentivar a realização, os benefícios e as oportunidades da gestão dos riscos legais. Todo membro da organização deve estar ciente de como cada ação ou omissão afeta tais riscos. É conveniente que a organização considere e aja de acordo com as lições aprendidas, publique análises críticas de transações, melhores práticas, aconselhamento profissional de advogados internos e externos e alterações aplicáveis na lei.
Para os tomadores de decisão, o estabelecimento do princípio da equidade orienta a gestão de riscos legais, inclui a gestão de conflitos de interesses e fornece uma voz imparcial e independente na tomada de decisões, além de apoiar a due diligence e imparcialidade para os melhores interesses de uma organização.
A gestão de riscos legais é repetitiva e deve ser integrada em todas as atividades e operações da organização. Este diagrama foi desenvolvido para complementar a ABNT NBR ISSO 31000:2018
A organização deve considerar os contextos externo e interno.
O contexto externo dos riscos legais se refere a fatores que estão fora da organização, mas relacionados à gestão de riscos legais.
Para se examinar e entender o contexto externo de riscos legais para organizações que operam em várias jurisdições, é preciso que as diferenças ambientais e culturais entre diferentes jurisdições sejam consideradas. Deve-se observar a aplicação extraterritorial das leis nacionais, qual lei da jurisdição se aplica a uma determinada situação e a identificação da jurisdição aplicável.
O contexto interno dos riscos legais concentra-se no controle ou se sujeita à autoridade de uma organização por meio de seus sistemas de governança e gestão. Isto inclui, dentre outros:
· a natureza da pessoa jurídica;
· a saúde financeira organizacional, seu modelo de negócios e a estrutura jurídica interna da organização, processos e funções;
· a governança da organização e suas estruturas de valor que promovem a integridade, como código de conduta e outras diretrizes de compliance;
· o atual estado das questões e assuntos legais e sua abordagem para a gestão de riscos legais;
· a experiência passada e histórico de disputas ou eventos legais desencadeados por risco legal na organização;
· os ativos que a organização possui, como propriedade intelectual e outros direitos legais para ativos tangíveis e intangíveis usados em processos e atividades;
· o efeito de direitos e deveres sob contrato; obrigações relacionadas ao dever de cuidar; a negligência e efeitos desencadeadores de indenizações, garantias e cláusulas de não confiança em contratos;
· os passivos decorrentes de questões trabalhistas, ambientais, tributárias e outras, decorrentes de fusões, aquisições e alienações; a política interna de gestão de riscos legais;
· outras informações e recursos relacionados aos riscos legais e sua gestão.
A norma ABNT NBR ISO 31022 define ainda que as organizações considerem critérios de riscos legais. O estabelecimento desses critérios é orientado por processos e requer que tais riscos sejam caracterizados e, posteriormente, medidos para que possam ser quantificados e o tratamento de risco apropriado aplicado.
A probabilidade de eventos relacionados a riscos legais pode envolver fatores como:
· a gama de leis, práticas e convenções de execução pelas autoridades reguladoras pertinentes;
· a melhoria e o compliance da estrutura existente para a gestão de riscos legais, incluindo estratégias, governança, regras internas e políticas; as demonstrações de compliance com as leis e as regras e políticas da organização por parte dos funcionários e contratados;
· a frequência e o número de atividades relacionadas aos riscos legais que ocorrem dentro de um determinado período;
· a falha em registrar, analisar e aprender com eventos anteriores; o benchmarking da frequência e o número de atividades relacionadas a riscos legais que ocorrem em um certo período em relação a outras organizações.
A gestão de risco legal requer, ainda, uma abordagem estruturada para avaliar riscos legais dentro do contexto de uma organização. Por meio da adaptação de técnicas adequadas de gestão de riscos, uma organização pode identificar proativamente os riscos legais e então reduzir, eliminar ou reconfigurar seus processos para minimizar a exposição a eles.
A matriz de identificação de riscos legais (MIRL) é uma abordagem para organizar os riscos legais identificados e coletados como eventos de diferentes tipos através de áreas/unidades/atividades de negócios. Ao considerar as várias áreas/ unidades /atividades de negócios envolvidas, a MIRL conecta os riscos legais de vários tipos às operações da organização. Em uma MIRL, todos os eventos de riscos legais identificados são categorizados em diferentes tipos.
Estes diferentes tipos de riscos legais podem ocorrer em diferentes de áreas de negócios e ter diferentes causas e características. A MIRL ajuda a compreender, sistematicamente, todos os riscos legais da organização.
A tabela abaixo (Anexo A da norma) fornece um exemplo de MIRL que categoriza os riscos legais dentro de seis diferentes tipos e inclui uma breve explanação das diferentes categorias.
Para que a categorização dos riscos legais seja útil, é importante reconhecer que as categorias podem não ser mutuamente exclusivas e que uma simples atividade de negócio pode gerar riscos legais que se enquadram em uma ou mais categorias.
O Anexo B nos fornece um exemplo de registro legal que é uma compilação de possíveis ocorrências de eventos de riscos legais com as leis correspondentes, possíveis resultados e consequências.
No Anexo C temos as orientações adicionais sobre como estimar a probabilidade de eventos relacionados a riscos legais.
O Anexo D demonstra a consequência financeira, regulatória, de reputação, geográfica e organizacional dos riscos legais.
E, por fim, o Anexo E fornece um breve resumo das principais cláusulas a serem consideradas ao analisar criticamente um contrato com a finalidade de minimizar os riscos legais.
Dentro de cada categoria de riscos legais pode haver bandeiras vermelhas - podem incluir jurisdições onde há falta de um estado de direito em pleno funcionamento ou instabilidade política; as condições que requerem que o fornecedor proveja uma indenização contratual devido ao extremo dever de cuidado requerido; e os produtos perigosos ou condições perigosas de desempenho - que devem ser identificadas e escaladas dentro da estrutura de governança organizacional a fim de que elas sejam tratadas adequadamente.