NBRISO31022

Documento impresso em 17/02/2021 17:10:35, de uso exclusivo de FUNDACAO UNIVERSIDADE DE BRASILIA
NORMA ABNT NBR

BRASILEIRA ISO
31022
Primeira edição
18.12.2020
Gestão de riscos — Diretrizes para a gestão de

riscos legais
Risk management — Guidelines for the management of legal risk
ICS 03.100.01
Número de referência
ABNT NBR ISO 31022:2020
37 páginas
© ISO 2020 - © ABNT 2020


© ISO 2020
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT, único representante da ISO no território brasileiro.
© ABNT 2020
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT.
ABNT
Av.Treze de Maio, 13 - 28º andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 3974-2346
abnt@abnt.org.br
www.abnt.org.br
ii © ISO 2020 - © ABNT 2020 - Todos os direitos reservados

Sumário Página
Prefácio Nacional.................................................................................................................................v
Introdução............................................................................................................................................vi
1 Escopo.................................................................................................................................1
2 Referência normativa..........................................................................................................1
3 Termos e definições............................................................................................................1
4 Princípios.............................................................................................................................2
5 Processo de gestão de riscos legais................................................................................4
5.1 Generalidades......................................................................................................................4
5.2 Estabelecendo o contexto e o critério pertinentes..........................................................5
5.2.1 Generalidades......................................................................................................................5
5.2.2 Contexto externo dos riscos legais...................................................................................5
5.2.3 Contexto interno dos riscos legais...................................................................................6
5.2.4 Definindo os critérios de riscos legais.............................................................................7
5.3 Processo de avaliação de riscos legais............................................................................8
5.3.1 Generalidades......................................................................................................................8
5.3.2 Identificação de riscos legais............................................................................................8
5.3.3 Análise de riscos legais.................................................................................................... 11
5.3.4 Avaliação de riscos legais................................................................................................12
5.4 Tratamento de riscos legais.............................................................................................13
5.4.1 Generalidades....................................................................................................................13
5.4.2 Escolhendo opções para o tratamento de riscos legais...............................................13
5.4.3 Avaliação das práticas vigentes para o tratamento de riscos legais...........................14
5.4.4 Desenvolvimento e implementação do plano de tratamento de risco.........................14
5.5 Mecanismos de comunicação (interna e externa), consulta e relato para gestão de
riscos legais.......................................................................................................................15
5.5.1 Generalidades....................................................................................................................15
5.5.2 Comunicação, consulta e aprendizado...........................................................................16
5.5.3 Monitoramento e análise crítica.......................................................................................16
5.5.4 Registro e relato................................................................................................................17
6 Implementação da gestão de riscos legais....................................................................17
6.1 Generalidades....................................................................................................................17
6.2 Política de gestão de riscos legais..................................................................................17
6.3 Papéis e funções para a gestão de riscos legais...........................................................17
6.4 Integração da gestão de riscos legais............................................................................19
6.5 Alocação de recursos para a gestão de riscos legais...................................................19
6.6 Conscientização dos riscos legais..................................................................................19
Anexo A (informativo) Exemplo de um método para identificação de riscos legais —
Matriz de identificação de riscos legais (MIRL)..............................................................20
Anexo B (informativo) Exemplo de um registro de risco legal........................................................22
Anexo C (informativo) Exemplo para estimar a probabilidade de eventos relacionados
a riscos legais....................................................................................................................24
© ISO 2020 - © ABNT 2020 - Todos os direitos reservados iii

Anexo D (informativo) Estimativa das consequências de eventos relacionados a riscos

legais..................................................................................................................................27
Anexo E (informativo) Cláusulas-chave a serem consideradas ao analisar criticamente
contratos............................................................................................................................29
Bibliografia..........................................................................................................................................37
Figuras
Figura 1 – Princípios............................................................................................................................3
Figura 2 – Processo de gestão de riscos legais...............................................................................5
Tabelas
Tabela A.1 — Exemplo de uma MIRL................................................................................................21
Tabela B.1 – Exemplo de um registro de risco legal.......................................................................22
Tabela B.2 – Assessoria jurídica recebida, análise e decisão quantitativa/qualitativa...............22
Tabela B.3 – Exemplos de perguntas para entrevistas estruturadas............................................23
Tabela C.1 – Avaliando a probabilidade de um evento de risco legal...........................................24
Tabela D.1 – Exemplo de análise da consequência de riscos legais............................................27
Tabela E.1 – Cláusulas-chave a serem consideradas para minimizar riscos legais....................29
iv © ISO 2020 - © ABNT 2020 - Todos os direitos reservados

Prefácio Nacional
A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas

Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos
de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais (ABNT/CEE), são
elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas no tema objeto
da normalização.
Os Documentos Técnicos internacionais adotados são elaborados conforme as regras da

ABNT Diretiva 3.
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais direitos
de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados à ABNT
a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Os Documentos Técnicos ABNT, assim como as Normas Internacionais (ISO e IEC), são voluntários
e não incluem requisitos contratuais, legais ou estatutários. Os Documentos Técnicos ABNT não
substituem Leis, Decretos ou Regulamentos, aos quais os usuários devem atender, tendo precedência
sobre qualquer Documento Técnico ABNT.
Ressalta-se que os Documentos Técnicos ABNT podem ser objeto de citação em Regulamentos
Técnicos. Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar as
datas para exigência dos requisitos de quaisquer Documentos Técnicos ABNT.
A ABNT NBR ISO 31022 foi elaborada pela Comissão de Estudo Especial de Gestão de Riscos
(ABNT/CEE-063). O Projeto circulou em Consulta Nacional conforme Edital nº 11, de 05.11.2020
a 07.12.2020.
A ABNT NBR ISO 31022 é uma adoção idêntica, em conteúdo técnico, estrutura e redação,
à ISO 31022:2020, que foi elaborada pelo Technical Committee Risk Management (ISO/TC 262).
O Escopo em inglês da ABNT NBR ISO 31022 é o seguinte:
Scope
This document provides additional guidelines on managing the specific challenges of legal risk faced
by organizations, as a complementary standard to ABNT NBR ISO 31000. The application of these
guidelines can be customized to any organization and its context.
This document provides a common approach to the management of legal risk and is not industry or
sector-specific.
© ISO 2020 - © ABNT 2020 - Todos os direitos reservados v

Introdução
Organizações operam em um ambiente complexo com uma variedade de riscos legais. Não é apenas
requerido que organizações cumpram as leis dentro de todos os países em que operam, os requisitos
regulamentares e legais podem variar entre diferentes países, fortalecendo a necessidade de
a organização ter confiança e compreensão em seus processos. As organizações precisam estar
alinhadas com as alterações legais e regulamentares, e analisar criticamente suas necessidades
à medida que novas atividades e operações são desenvolvidas. As organizações enfrentam
considerável incerteza ao tomar decisões e ações que podem ter consequências legais significativas.
A gestão de riscos legais ajuda as organizações a proteger e a aumentar seu valor.
Este documento fornece orientações sobre as atividades a serem realizadas para apoiar as
organizações a gerenciar riscos legais de maneira eficiente e econômica para atender às expectativas
de uma ampla gama de partes interessadas. Ao desenvolver uma compreensão contínua dos contextos
legais interno e externo, as organizações podem estar aptas a desenvolver novas oportunidades ou
melhorar o desempenho operacional. No entanto, o não atendimento dos requisitos e expectativas
das partes interessadas pode ter consequências negativas consideráveis e imediatas que podem
afetar o desempenho, a reputação e poderia levar a Alta Direção a um processo criminal.
A ABNT NBR ISO 31000 fornece uma estrutura genérica para a gestão de todos os tipos de riscos,
incluindo riscos legais. Este documento está alinhado com a ABNT NBR ISO 31000 e fornece diretrizes
mais específicas aplicáveis à gestão de riscos legais . O objetivo deste documento é desenvolver um
entendimento melhorado da gestão de riscos legais enfrentados por uma organização que aplica os
princípios da ABNT NBR ISO 31000. Estas diretrizes tem o objetivo de ajudar as organizações e a Alta
Direção a:
— alcançar os resultados e objetivos estratégicos da organização;
— incentivar uma abordagem mais sistemática e consistente da gestão de riscos legais, e identificar
e analisar uma ampla gama de questões de maneira que os riscos legais sejam proativamente
tratados com os recursos apropriados e apoiados pela Alta Direção e pelo nível adequado de
conhecimento;
— entender e avaliar melhor a extensão e as consequências de questões e riscos legais e exercer

a due diligence apropriada;
— identificar, analisar e avaliar questões legais e fornecer uma maneira sistemática de tomar
decisões informadas;
— aumentar e incentivar constantemente;
— a identificação das oportunidades de melhoria contínua.
Convém observar que o risco legal dentro deste documento é amplamente definido e não está limitado
a, por exemplo, riscos relacionados com a compliance ou questões contratuais. Inclui isso, mas o risco
legal é deliberadamente definido para incluir também riscos de ou para terceiros, onde pode não haver
relação contratual, mas onde pode haver uma possibilidade de litígio ou outra ação, dependendo das
obrigações contratuais destas terceiras partes com suas partes interessadas.
Este documento:
— fornece orientações para a gestão de riscos legais para que ele se alinhe às atividades de compliance
e fornece a garantia necessária para atender às obrigações e aos objetivos da organização;
vi © ISO 2020 - © ABNT 2020 - Todos os direitos reservados

— pode ser usado por organizações de todos os tipos e tamanhos para oferecer uma abordagem
mais estruturada e consistente à gestão de riscos legais em benefício da organização e de suas
partes interessadas em todos os processos.
— oferece uma abordagem de gestão integrada à identificação, antecipação e gestão de riscos

legais;
— apoia e complementa as abordagens existentes, aprimorando-as fornecendo melhores

informações e insights sobre possíveis questões que a organização possa enfrentar;
— apoia qualquer procedimento de compliance, que as organizações podem ter implementado,

tal como compliance ou outro sistema de gestão;
— apoia a função de compliance, identificando de maneira mais ampla os aspectos legais e

contratuais dos direitos e deveres da organização.
Este documento está destinado para que as organizações que o aplicam se beneficiem de melhores
resultados comerciais e operacionais como na melhoria de reputação, melhor retenção de funcioná-
rios, relacionamentos aprimorados com as partes interessadas e maiores sinergias entre recursos
e capacidades.
Embora este documento se destine a ser usado como parte da estrutura ABNT NBR ISO 31000, convém
observar que a estrutura da ABNT NBR ISO 31000 pode ser usada tanto de forma independente como
com outros sistemas de gestão.
Este documento não se destina a:
— ser um substituto para os proprietários de riscos que buscam aconselhamento jurídico especializado
(interno ou externo)
— aplicar-se ao processo de elaboração ou no lobby de novas leis ou mudanças nas leis existentes.
Convém que todas as referências às palavras “inclusão” e “incluindo” sejam interpretadas como
“incluindo, sem limitação”.
© ISO 2020 - © ABNT 2020 - Todos os direitos reservados vii

Documento impresso em 17/02/2021 17:10:35, de uso exclusivo de FUNDACAO UNIVERSIDADE DE BRASILIA Documento impresso em 17/02/2021 17:10:35, de uso exclusivo de FUNDACAO UNIVERSIDADE DE BRASILIA
NORMA BRASILEIRA ABNT NBR ISO 31022:2020
Gestão de riscos — Diretrizes para a gestão de riscos legais
1 Escopo
Este documento fornece diretrizes para a gestão dos desafios específicos de riscos legais enfrentados
pelas organizações, como um documento complementar à ABNT NBR ISO 31000. A aplicação destas
diretrizes pode ser personalizada para qualquer organização e seu contexto.
Este documento fornece uma abordagem comum para a gestão de riscos legais e não é específico
para uma indústria ou setor.
2 Referência normativa
O documento a seguir é citado no texto de tal forma que seus conteúdos, totais ou parciais, constituem
requisitos para este Documento. Para referências datadas, aplicam-se somente as edições citadas.
Para referências não datadas, aplicam-se as edições mais recentes do referido documento (incluindo
emendas).
ABNT NBR ISO 31000, Gestão de riscos – Diretrizes
3 Termos e definições
Para os efeitos deste documento, aplicam-se os termos, definições da ABNT NBR ISO 31000 e os
seguintes.
A ISO e a IEC mantêm bases de dados terminológicos para uso na padronização nos seguintes
endereços:
— ISO Plataforma de navegação online: disponível em https://www.iso.org/obp
— IEC Electropedia: disponível em http://www.electropedia.org/
3.1
risco
efeito da incerteza nos objetivos
Nota 1 de entrada: Um efeito é um desvio em relação ao esperado. Pode ser positivo, negativo ou ambos,
e pode abordar, criar ou resultar em oportunidades e ameaças.
Nota 2 de entrada: Objetivos podem possuir diferentes aspectos e categorias, e podem ser aplicados em
diferentes níveis.
[FONTE: ABNT NBR ISO 31000, 3.1, modificada – Nota 3 de entrada foi excluída.]
3.2
risco legal
risco (3.1) relacionado a questões legais, regulamentares e contratuais, e de direitos e obrigações
extracontratuais
© ISO 2020 - © ABNT 2020 - Todos os direitos reservados 1

Nota 1 de entrada: Questões legais podem ter origem em decisões políticas, lei (3.3) nacional ou internacional,
incluindo lei estatutária, jurisprudência ou direito comum, atos administrativos, ordens regulamentares,
julgamento e prêmios, regras processuais, memorandos de entendimento ou contratos.
Nota 2 de entrada: Questões contratuais se referem às situações em que a organização (3.4) falha em
cumprir suas obrigações contratuais, falha no cumprimento de seus direitos contratuais ou celebra contratos
com termos e condições onerosos, inadequados, injustos e/ou inexequíveis.
Nota 3 de entrada: Risco de direitos extracontratuais é o risco de a organização deixar de reivindicar seus
direitos extracontratuais. Por exemplo, a falha de uma organização em fazer valer seus direitos de propriedade
intelectual, como direitos relacionados a direitos autorais, marcas comerciais, patentes, segredos comerciais
e informações confidenciais contra terceiros.
Nota 4 de entrada: Risco de obrigações extracontratuais é o risco de que o comportamento e a tomada de

decisões da organização possam resultar em comportamento ilegal ou uma falha no dever de assistência
(ou dever civil) não legislativo para com terceiros. Por exemplo, uma organização infringir direitos de terceiros
na propriedade intelectual, uma falha para atender normas necessárias e/ou cuidados devidos a clientes
(como mis-selling), ou uso ou gestão de mídias sociais inadequados resultando em alegação por terceiros de
difamação ou calúnia e deveres tortuosos em geral.
3.3
lei
sistema de regras, princípios e práticas que uma região, país ou comunidade reconhece como
reguladora das ações de suas organizações (3.4)
Nota 1 de entrada: Leis podem incluir quaisquer:
— estatuto, regulamento, lei codificada, by-law, portaria, legislação subordinada.
— direito comum ou jurisprudência;
— ordem judicial, sentença ou decreto;
— código ou política industrial aplicável, obrigatórios por lei.
3.4
organização
pessoa ou grupo de pessoas com suas próprias funções, com responsabilidades, autoridades
e relações para atingir seus objetivos (3.9)
Nota 1 de entrada: O conceito de organização inclui, mas não é limitado a, empreendedor individual,
companhia, corporação, firma, empresa, autoridade, parceria, caridade ou instituição, ou parte ou combinação
destas, sejam elas incorporadas ou não, públicas ou privadas.
[FONTE: ISO 19600:2014, 3.2.1, modificada – Nota 1 de entrada foi modificada.]
4 Princípios
A gestão eficaz de riscos legais requer os valores e princípios introduzidos na ABNT NBR ISO 31000,
conforme apresentado na Figura 1
2 © ISO 2020 - © ABNT 2020 - Todos os direitos reservados

Melhoria Integrada
contínua
Fatores Estruturada
humanos e e
culturais Criação abrangente
de valor
Melhor e proteção
Informação
disponível Personalizada
Dinâmica Inclusiva
Figura 1 – Princípios
Estes oito elementos são descritos em a) a h) no contexto da gestão de riscos legais. Adicionalmente,
para a gestão do risco legal, convém que o princípio da “equidade” também seja considerado.
a) Integrada: A gestão de riscos legais é integrante para a governança global da organização. Convém
que as atividades do processo de gestão de riscos legais sejam incorporadas ao planejamento
estratégico, às tomadas de decisões de negócios, e aos processos de gestão da organização.
Para a integração da gestão de riscos legais nos processos e atividades organizacionais, convém
que papéis e responsabilidades apropriados sejam estabelecidos dentro da organização. Convém
que a gestão de riscos legais seja integrada a outros sistemas de gestão, como compliance,
segurança, qualidade e controles internos. Ao avaliar os riscos legais e considerar as opções de
tratamento, convém que os especialistas no assunto sejam consultados em conjunto com outros
peritos ou especialistas.
b) Estruturada e abrangente: Ao seguir o processo genérico de gestão de riscos, é importante avaliar
os riscos legais da organização, dentro de um contexto apropriado, para que uma abordagem
abrangente e consistente à gestão de riscos legais possa ser adotada.
c) Personalizada: Convém que a gestão de riscos legais em uma organização seja personalizada
para refletir as diferenças do contexto externo, que inclui o contexto legal e regulatório e as
características do setor, bem como o contexto interno da organização, incluindo a natureza da
entidade legal, objetivos e valores da organização.
Convém que a organização tenha um entendimento detalhado da aplicabilidade, impacto e

consequências da falha em cumprir leis pertinentes, e processos para assegurar que leis novas
ou atualizadas aplicáveis sejam adequadamente identificadas, avaliadas em relação ao impacto
e interpretadas.
Convém que a organização minimize a complexidade e o custo dos procedimentos legais. Convém
que a organização tente minimizar e gerenciar as consequências negativas de riscos legais.
As organizações podem buscar ativamente oportunidades para evitar disputas ou litígios, tomando
medidas para tratar riscos legais antes que um evento adverso ocorra, ou provavelmente ocorra,
ou tente chegar a um acordo de maneira que equilibre custos, objetivos comerciais, reputação e
tempo investido pela organização.

d) Inclusiva: Ao envolver todas as partes interessadas na gestão de riscos legais, uma organização
pode mitigar eventos adversos; incluindo aplicação regulatória. Convém que a organização tome
cuidado para assegurar que privilégios legais (ou sua forma equivalente de proteção na jurisdição
pertinente) sejam mantidos na medida do possível e que a confidencialidade seja mantida, mas,
em ambos os casos, essas proteções precisam ser avaliadas em relação aos benefícios da inclusão.
e) Dinâmica: É importante para uma organização monitorar mudanças nas leis e políticas públicas
e no contexto em que opera, e estabelecer indicadores apropriados de alerta precoce.
f) Melhor informação disponível: Para a gestão eficaz de riscos legais, além da experiência
de consultores jurídicos internos, se existentes, convém que inteligência de negócios, análise

de negócios, bancos de dados e sistemas jurídicos (incluindo gestão de casos), ferramentas
e serviços de gestão de arquivos eletrônicos e know-how fornecido por leis externas as empresas,
prestadores de serviços e consultores sejam utilizados.
g) Fatores humanos e culturais: Dado que as partes interessadas podem ter conhecimentos,
expectativas e visões diferentes em relação aos riscos legais e que essas visões podem ser
emocionalmente, socialmente, culturalmente e politicamente construídas e percebidas, convém
que a organização desenvolva mecanismos formais e informais para ajudar a assegurar que
fatores humanos e culturais não resultem adversamente em riscos legais. Convém que as
organizações também procurem incentivar a realização, os benefícios e as oportunidades da
gestão destes riscos. Convém que todo membro da organização esteja ciente de como cada ação
ou omissão afeta os riscos legais.
h) Melhoria contínua: Convém que a organização considere e aja de acordo com as lições aprendidas,
publique análises críticas de transações, melhores práticas, aconselhamento profissional de
advogados internos e externos e alterações aplicáveis na lei.
i) Equidade: Para os tomadores de decisão, o estabelecimento do princípio da equidade orienta

a gestão de riscos legais, inclui a gestão de conflitos de interesses e fornece uma voz imparcial
e independente nas decisões, além de apoiar a due diligence e imparcialidade para os melhores
interesses de uma organização.
NOTA Não existe um acordo comum em relação à definição de equidade. “Equidade” incorpora diferentes
ideias e conceitos, incluindo justiça, balanceamento justo e equalidade.
5 Processo de gestão de riscos legais

5.1 Generalidades
A gestão de riscos legais é iterativa e convém que seja integrada em todas as atividades e operações
da organização. O processo de gestão de riscos como aplicado para a gestão de riscos legais é
descrito nas Seções 5.2 a 5.8 a seguir e ilustrado na Figura 2. Este diagrama foi desenvolvido para
complementar a ABNT NBR ISO 31000:2018, Figura 4.

S
Estabelecendo o
contexto e o critério
pertinentes
(5.2)
Processo de
Comunicar,
avaliação de Identificar consultar

riscos legais e aprender
5.3
Probabilidade Analisar Consequências

Monitorar e
analisar
criticamente
Avaliar
Registrar
Tratamento de e relatar
riscos legais Escolher opções
(5.4)
Avaliar as
práticas atuais
Desenvolver plano Todas estas atividades

de tratamento são realizadas ao longo
de toda o processo
(Seção 5)
Figura 2 – Processo de gestão de riscos legais
Convém que o monitoramento, a análise crítica e a produção de relatórios, a comunicação e a consulta

estejam em andamento durante todo o processo de gestão de riscos legais em toda a organização.
Mais detalhes são descritos em 5.5.
5.2 Estabelecendo o contexto e o critério pertinentes
5.2.1 Generalidades
Em adição à ABNT NBR ISO 31000:2018, 6.3, convém que a organização considere os contextos
externo e interno estabelecidos em 5.2.2 e 5.2.3, respectivamente.
5.2.2 Contexto externo dos riscos legais
O contexto externo dos riscos legais se refere a fatores que estão fora da organização, mas relacionados
à gestão de riscos legais. Incluindo:
— leis locais e internacionais pertinentes e mudanças nas leis locais e internacionais pertinentes;

— sindicatos e organizações de empregadores;
— serviços externos de provedores e consultores de apoio à gestão de riscos legais, como escritórios
de advocacia, auditores externos, e serviços fornecidos de gestão de informação e análise.
— partes interessadas externas, como empresas, organizações da sociedade civil, organismos

regulatórios, governos locais, público e comunidades de interesse, imprensa e mídia e grupos de
interesses especiais, e suas expectativas em relação à gestão de riscos legais;
— quaisquer atos ou omissões de terceiros, como conduta fraudulenta e enganosa por terceiros;
— acordos internacionais aplicáveis, memorandos de entendimento;
— condições de mercado aplicáveis relacionadas à organização;
— ações ou reclamações de terceiros; e
— leis dos países onde os produtos/ serviços fornecidos são entregues ou fornecidos.
Ao examinar e entender o contexto externo de riscos legais para organizações que operam em
várias jurisdições, convém que as diferenças ambientais e culturais entre diferentes jurisdições sejam
consideradas. A aplicação extraterritorial das leis nacionais e qual lei da jurisdição se aplica a uma
determinada situação (isto é, conflito de leis e reconhecimento mútuo de leis) e a identificação da
jurisdição aplicável também pode requerer consideração.
5.2.3 Contexto interno dos riscos legais
O contexto interno dos riscos legais está substancialmente no controle ou sujeito à autoridade de uma
organização por meio de seus sistemas de governança e gestão. Isso inclui:
— a natureza da pessoa jurídica;
— saúde financeira organizacional e seu modelo de negócios;
— estrutura jurídica interna da organização, processos e funções;
— governança da organização e suas estruturas de valor que promovem a integridade, como código
de conduta e outras diretrizes de compliance;
— o atual estado das questões e assuntos legais e sua abordagem para a gestão de riscos legais;
— campanhas de conscientização sobre orientação e melhoria contínua do desempenho em ques-

tões de riscos legais para as partes interessadas, sistemas e acordos para melhorar o comporta-
mento das partes interessadas em relação às leis e impedir a conduta fraudulenta e enganosa,
como os sistemas de gestão de compliance;
— experiência passada e histórico de disputas ou eventos legais desencadeados por risco legal na
organização;
— ativos que a organização possui, como propriedade intelectual e outros direitos legais para ativos
tangíveis e intangíveis usados em processos e atividades;
— o efeito de direitos e deveres sob contrato;

— obrigações relacionadas ao dever de cuidar;
— negligência e efeitos desencadeadores de indenizações, garantias e cláusulas de não confiança

em contratos;
— passivos decorrentes de questões trabalhistas, ambientais, tributárias e outras, decorrentes de

fusões, aquisições e alienações;
— política interna de gestão de riscos legais;
— outras informações e recursos relacionados aos riscos legais e sua gestão.

5.2.4 Definindo os critérios de riscos legais
Em adição à ABNT NBR ISO 31000:2018, 6.3.4, convém que a organização considere o seguinte.
Os critérios de ricos legais:
— como um termo, é um subgrupo dos critérios de riscos organizacionais;
— são medidas que são identificadas e definidas para avaliar um nível significativo e aceitável de um
risco legal ou um grupo de riscos legais;
— convém que sejam refletidos os objetivos, valores, recursos, preferências e tolerâncias gerais da
gestão de riscos em relação aos riscos legais;
— convém que sejam analisados criticamente de maneira regular e ao início de qualquer grande
projeto de atualização de critérios e processos de gestão de riscos legais;
— podem surgir, ou derivar, da aplicação de leis ou deveres contratuais ou obrigações;
— são dinâmicos e, uma vez definidos, pertencem à função responsável pela gestão de riscos legais;
— convém que estejam alinhados com a abordagem geral e/ou política da organização em relação
à gestão de riscos legais. Convém que a organização desenvolva e ajuste seus critérios de riscos
legais de acordo com situações reais.
Ao determinar os critérios de riscos legais, fatores a serem considerados incluem:
— os objetivos e prioridades organizacionais;
— governança, incluindo níveis de hierarquia das autoridades e a alocação das responsabilizações,

papéis e responsabilidades da gestão de riscos legais na organização;
— relacionamentos com terceiros;
— escopo e objetivos da gestão de riscos legais e as categorias de riscos legais;
— princípios adotados para determinar o nível de riscos legais;
— status das políticas, protocolos, estruturas, processos e metodologias da gestão de riscos legais;
— aceitação de riscos legais ou nível de tolerância de riscos legais das partes interessadas;
— mensurações para classificação de níveis de riscos.

As seguintes situações podem requerer a aplicação de critérios de riscos legais:
— algo que a organização é obrigada por lei a realizar, seguir ou aprovar;
— algo relacionado à política ou ao contrato que a organização é obrigada por lei a adotar ou a uma
decisão que somente a organização pode tomar legalmente;
— algo relacionado uma questão substancial de responsabilidade ou compliance institucional,

incluindo investigações governamentais, alegações de violações generalizadas da lei, conduta
criminosa que poderia implicar a organização, uma grande não conformidade, uma perda de
dados que causa problemas de proteção e privacidade de dados, denúncias de whistle-blower,

questões que resultem em perda de reputação e quaisquer outros ações judiciais;
— leis relacionadas a divulgação de informação, incidentes, violações e outras situações;
— ações judiciais e acordos “fora do curso normal dos negócios” em que o valor envolvido ou a
questão apresentada envolvem um ou mais dos outros fatores listados anteriormente.
O estabelecimento de critérios de riscos legais é orientada por processos, requerendo que os riscos
legais sejam caracterizados e depois medidos para que possam ser quantificados e o tratamento de
risco apropriado aplicado.
Uma resposta proporcional requer concordância em relação ao critério de riscos legais, tanto no nível
da direção quanto em toda a organização. Critérios de riscos legais indevidamente restritos podem
ter o resultado não intencional de isolar os proprietários de riscos legais do contexto maior de risco
operacional. Isso pode criar um efeito de silo que isola a gestão de riscos legais de outros elementos
da gestão de riscos.
Critérios excessivamente restritivos para riscos legais que não se integram totalmente aos critérios
gerais de riscos adotados pela organização podem ter a consequência não intencional de oferecer
uma abordagem indevidamente restrita aos problemas de risco legal. Isso pode significar que os
responsáveis pela função jurídica se envolvam apenas quando a crise aumenta, em oposição a um
estágio inicial em que um envolvimento anterior mitigaria o risco legal e eles estariam em uma posição
melhor para oferecer um tratamento para o risco legal.
5.3 Processo de avaliação de riscos legais
5.3.1 Generalidades
O processo de avaliação de riscos legais é o processo completo de identificação de riscos legais,

análise de riscos legais e avaliação de riscos legais.
É essencial envolver uma mostra representativa de indivíduos pertinentes da organização e especialistas,

incluindo o conselho legal (interno e externo), com um equilíbrio de experiência e especialistas.
5.3.2 Identificação de riscos legais
5.3.2.1 Visão geral
O propósito de identificar riscos legais é encontrar, reconhecer e descrever riscos legais que possam
ajudar ou prevenir uma organização a alcançar seus objetivos. Para ter uma compreensão abrangente de
riscos legais, convém que a organização identifique as fontes de riscos legais, áreas de consequências,
eventos (incluindo as mudanças em circunstâncias), suas causas e suas consequências potenciais.

Por meio da identificação de riscos legais, convém que as características dos vários riscos legais
sejam descritas compreensivamente, sistematicamente e precisamente para que os objetivos e o escopo
da análise de riscos legais na próxima etapa sejam esclarecidos. A informação pertinente e mais
recente, como o histórico aplicável e fatos (por exemplo, mudanças na aplicação de leis ou práticas de
mercado), precisam ser entendidas ao identificar riscos legais. Em adição à identificação de eventos
possíveis causados por riscos legais, convém que as possíveis causas, consequências e impactos
sejam considerados cuidadosamente.
Além da identificação de eventos atuais ou potenciais causados por riscos legais, convém que riscos
legais pertinentes sejam identificados, independentemente de se as fontes destes eventos estão
sob controle da organização, ou se as causas são conhecidas ou não. Convém que a organização
selecione ferramentas apropriadas para identificar riscos legais e técnicas aplicadas aos seus objetivos,
recursos, capacidades e ambiente.
Várias técnicas para identificação de riscos, que podem ser aplicadas à gestão de riscos legais, podem
ser encontradas na IEC 31010:2019, Seção 4.
5.3.2.2 Fontes de informação úteis para identificação de riscos legais
Convém que a organização sistematicamente identifique seus riscos legais e implicações para suas
atividades, produtos, serviços e reputação. Convém que a organizaçãoconsidere estes riscos legais
identificados e implicações ao estabelecer, desenvolver, implementar, avaliar, manter, revisar e
melhorar a gestão de riscos legais.
Convém que a organização documente seus riscos legais de modo apropriado ao seu tamanho,
complexidade, estrutura e operações.
Uma organização pode identificar riscos legais relacionados a:
— seus objetivos organizacionais e prioridades;
— sua governança e estruturas éticas, atividades e operações, como vendas, serviços de entrega,
produção, marketing, compras, investimento estrangeiro, gestão de recursos humanos, gestão
financeira, estrutura organizacional, gestão da reputação, gestão de dados e da informação, e da
tecnologia da informação e comunicação;
— ataque cibernético, engenharia social e outros perigos cibernéticos;
— suas partes interessadas, como acionistas, órgãos reguladores, diretores, empregados, sindicatos,
parceiros comerciais (incluindo clientes, consumidores, fornecedores, vendedores e investidores),
credores, devedores, comunidades e governo;
— a aplicação ou interpretação incorreta do contexto legal, o não compliance com leis, violação de
contrato, infração de direitos de propriedade intelectual, improbidade/irregularidade e falha no
exercício de direitos;
— responsabilidades e responsabilizações para gestão de riscos legais após sua ocorrência,

as quais podem incluir passivos criminais, responsabilidades administrativas, passivos civis,
multas legais e/ ou compensações pagas a terceiros etc.;
— a aplicação de leis específicas, e também conflito de legislações ou legislação internacional

privada;
— jurisprudência e leis consuetudinárias (onde aplicável).

Convém que a organização desenvolva um processo para a identificação de riscos legais.

Este processo pode considerar os fatores acima. “Legal” neste contexto não se refere a leis ou
jurisdições nas quais as partes são residentes, incorporadas, geridas ou operadas. Riscos podem
surgir de obrigações legais internacionais, penalidades ou outras saídas.
Algumas das fontes de informação que podem ser úteis para a identificação de riscos legais são
dadas nos seguintes exemplos.
EXEMPLO 1 Informação que pode ser útil inclui um entendimento pertinente de:
— leis;
— contexto externo de riscos legais;
— contexto interno de riscos legais;
— comunicação e consulta com partes interessadas internas, por exemplo, pessoal interno e partes
interessadas externas;
— critério de riscos legais existente;
— planos de riscos legais;
— requisitos para a manutenção dos registros em relação à prerrogativa profissional, prerrogativa advogado-
cliente e produto do trabalho (ou seu conceito equivalente e termos sob lei nacional relevante);
— destruição de dados e políticas de retenção de acordo com leis e regulação de proteção de dados.
EXEMPLO 2 Compromissos de compliance que podem ser pertinentes para identificação de riscos legais
inclui:
— acordos com grupos públicos ou organizações não governamentais;
— acordos com autoridades públicas e consumidores;
— requisitos organizacionais e ética comercial, como políticas, processos e procedimentos;
— princípios voluntários ou códigos de prática;
— rotulagem voluntária ou responsabilidade ambiental;
— qualquer obrigação decorrente de contrato;
— normas organizacionais, industriais e internacionais pertinentes.
Para assegurar que os riscos legais sejam identificados compreensivamente, sistematicamente

e precisamente, convém que a organização estabeleça uma metodologia de identificação de riscos
legais que corresponda as necessidades de gestão. de riscos legais e convém providenciar diferentes
abordagens para identificar riscos legais, além de permitir que todos os níveis organizacionais
identifiquem e relatem os riscos legais a partir de uma variedade de perspectivas.
Uma organização pode então decidir como aplicar esta metodologia no processo de identificação de
riscos legais.

Convém que a organização tenha os processos em curso para identificar leis novas e alteradas
e outras obrigações relativas a riscos legais para assegurar a gestão de riscos legais em andamento.
Convém que a organização tenha processos para avaliar as consequências de alterações identificadas
e implementar quaisquer mudanças necessárias na gestão de riscos legais.
EXEMPLO 3 Abordagens para obter informação em alterações em leis e alterações em obrigações de

compliance podem incluir:
— subscrição de listas de destinatários de reguladores pertinentes;
— filiação a grupos profissionais;

— subscrição de serviços de informação pertinentes;
— participação em fóruns industriais e seminários;
— monitoramento de websites de reguladores;
— monitoramento de tendências de litígios e decisões interna e externa;
— reuniões com reguladores;
— busca de aconselhamento de conselheiros legais;
— utilização das principais publicações e seu know-how/ suporte profissional de equipes de advogados;
— desenvolvimento e manutenção de base de dados de conhecimento de riscos legais;
— monitoramento de fontes de obrigações de compliance (por exemplo, requisitos regulamentares e decisões

judiciais).
Convém que a organização construa um processo para identificação de riscos legais. A organização
pode escolher uma ou mais abordagens mencionadas acima.
Um exemplo do método de identificação de riscos legais é fornecido no Anexo A. Um exemplo de

registro de riscos legais é fornecido no Anexo B.
O Anexo E apresenta e comenta cláusulas-chave para considerar ao analisar criticamente contratos.
5.3.3 Análise de riscos legais
5.3.3.1 Generalidades
A análise de riscos legais inclui análise qualitativa ou quantitativa dos riscos legais identificados.
O resultado desta análise se torna a entrada para a avaliação e tratamento dos riscos legais. Convém
que as causas dos eventos desencadeadas pelos riscos legais e as sinergias que surgem entre eles,
sua probabilidade de ocorrência e suas consequências sejam consideradas na análise de riscos legais.
Para a análise da probabilidade e consequências de eventos desencadeados por riscos legais,

simulação de dados históricos, negócios analíticos, inteligência artificial e modelagem, bem como
opiniões de especialistas, podem ser todas usadas individualmente ou em combinação, ver a
IEC 31010 para informação adicional sobre as técnicas. Convém que divergências entre aconselhamento
jurídico de especialistas em relação a riscos legais também sejam considerados.

Riscos legais e outros riscos podem surgir em conjunto e se transformarem uma na outra em deter-
minadas condições. Convém que a organização analise a correlação entre os riscos legais e outros
riscos para entender as consequências e os relacionamentos entre os eventos de risco. A interde-
pendência/correlação entre riscos legais e outros riscos precisa ser entendida para formular uma
estratégia integrada para a gestão de riscos legais e outros riscos.
5.3.3.2 Probabilidade de eventos relacionados a riscos legais
A probabilidade de eventos relacionados a riscos legais pode envolver os seguintes fatores:

— a gama de leis, juntamente com práticas e convenções de execução pelas autoridades reguladoras
pertinentes;
— a melhoria e o compliance da estrutura existente para a gestão de riscos legais, incluindo

estratégias, governança, regras internas e políticas;
— funcionários e contratados demonstrarem compliance com as leis e as regras e políticas da

organização;
— a frequência e o número de atividades relacionadas aos riscos legais que ocorrem dentro de um
determinado período;
— falha em registrar, analisar e aprender com eventos anteriores;
— benchmarking a frequência e o número de atividades relacionadas a riscos legais que ocorrem

dentro de um certo período contra outras organizações.
O Anexo C fornece orientações adicionais sobre como estimar a probabilidade de eventos relacionados
a riscos legais.
5.3.3.3 Consequências de eventos relacionados a riscos legais
As consequências de eventos relacionados a riscos legais podem envolver os seguintes fatores:
— os diferentes tipos de benefícios e perdas (financeiros e não financeiros) que podem ser causados
por eventos desencadeados por riscos legais;
— cobertura de mídia adversa (incluindo mídia social e mídia tradicional);
— a quantidade e o escopo de benefícios e perdas (financeiros e não financeiros) e as reações das

partes interessadas a essas consequências.
O Anexo D fornece orientações adicionais na estimativa de consequências de eventos relacionados

a riscos legais.
5.3.4 Avaliação de riscos legais
Os riscos legais podem ser avaliados comparando os resultados de várias análises de risco com seus
critérios de risco e, em seguida, priorizando estes riscos legais. Convém que esta avaliação ajude os
tomadores de decisão a considerarem várias opções legais de tratamento de riscos. Quando possível
e apropriado, convém que a decisão da organização considere o seguinte:
— o ambiente mais amplo da organização, incluindo a percepção das partes interessadas internas
e externas;

— objetivos organizacionais, prioridades e política de gestão de riscos;
— valores organizacionais e das partes interessadas, moral e ética;
— a atitude ao risco e a tolerância de níveis de risco, que ajudaram a formar a estratégia;
— o perfil de risco da organização (incluindo a maturidade da organização em relação a gestão de

riscos legais e sua alavancagem de negociação com terceiros).
5.4 Tratamento de riscos legais

5.4.1 Generalidades
O tratamento de riscos legais se refere às estratégias implementadas por uma organização para tratar
seus riscos legais.
Convém que um plano de tratamento de riscos considere uma faixa de opções de tratamentos, os quais
podem incluir os remédios legais bem como remédios financeiros, operacionais e para a reputação
para cada risco priorizado.
Informações adicionais são dadas na ABNT NBR ISO 31000:2018, 6.5.
5.4.2 Escolhendo opções para o tratamento de riscos legais
Opções de tratamento de riscos são dadas em ABNT NBR ISO 31000:2018, 6.5.2.
Uma avaliação de risco é um pré-requisito para o desenvolvimento de um plano de tratamento de

riscos e habilita a organização a tomar decisões com base em informações relacionadas às opções de
tratamento de riscos legais. Uma vez que uma organização avalie seus riscos legais, elas se tornam
críticas para demonstrar uma gestão apropriada destes riscos pois, caso contrário, a organização
poderia estar exposta a litígios e perdas não desejados.
Indicadores-chave de risco (ICR) são dados que dão alguma orientação se, para uma opção em
particular, o tratamento de risco está provendo a eficácia à gestão de riscos legais. Para escolher ICR
eficazes, a organização pode identificar dados potenciais gerados por seus processos operacionais.
Os ICR podem ser relatados como indicadores simples (por exemplo, “valor de contrato”), mas eles
proverão melhor informação quando forem combinados como dados relacionados. Alguns exemplos
de combinação de ICR estão descritos a seguir.
— Responsabilidade de contrato versus valor de contrato: convém que a execução total de uma
responsabilidade versus o valor, quando discriminado por tipo de contrato, terceira parte etc.,
forneça uma boa indicação de quanto risco uma organização está assumindo para ganhar
determinadas áreas de negócio.
— Volume de contratos redigidos versus volume de negócios registrados em sistema: convém que
este ICR diga a uma organização se ela está entrando em negócios sem ter contratos redigidos
e firmados.
— Produtos vendidos por vendedor versus registros de treinamento de compliance: convém que este
ICR forneça à organização uma indicação da possibilidade de exposição aos riscos relacionados
com uma conduta relacionada com o dever de cuidar dos clientes. Se uma equipe de vendas
de uma organização não completou seu treinamento de compliance, ou se completou, porém
regularmente com atraso, a equipe de vendas pode não estar ciente das recentes revisões da
compliance regulatórias jurídicas e devido a isso, expor sua organização ao aumento dos níveis
de riscos legais.

Convém que os seguintes fatores sejam considerados quando da escolha de uma opção apropriada
para o tratamento de riscos legais:
— a política da gestão de riscos organizacionais, objetivos estratégicos, valores e responsabilidade

legal da organização;
— uma análise de custo-benefício de resposta aos riscos legais;
— a percepção das partes interessadas e seus valores, atitude face ao risco e os níveis de tolerância,
bem como as preferências sobre certas estratégias para o tratamento de riscos legais;
— a disponibilidade e alocação de recursos necessários para gerenciar o risco;
— uma análise crítica (incluindo escopo e alcance) das legislações, compromissos contratuais e
limitação contratual do risco;
— opiniões jurídicas;
— a extensão para a qual, os riscos legais podem ser, conforme a legislação, transferidos, delegados
ou assegurados;
— o nível de consciência do risco e o nível de maturidade dentro da organização.
5.4.3 Avaliação das práticas vigentes para o tratamento de riscos legais
Quando a organização escolhe uma opção para o tratamento de riscos legais, convém que as práticas
vigentes da organização para o tratamento de riscos legais sejam avaliadas para entender a adequação
da opção, e também providenciar suporte para o desenvolvimento de um plano de tratamento de
riscos legais (conforme referido em 5.4.4).
É importante considerar os seguintes fatores quando ocorrer a avaliação das práticas vigentes para o
tratamento de riscos legais:
— a alocação de recursos pertinentes (incluindo pessoal, ativos e fundos, e em particular, consultores

e especialistas jurídicos internos e externos à organização);
— as visões e opiniões dos consultores jurídicos e especialistas, internos e externos.
5.4.4 Desenvolvimento e implementação do plano de tratamento de risco
Após seleção e implementação do apropriado tratamento de riscos legais, convém que a organização
avalie quais podem ser os riscos residuais aceitáveis (que podem não necessariamente ser um risco
legal mas que poderia ser enquadrado como outros riscos). Se os riscos residuais são inaceitáveis,
convém que a organização ajuste ou desenvolva uma nova opção de tratamento de risco e reavalie o
risco, após este ajuste, e seus efeitos, até que o risco residual esteja dentro de nível aceitável.
Na implementação de um plano de tratamento de riscos legais, convém que a organização considere,

além da ABNT NBR ISO 31000:2018, 6.5.3, o seguinte:
— Política e processos: desenvolvimento e melhoria de suas políticas e processos relacionados ao

tratamento de riscos legais. Por exemplo, possuindo requisitos específicos para partes interessa-
das internas de notificar seus advogados internos ou externos quando uma disputa jurídica surgir
ou que provavelmente surgirá;

— Procedimentos operacionais padrão (POP): desenvolver POP para partes interessadas internas
para uso. Por exemplo, possuindo um POP para quando as partes interessadas internas
necessitem divulgar informações do negócio a uma terceira parte, o qual poderia ser facilitada
através da aprovação de acordos de confidencialidade ou de não divulgação para evitar uma
divulgação inadvertida de informação confidencial.
— Técnicas e tecnologia: o uso de técnicas para tratar os riscos legais. Por exemplo, existindo
modelos para análise crítica de contratos para assegurar que os riscos legais de um contrato estão
identificados e endereçados antes da assinatura do contrato, ou desenvolvendo ou melhorando
a segurança da informação para evitar riscos legais pelo acesso não autorizado aos sistemas de
informação da organização.
— Informação: prover disponibilidade e acesso à informação para a gestão de riscos legais.

Por exemplo, uma notificação para o responsável pelo contrato que um contrato será automati-
camente renovado a menos que seja avisado a outra parte dentro de um prazo especificado ou
liberando aviso de risco sobre certos eventos desencadeados pelos riscos legais.
— Atividades: empreender atividades para tratar os riscos legais. Por exemplo, análises críticas
de contratos e reformulação por especialistas jurídicos, ou seleção de um método adequado de
resolução de conflitos (litígio, arbitragem ou mediação), especialista em resolução de conflitos
e estratégia apropriada de resolução de conflitos.
— Treinamento para ilustrar exemplos: prover treinamentos sobre a gestão de riscos legais para
partes interessadas chaves, internamente, a fim de melhorar suas habilidades e consciência dos
riscos legais. Por exemplo, treinamentos e cursos sobre leis pertinentes, o impacto destas leis no
papel dos indivíduos no trabalho e as consequências para aqueles indivíduos de não compliances.
A gestão de riscos legais é um processo dinâmico e interativo e as técnicas utilizadas necessitam

ser avaliadas e ajustadas, com base em mudanças no ambiente de risco interno e externo, para
assegurar sua eficácia.
Convém que a organização rastreie e monitore o efeito do tratamento de riscos legais e o contexto
externo, avaliando as mudanças de riscos e reformulando o tratamento de riscos legais quando necessário.
5.5 Mecanismos de comunicação (interna e externa), consulta e relato para gestão de

riscos legais
5.5.1 Generalidades
Convém que a organização estabeleça:
— mecanismos de comunicação interna e relato conforme estabelecido na ABNT NBR ISO 31000:2018,
6.2, para assegurar que exista comunicação apropriada sobre componentes-chave do sistema de
gestão de riscos legais, em tempo e nível apropriados;
— conexão entre o mecanismo e a forma de comunicação e outras fontes de informação de riscos,

de maneira a assegurar fluxos de comunicação apropriados dentro da organização e partes
interessadas externas.
Convém que a comunicação externa e o relato assegurem que sejam mantidos a confidencialidade,
o privilégio profissional legal e o privilégio advogado-cliente (ou forma equivalente de proteção de
jurisdição pertinente).

5.5.2 Comunicação, consulta e aprendizado
Convém que a organização comunique e consulte em tempo hábil as partes interessadas pertinentes
em cada estágio do processo de gestão de riscos legais, para assegurar que estas partes interessadas
(incluindo o pessoal interno que implementa a gestão de riscos legais) compreenda completamente
os riscos legais e seus efeitos sobre a organização. Convém que as partes interessadas pertinentes
conheçam seus papéis no processo de tomada de decisão para a gestão de riscos legais e estejam
aptas a tomar as decisões apropriadas com base em informações pertinentes. Convém que estas
partes interessadas também implementem estas atividades de maneira eficaz e eficiente.
Uma vez que o pessoal da organização, em todos os níveis, bem como as partes interessadas externas
têm valores, perspectivas e focos diferentes, suas preferências e expectativas em relação à gestão
de riscos legais provavelmente são diferentes também. Isso tem um efeito importante na tomada de
decisão e implementação de riscos legais. Portanto, convém que a comunicação e consulta às partes
interessadas pertinentes durante o processo de tomada de decisão e implementação de tratamentos
de riscos incluam um processo robusto de monitoramento e análise crítica e mantenham registros
das práticas de gestão de riscos (ver 5.5.3 para mais detalhes). A fim de facilitar a comunicação
eficaz e efetiva, convém que a organização procure fornecer as informações necessárias a todos com
responsabilidade, responsabilização e autoridade pela gestão de riscos legais e supervisão. Convém
que a função de direção também esteja apta a se comunicar com as partes interessadas pertinentes,
incluindo autoridades reguladoras, funções legislativas e judiciárias e outras partes interessadas externas.
A fim de construir uma cultura de gestão de riscos em toda a organização, convém que o aprendizado:
— ocorra em todos os estágios da gestão de riscos legais;
— seja promovido para criar conscientização e compreensão sobre a exposição a riscos legais;
— seja usado para fornecer clareza sobre a governança e liderança, sobre o mandato, as metas e
objetivos, sobre o envolvimento das partes interessadas, os papéis e as responsabilidades, sobre
a conformidade com políticas, processos e procedimentos.
5.5.3 Monitoramento e análise crítica
O monitoramento e a análise crítica da gestão de riscos legais incluem o seguinte:
— manter-se a par das mudanças no ambiente, como a introdução de novas leis e a aplicação
destas leis, a fim de ajustar a estratégia da organização de acordo;
— monitorar eventos desencadeados por riscos legais, analisar sua frequência e padrões, e tirar
conclusões sobre eles (incluindo a correlação potencial com a amplificação de outros riscos);
— considerar um sistema de aviso precoce para partes interessadas chave, para identificar sinais
de aviso para riscos legais significativos que possam surgir;
— monitorar e analisar criticamente:
— resultados do tratamento de riscos;
— mudanças no ambiente;
— a construção de planos integrados de tratamento de riscos;

— a designação de partes responsáveis e responsabilizáveis;
— comparar o progresso com o plano de tratamento de riscos, analisando criticamente e atualizando

o plano de tratamento de riscos periodicamente e em tempo hábil, para buscar assegurar sua
adequação, propriedade e eficácia em relação a gestão de riscos legais.
5.5.4 Registro e relato
Convém que a organização considere as seguintes questões, em relação à manutenção de registros

e ao relato:
— privilégio profissional legal, privilégio advogado-cliente e produto de trabalho (ou conceitos e

termos equivalentes na lei nacional pertinente);
— políticas de destruição, retenção e privacidade, de acordo com as leis de proteção de dados;
— disponibilidade e acessibilidade da documentação a partes interessadas para melhorar a tomada

de decisão para propósitos de auditoria interna ou externa;
— se a documentação pertinente precisa ser mantida de maneira segura, com um processo de cadeia
de evidências documentando que nenhuma alteração foi feita nos documentos, informações ou
evidências;
— medidas de confidencialidade e segurança em relação a documentação de natureza confidencial,

como estabelecer acesso limitado e autorizado a essa documentação.
Convém que a organização relate o progresso de mudanças na implementação da gestão de riscos

legais e na aderência a medidas.
6 Implementação da gestão de riscos legais

6.1 Generalidades
Convém que a gestão de riscos legais esteja relacionada às atividades e operações da organização
de modo a assegurar que seu resultado seja parte do processo de tomada de decisão da organização.
Convém que a implementação da gestão de riscos legais esteja integrada com a estratégia da
organização, e a estrutura da gestão de riscos, objetivos e sistemas de gestão dentro da organização.
Isso inclui uma política para a gestão dos riscos legais e funções organizacionais, procedimentos
para a integração de processos legais a vários processos, alocação de recursos e o mecanismo de
comunicação, entre outras ferramentas de gestão.
6.2 Política de gestão de riscos legais

Em adição à ABNT NBR ISO 31000:2018, 5.2 e 5.4.2, convém que a política considere quaisquer
questões específicas pertinentes a gestão de riscos legais.
6.3 Papéis e funções para a gestão de riscos legais

Convém que a organização designe a autoridade, responsabilidade e responsabilização para a gestão
de riscos legais. Convém que a ABNT NBR ISO 31000:2018, 5.4.3, e os seguintes tópicos sejam
considerados:
— convém que aqueles designados com a autoridade e responsabilidade para a gestão de riscos
legais tenham conhecimento e capacidade apropriados para realizar as tarefas;

— alocação de recursos necessários para suportar aqueles com a autoridade e responsabilidade

para a gestão de riscos legais. Por exemplo, uma organização poderia ter um time de gestão
de contratos, um conselho interno legal, ou uma conselho externo disponível para consulta pelo
proprietário do risco;
— a interação e interdependência com a função geral de gestão de riscos da organização para

assegurar que os objetivos e interesses estão alinhados;
— alocação de tarefas entre recursos internos e externos para a gestão de riscos legais;
— identificação e definição de termos comuns relacionados à gestão de riscos legais em colaboração

com as partes interessadas;
— facilitação e provisão de serviços de consultoria, treinamentos e consulta para os proprietários de

riscos afim de identificar, analisar, avaliar e responder aos riscos legais;
— recomendação da identificação do risco, técnicas de análise e avaliação e a determinação do

critério de riscos legais e a abordagem da organização ao risco;
— comunicação da gestão de riscos legais de acordo com a política e o plano da organização;
— relato do desempenho da gestão de riscos legais à Alta Direção para análise crítica e melhorias
adicionais;
— coordenação das unidades de negócio para selecionar as possíveis estratégias, legais e não
legais, para responder aos riscos legais identificados;
— avaliação do status dos recursos organizacionais atualmente em uso para avaliação e tratamento
de riscos legais;
— formulação de um plano de implementação para a gestão de riscos legais para a organização,

e integração desse plano com os planos de implementação da estrutura de gestão de riscos,
tratamento e dos planos estratégicos e operacionais das unidades de negócios;
— estabelecimento de canais de comunicação entre recursos legais internos e externos,

e organismos de aplicação da lei;
— monitoramento do compliance das pessoas às quais foram designadas autoridade,

responsabilidade e responsabilização pela gestão de riscos legais;
— identificação de melhores práticas do setor que estabelecem um limite superior aos padrões
mínimos exigidos por lei.
Convém que as seguintes atividades sejam conduzidas em conjunto pelas unidades de negócios e
por aqueles a que foram atribuídas autoridade, responsabilidade e responsabilização pela gestão de
riscos legais:
— periodicamente analisar criticamente o progresso da implementação dos planos para a gestão de

riscos legais e a eficácia dos tratamentos de riscos legais;
— desenvolver planos integrados de gestão de resposta para assegurar que os eventos significativos
desencadeados pelos riscos legais serão gerenciados adequadamente;

— esclarecer as responsabilidades e responsabilizações dos membros que são responsáveis e

responsabilizados pela execução das medidas de tratamento de riscos legais, manutenção da
estrutura de riscos legais e relato de informações sobre riscos pertinentes, de acordo com a
ABNT NBR ISO 31000:2018, 5.4.3;
— registrar e relatar riscos legais de acordo com a ABNT NBR ISO 31000:2018, 6.7;
— deixar claro os deveres da direção e de outros membros da organização em relação à gestão de

riscos legais de acordo com a ABNT NBR ISO 31000:2018, 5.4.3.
6.4 Integração da gestão de riscos legais
Convém que a organização estabeleça uma estrutura robusta de suporte alinhada com os objetivos da
gestão de riscos legais. Convém que a organização estabeleça, documente e comunique os processos
organizacionais para todo pessoal de modo a assegurar que eles estejam cientes dos riscos legais.
Para assegurar consistência, convém que a gestão geral de riscos e os sistemas de gestão da
organização sejam considerados em relação à gestão de riscos legais, assim como integre a gestão
de riscos legais dentro de todas as atividades da organização.
6.5 Alocação de recursos para a gestão de riscos legais
Convém que a organização aloque recursos apropriados para a gestão de riscos legais de acordo com
seu plano de gestão de riscos e com a ABNT NBR ISO 31000:2018, 5.4.4.
6.6 Conscientização dos riscos legais
Convém que a organização promova uma conscientização dos riscos legais, considerando o seguinte:
— a atitude, a filosofia de gestão e o compromisso da Alta Direção com a gestão de riscos legais;
— um programa de treinamento sistematizado para a gestão de riscos legais, incluindo workshops,

aulas e treinamentos ministrados por especialistas no assunto;
— canais de comunicação para as observações dos membros da organização bem como dos times
de trabalho multidisciplinares para melhorar a gestão de riscos legais.

Anexo A
(informativo)
Exemplo de um método para identificação de riscos legais —

Matriz de identificação de riscos legais (MIRL)
A gestão de risco legal requer uma abordagem estruturada para avaliar riscos legais dentro do contexto
de uma organização. Por meio da adaptação de técnicas apropriadas de gestão de riscos, uma
organização pode identificar proativamente, os riscos legais e então, reduzir, eliminar ou reconfigurar
seus processos para minimizar sua exposição a eles.
A matriz de identificação de riscos legais (MIRL) é uma abordagem para organizar riscos legais
identificados e coletados como eventos de diferentes tipos através de áreas/ unidades/ atividades de
negócios. Ao considerar as várias áreas/ unidades /atividades de negócios envolvidas, a MIRL conecta
os riscos legais de vários tipos às operações da organização. Em uma MIRL, todos os eventos de
riscos legais identificados são categorizados em diferentes tipos.
Estes diferentes tipos de riscos legais podem ocorrer em diferentes tipos de áreas de negócios e ter
diferentes causas e características. A MIRL ajuda a compreender, sistematicamente, todos os riscos
legais da organização. A Tabela A.1 fornece um exemplo de MIRL que categoriza os riscos legais
dentro de seis diferentes tipos e inclui uma breve explanação das diferentes categorias.
Para a categorização dos riscos legais ser útil, é importante reconhecer que cada categoria pode não
ser mutuamente exclusiva e que uma simples atividade de negócio pode gerar riscos legais que se
enquadram em uma ou mais categorias. Adicionalmente, enquanto a MIRL se refere aos riscos legais
para a organização, isso pode incluir ações de agentes, trabalhadores, contratados etc., que trabalham
para ou com a organização.
Dentro de cada categoria de riscos legais pode haver “bandeiras vermelhas” que convém que
sejam identificadas. Convém que estas bandeiras vermelhas sejam escaladas dentro da estrutura
de governança organizacional a fim de que elas sejam tratadas adequadamente. Estas bandeiras
vermelhas podem incluir:
— jurisdições onde há falta de um estado de direito em pleno funcionamento ou instabilidade política;
— condições que requerem que o fornecedor proveja uma indenização contratual devido ao extremo
dever de cuidado requerido;
— produtos perigosos ou condições perigosas de desempenho.

Tabela A.1 — Exemplo de uma MIRL

Parâmetro Categoria 1 Categoria 2 Categoria 3 Categoria 4 Categoria 5 Categoria 6
Não
Omissão no
Tipologias de risco compliance Quebra de Violação de Escolha
Imprevisibilidade exercício de
legal com as leis contrato direitos inadequada
direitos
aplicáveis
Atividade de
negócio 1
Atividade de
negócio 2
Atividade de
negócio 3 etc.
Categorias
Categoria 1: A imprevisibilidade no contexto de riscos legais pode surgir quando uma organização enfrenta uma
mudança significativa na lei em um ambiente, mercado ou território em que a organização possui operações ou se a
organização decide entrar em um novo ambiente, mercado ou território em que as leis não são familiares à organização
ou onde pode haver uma ausência da lei local em determinados aspectos.
Categoria 2: A não compliance ocorre quando uma organização viola uma lei aplicável. Por exemplo, uma organização
falha em incluir uma informação apropriada em seus relatórios, de acordo com suas obrigações, junto aos reguladores.
Categoria 3: A quebra de contrato ocorre quando a organização ou a contraparte contratante quebra uma obrigação
contratual em função do não desempenho ou desempenho inadequado, gerando consequências legais, como
por exemplo, reclamações por danos ou direito da parte não inadimplente em rescindir o contrato. Por exemplo, a
organização falha em entregar as mercadorias no prazo, de acordo com suas obrigações contratuais.
Categoria 4: A infração ocorre quando a organização invade ou viola os direitos legítimos ou expectativas de terceiros.
Por exemplo, seria uma violação dos direitos de propriedade intelectual de terceiros usar sua marca comercial sem
permissão. A infração pode surgir sob uma obrigação contratual de uma parte de um contrato ou pode surgir quando
não há obrigação contratual.
Categoria 5: A omissão no exercício de direitos ocorre quando há uma conduta que fica abaixo dos padrões de
comportamento estabelecidos por lei quanto à proteção de terceiros contra riscos de danos que não razoáveis. Uma
organização pode agir negligentemente ou ser vítima de negligência de outros. Além disso, uma organização pode
vir a ser negligente no exercício de seus próprios direitos, obrigações e responsabilidades, resultando em danos
à organização. Por exemplo, se uma organização não notificar em tempo hábil sua seguradora em relação a um
determinado sinistro, essa negligência no exercício de seus direitos pode resultar na perda do direito de cobertura
relacionada a sua apólice de seguros.
Categoria 6: A escolha inadequada ocorre quando uma organização tem várias alternativas a serem consideradas em
relação a uma questão que envolve riscos legais, os quais todos podem ser legais, mas cada um apresenta diferentes
custos, implicações e consequências, ou seja, uma alternativa ou uma série de alternativas seriam abandonadas
quando uma decisão é tomada. Por exemplo, uma empresa pode optar por resolver uma disputa com um parceiro
comercial por meio de litígio ou arbitragem. Qualquer abordagem - litígio ou arbitragem - pode resolver a disputa, mas
cada uma terá implicações diferentes em termos de preservação do relacionamento comercial entre as partes, aspectos
relacionados a reputação na indústria e na comunidade, tempo envolvido necessário e custos incorridos.

Anexo B
(informativo)
Exemplo de um registro de risco legal
Um registro de risco legal é uma compilação de possíveis ocorrências de eventos de riscos legais com
as leis correspondentes, possíveis resultados e consequências. Ajuda o usuário a identificar riscos
legais em relação às leis pertinentes. Um exemplo é dado na Tabela B.1.
Tabela B.1 – Exemplo de um registro de risco legal
Evento de Opinião de
Leis Opinião de Plano de
Atividades Categoria risco legal Conse- equipes
relevan- Casos consultor ação reco-
operacio- de risco identificado quências jurídicas
tes apli- passados jurídico mendado/
nais legal (datas, legais in-house/
cáveis externo solução
ocorrências) internas
É importante que uma organização que compila um registro legal de riscos o faça com orientação e
supervisão de seu departamento jurídico interno e/ou consultores jurídicos externos, assegurando
que o registro legal de riscos permaneça protegido pelo sigilo profissional jurídico aplicável em cada
jurisdição coberta pelo informações que ele contém. Um exemplo é dado na Tabela B.2.
Se o registro de riscos legais não for mantido regularmente em coordenação com os profissionais
jurídicos apropriados, a empresa pode descobrir que, em certas jurisdições, por exemplo, o registro
de riscos legais pode estar sujeito a divulgação em eventuais litígios subsequentes, resultando em
perda do sigilo das informações relacionadas ao trabalho (ou o sigilo equivalente aplicável na lei local).
Em algumas jurisdições de direito comum (common law), pode ser possível se beneficiar do sigilo
profissional legal incorporando, como parte da gestão de riscos legais, um processo em que incidentes
ou reclamações são notificados pelo proprietário do risco (se possível ou até funcional) diretamente
a consultores jurídicos externos onde eles venham a reter, compilar e completar um registro de
reclamações. Convém que aconselhamento jurídico local seja procurado.
Tabela B.2 – Assessoria jurídica recebida, análise e decisão quantitativa/qualitativa
Plano de
Opinião de Análise Análise tratamento Decisão do
Opinião de equipe
consultores quantitativa qualitativa do recomendado dado conselho ou
jurídica in-house/
jurídicos do problema problema de ao conselho da da equipe
interna
externos de risco legal risco legal organização ou à responsável
equipe responsável

Convém que a organização procure analisar criticamente seu registro legal de riscos regularmente.
Como parte desta análise crítica, um conjunto de perguntas estruturadas para entrevistas (ver Tabela B.3)
pode ser desenvolvido para coletar informações dos líderes de equipes comerciais e operacionais e
para analisar criticamente a exposição e a eficácia do ambiente de controle. Convém que as pergun-
tas estejam alinhadas à última análise crítica e incorporem mudanças na organização durante o último
período desde a análise crítica. As entrevistas são um método útil para refletir sobre períodos ante-
riores e explorar novas maneiras de estabelecer parceria com as equipes comerciais e operacionais
para ajudá-las a gerenciar seus riscos legais. Certos riscos legais nem sempre são encaminhados
para o conselho de uma organização, mas são considerados pela equipe responsável [ou seja, a(s)
pessoa s) da organização com a autoridade necessária] para tomar uma decisão em relação ao plano
de tratamento recomendado.
Tabela B.3 – Exemplos de perguntas para entrevistas estruturadas

Pergunta da entrevista Objetivo da pergunta
Quão robusto o gerente sênior considera o
Como os controles de risco influenciam a
processo de gestão de riscos legais. Quão bem
tomada de decisões na gestão de riscos
ele é comunicado e quais informações eles
legais?
usam para monitorá-lo.
Quantos de seus contratos possuem uma
Se os entrevistados têm uma boa visão de seus
cláusula de renovação automática que
contratos existentes e os gerenciam ativamente.
entrará em vigor?
Quantos contratos sua organização celebra Se existe um processo de gestão de contratos
em um período especificado? em vigor.
Quantas transações sua organização
negociou no ano passado? Quais desvios Que nível de governança existe para as
dos termos e condições padrões, houve negociações.
formalização contratual?
Qual é a maior causa de disputas contra a Áreas problemáticas potenciais e se existe um
organização? conhecimento geral sobre assuntos em litígio.

Anexo C
(informativo)
Exemplo para estimar a probabilidade de eventos relacionados

a riscos legais
A estimativa da probabilidade de ocorrência de eventos relacionados ao risco legal é um processo de

duas etapas.
Primeiro, é determinado se um evento de risco pode ocorrer com um certo grau de probabilidade.
Segundo, é determinado se este evento de risco tem consequências legais ou não e, portanto,
qualifica-se como um risco legal.
Uma vez realizada essa segunda determinação, o risco legal é classificado em uma escala que varia
de um risco legal menor, com poucas ou nenhuma consequência provável regulatória ou monetária,
até um risco legal com consequências regulatórias ou monetárias significativas.
A Tabela C.1 fornece uma lista não extensiva de alguns dos fatores em potencial a serem considerados,
juntamente com uma classificação apropriada.
Uma pontuação mais alta indica uma maior probabilidade de riscos legais relacionados.
Diferentes metodologias práticas, por exemplo, usando uma fórmula de média ponderada, podem ser
usadas para se avaliar a probabilidade de riscos legais por meio da combinação de pontuações de
vários fatores da Tabela C.1.
Tabela C.1 – Avaliando a probabilidade de um evento de risco legal (continua)

Parâmetro 1 2 3 4 5
Eficácia das Políticas e Políticas e Políticas e Políticas e Políticas e
políticas e procedimentos procedimentos procedimentos procedimentos procedimentos
procedimentos para controles para controles para controles para controles para controles
de governança internos são bem internos estão internos são mais internos estão internos são
e risco, projetados. completos. prováveis do que incompletos. inexistentes.
conforme não completos.
estabelecido
por meio de
controles
internos

Tabela C.1 (continuação)

Políticas e Políticas e pro- Políticas e Políticas e pro- Políticas e
procedimentos cedimentos para procedimentos cedimentos para procedimentos
para controles controles internos para controles controles internos para controles
internos são são implementa- internos são são insuficiente- internos
Eficácia das
totalmente dos. mais prováveis mente implemen- não são
políticas e
implementados do que não tados. implementados.
procedimentos
e analisados implementados.
de governança
criticamente
e risco,
regularmente
conforme
para assegurar
estabelecido
que permaneçam
por meio de
robustos e
controles
adequados às
internos
necessidades
em constante
mudança da
organização.
Os funcionários Os funcionários Os funcionários Os funcionários Os funcionários
estão estão cientes estão cientes estão cientes não estão
plenamente das implicações das implicações das implicações cientes das
cientes das dos riscos legais dos riscos legais dos riscos legais implicações dos
implicações dos aplicáveis ao aplicáveis ao aplicáveis ao riscos legais
riscos legais trabalho que trabalho que trabalho que aplicáveis ao
aplicáveis ao realizam para realizam para realizam para a trabalho que
trabalho que a organização a organização organização, mas realizam para a
Adequação do
realizam para e incorporam e é mais não incorporam organização.
treinamento
a organização esses princípios provável que estes princípios
às implicações
e incorporam em suas funções não incorporem em suas funções
dos riscos
plenamente cotidianas. esses princípios diárias.
legais
esses princípios nas suas funções
em suas diárias.
funções diárias,
estabelecendo
padrões de
melhores
práticas para a
organização.

Tabela C.1 (conclusão)

A capacidade da A capacidade da A capacidade A capacidade A capacidade
contraparte contraparte da contraparte da contraparte da contraparte
cumprir suas cumprir suas de cumprir suas de cumprir suas cumprir suas
obrigações obrigações obrigações obrigações obrigações
contratuais é contratuais é contratuais é boa contratuais é fraca contratuais é
excelente e a muito boa e a e a probabilidade e a probabilidade extremamente
Risco da
probabilidade probabilidade de quebra de de quebra de fraca e a
contraparte
de quebra de de quebra de contrato ou contrato ou probabilidade

contrato ou contrato ou inadimplência inadimplência da de quebra de
inadimplência da inadimplência da outra parte é outra parte é forte. contrato ou
outra parte não é da outra parte é mais provável. inadimplência
provável. pouco provável. da outra parte é
muito grande.
Regras muito Regras Algumas regras Não há regras Não há regras
claras sobre claras sobre claras sobre claras sobre a claras sobre
aplicabilidade aplicabilidade aplicabilidade aplicabilidade aplicabilidade
da lei. da lei. da lei. da lei. da lei.
Expectativa Há expectativa Há alguma Há alguma Não há nenhuma

Aplicabilidade muito clara de boa de que expectativa expectativa expectativa
de leis que os tribunais os tribunais razoável de razoável de que razoável de
da jurisdição da jurisdição que os tribunais os tribunais da que os tribunais
aplicável aplicável da jurisdição jurisdição aplicável da jurisdição
executarão as executarão as aplicável executarão as aplicável
leis ou decisões leis ou decisões executarão as leis ou decisões executem
judiciais com judiciais com leis ou decisões judiciais com base as decisões
base nessas leis. base nessas leis. judiciais com nessas leis. judiciais com
base nessas leis. base nessas leis.
As atividades As atividades As atividades As atividades As atividades
Atividade relacionadas relacionadas relacionadas relacionadas relacionadas
comercial ocorrem uma vez ocorrem uma vez ocorrem uma vez ocorrem uma vez ocorrem uma
por ano. a cada trimestre. por mês. por semana. vez ao dia.

Anexo D
(informativo)
Estimativa das consequências de eventos relacionados a riscos legais
A consequência de riscos legais se manifestará em termos das consequências financeiras, regulatórias,

de reputação, geográficas e organizacionais da empresa.
A análise quantitativa das consequências dos riscos legais pode ser realizada subdividindo cada uma
das categorias acima ao longo de um espectro que varia de nenhuma consequência a consequência
grave, dependendo dos efeitos específicos que os riscos legais têm sobre a organização. Portanto,
cada uma das cinco categorias acima pode ser dividida em um espectro de cinco graus de 1 a 5,
com 1 indicando nenhuma consequência de riscos legais e 5 indicando uma consequência grave de
riscos legais.
A ponderação a ser dada para cada uma das cinco categorias usadas para avaliar a consequência de
risco legal variará dependendo da organização envolvida e da complexidade das questões de riscos
legais envolvidos. A organização é incentivada a desenvolver sua própria ponderação para avaliar a
consequência de um risco legal, avaliando a consequência específica das cinco categorias, de acordo
com organizações semelhantes, o país ou países em que atua e as operações específicas da indústria
que é objeto de seu foco. Por exemplo, uma instituição financeira que opera em um setor altamente
regulamentado em nível global pode dar ao risco regulatório e de reputação um peso maior do que as
outras categorias listadas.
Ao personalizar sua gestão de riscos legais, cada organização pode remover e/ou adicionar categorias
a serem usadas para avaliar a consequência de riscos legais. Não convém que a lista de categorias
contidas não seja uma lista exclusiva.
Tabela D.1 – Exemplo de análise da consequência de riscos legais (continua)

Consequência 100 001 a 1 000 001 a 5 000 001 a
0 a 100 000 10 000 001+
monetária a 1 000 000 5 000 000 10 000 000
Pequena perda Perda substan- Perda significa-
Pequena perda
Menor perda de de reputação, cial de reputa- tiva de reputa-
de reputação,
Consequência reputação, imagem imagem corpo- ção, imagem ção, imagem
imagem corpora-
não monetária corporativa, proprie- rativa, corporativa, corporativa,
tiva, propriedade
dade intelectual propriedade propriedade propriedade
intelectual.
intelectual. intelectual. intelectual.

Tabela D.1 (conclusão)

A consequência A consequência A consequência é A consequência A consequência
é inteiramente é limitada a um limitada apenas à é limitada a um é para todos os
limitada a um ou mais países jurisdição na qual ou mais países em
país ou a mesma (mas nem todos a organização países (mas que a
região, cuja os países onde (ou a organização nem todos os organização
consequência nas a organização holding países em que opera, e a
operações gerais opera) que proprietária ou a organização consequência
da organização é não sejam a controladora opera), bem é tão difundida

mínima. jurisdição da mesma) é como à(s) que pode ser
na qual a incorporada ou jurisdição(ões) ameaçadora
organização “essencialmente em que a para toda a
(ou a organi- em casa” e a organização organização.
Consequência
zação holding consequência (ou a organi-
geográfica
que possui nas operações zação holding
ou controla a gerais da proprietária ou
mesma) está organização é controladora da
incorporada ou significativa. mesma) é in-
está “essencial- corporada ou é
mente em casa” “essencialmente
e a consequên- em casa” e a
cia nas opera- consequência
ções gerais da nas operações
organização é gerais da orga-
moderada. nização é signi-
ficativa.
A consequência A consequência A consequência A consequência A consequência
é inteiramente é inteiramente é limitada apenas é limitada à é para toda a
limitada a uma limitada a uma à organização organização organização
área distinta da ou mais áreas ou a uma de e uma ou e suas
organização ou distintas da suas subsidiárias mais de suas subsidiárias
a uma de suas organização ou ou divisões subsidiárias e divisões
Consequência
subsidiárias de uma de suas operacionais e ou divisões operacionais e
intraorganiza-
ou divisões subsidiárias a consequência operacionais e a consequência
cional
operacionais, com ou divisões nas operações a consequência é tão difundida
uma consequência operacionais, gerais é nas operações que ameaça
geral mínima para a com uma significativa. gerais é a organização
organização. consequência significativa. para toda a
geral moderada organização.
na organização.
a Os limites de impacto monetário variam de acordo com o tamanho, a natureza da empresa e o país em que uma
organização opera e, é claro, os valores e flutuações da moeda ao operar em jurisdições com moedas diferentes.

Anexo E
(informativo)
Cláusulas-chave a serem consideradas ao analisar criticamente contratos
Este anexo fornece um breve resumo das principais cláusulas a serem consideradas ao analisar
criticamente um contrato para minimizar riscos legais. Esta lista de verificação de problemas não
pretende substituir um aconselhamento jurídico, nem uma lista abrangente de todos os problemas
de contrato. A maioria dessas questões é, em última análise, de negócios, exigindo decisões de
negócios, mas são “riscos legais” no sentido de que estão incorporados no contrato ou convém que
sejam tratados no contrato.
Convém que a organização verifique se todos os problemas apresentados na Tabela E.1 estão
cobertos por um contrato ou pelo menos considerados, mesmo que demitidos. Pode ser apropriado
aceitar maiores riscos para o produto, serviço ou benefícios de custo. Pode ser apropriado que a
organização considere cada um dos problemas da perspectiva pertinente, dependendo se:
a) o fornecedor de bens ou o fornecedor de serviços; ou
b) os compradores de mercadorias ou clientes que recebem os serviços.
Para as jurisdições que exigem consideração para um acordo legal vinculativo, verificar se há
consideração válida.
Tabela E.1 – Cláusulas-chave a serem consideradas para minimizar riscos legais (continua)
Questão Considerações
Capacidade para Verificar se a contraparte tem capacidade legal para entrar em um acordo
contratar legal vinculativo.
Para as jurisdições que exigem consideração para um acordo legal
Consideração
vinculativo, verificar se há consideração válida.
O comprador exige os produtos em uma data específica (talvez para cumprir
suas obrigações nos termos de um contrato com terceiros)? Neste caso,
convém que a cláusula de entrega seja redigida para assegurar que:
Termos de entrega/ — o tempo é essencial para a entrega; e
Envio — o comprador pode recuperar quaisquer perdas reais sofridas como resultado.
Convém que o fornecedor se preocupe se: a) as perdas estipuladas na
cláusula não foram limitadas; ou b) as datas de entrega especificadas pelo
comprador correm um alto risco de não serem cumpridas.

Tabela E.1 (continuação)

Nos termos de um contrato de bens, quando o título legal passa para o
comprador (ou seja, quando ele se torna propriedade do comprador e não
do fornecedor)?
Transferência do Se o título passar antes da data de entrega e a organização estiver
título legal comprando as mercadorias, convém assegurar que as mercadorias estejam
seguradas a partir dessa data. A falha na obtenção do seguro arrisca a
perda financeira por danos ou destruição das mercadorias antes que elas
estejam sob o controle da organização.

Como comprador, a organização precisa do direito de cancelar um pedido?
Cancelamento Como fornecedor, convém que a organização tente limitar o período de
(contratos de tempo para o comprador cancelar seu pedido para o limite legal, caso
mercadorias) contrário corre o risco de perder o tempo gasto atendendo o pedido até a
data do cancelamento.
O contrato concede ao fornecedor do serviço o direito de suspender
o serviço ou rescindi-lo completamente em determinados eventos ou
condições? Estas disposições não são irracionais em resumo, mas
convém que:
— seja limitado apenas a assuntos verdadeiramente significativos;
— proporcione uma oportunidade para o cliente remediar a suposta violação
Suspensão e ou alguma forma de escalação, em vez de implementação instantânea
rescisão de serviço (exceto no caso de emergências verdadeiras); e dê ao cliente tempo
(contratos de suficiente para fazer arranjos alternativos para seus dados ou serviço.
serviços)
Convém que a organização do cliente também tenha certeza de que os
dados continuarão disponíveis em um formato utilizável, por pelo menos
um período especificado após o término (ou, se o provedor de serviços não
estiver disposto a se comprometer com um comprimento específico, um
“argumento comercialmente válido/possível “), além de que o provedor de
serviços retorne ou destrua quaisquer cópias dos dados do cliente assim
que o desengajamento for concluído.
Quais são os termos de pagamento? Eles estão relacionados à data da
fatura ou entrega das mercadorias, e não ao recebimento da fatura pelo
cliente?
Existem juros a pagar por pagamentos em atraso?
Pagamento
Existe a capacidade de contestar pagamentos?
Existe uma redação que declare que “o tempo é essencial” para o
pagamento (nesse caso, o atraso no pagamento pode autorizar o fornecedor
a rescindir o contrato)?


Danos
Convém que a organização considere os danos que deseja recuperar da
outra parte.
Obviamente, convém que a organização procure recuperar perdas
diretas, mas também convém que busque reivindicar perdas indiretas
ou consequenciais? Se o fornecedor aceitar perdas indiretas ou
consequenciais, elas podem ser amplas e potencialmente aumentar seus
Danos/ passivos além do valor do contrato.

Responsabilidade
Limitações
A organização terá que considerar se pode aceitar alguma limitação na
responsabilidade da outra parte pelo não cumprimento de suas obrigações
nos termos do contrato.
Convém que a organização se preocupe se a outra parte desejar que os
passivos da organização sejam limitados a um valor superior ao seguro que
a organização possui para estes passivos.
Convém que remessas ou entregas parciais sejam aceitas?
Remessas
parciais, remessas Se as mercadorias forem entregues em entregas parciais ou remessas
e quantidades parciais, existe um risco para a organização de que a outra parte se torne
divididas insolvente ou de outra forma pare de negociar antes de todo o pedido ser
entregue.
Em quais circunstâncias convém que o comprador seja autorizado a
devolver a mercadoria?
Nos casos em que a organização comprou mercadorias e o fornecedor
insistiu em condições muito restritas nas quais aceitará devoluções, a
organização corre o risco de ter pago o preço de compra, mas não recebido
o item no padrão esperado. Nesse caso, a organização precisaria decidir
se aceitaria ou pagaria por outra parte para fornecer bens com o padrão
Devolução de que originalmente esperava.
mercadorias
Onde a organização está vendendo os produtos, convém que tente
limitar o período em que os retornos podem ser feitos. Caso contrário, a
organização corre o risco de o comprador devolver as mercadorias após
um período de tempo que as mercadorias têm maior probabilidade de
perder valor.
Outra opção é defender o direito de testar ou inspecionar as mercadorias
antes da compra.


O contrato proíbe adequadamente a contraparte de divulgar informações
que a organização deseja manter em sigilo, como segredos comerciais
ou mesmo a existência do acordo em sua totalidade/completamente?
Muitas vezes, os fornecedores desejam divulgar seus acordos anteriores
para atrair mais negócios (às vezes usando o logotipo ou a marca
registrada do cliente), mas isso representa um risco para a organização do
cliente, se o fornecedor abordar a seus concorrentes e divulgar os termos
que a organização assinou o contrato.

Confidencialidade
Convém que as cláusulas de confidencialidade sejam incluídas no contrato
para:
— definir amplamente informações confidenciais (incluindo todos os dados,
não escritos, informações e o conteúdo de quaisquer documentos os
quais a outra parte tenha acesso);
— limitar as circunstâncias em que a divulgação é permitida (por exemplo,
investigações regulatórias ou criminais ou como permitido por lei).
Existe o risco de a outra parte se tornar insolvente antes de executar
todas as suas obrigações decorrentes do contrato. Como convém que sua
insolvência afete o contrato?
Insolvência Se a organização achar que existe o risco da outra parte não executar
suas obrigações decorrentes do contrato, pode-se argumentar que um
fiador também entre no contrato (geralmente uma empresa-mãe) para
garantir a execução.
É mais provável que o contrato especifique que é regido pela lei do
fornecedor/país do fornecedor do serviço e concedaer aos tribunais desse
país jurisdição exclusiva sobre quaisquer disputas decorrentes do contrato.
Como cliente, uma organização corre o risco de que as leis do país da
contraparte não oferecerão recursos legais suficientes.
Algumas opções para a organização considerar incluem:
— especificar a lei e a jurisdição da própria jurisdição da organização
(fornecedores de serviços grandes provavelmente operam e estão
sujeitos a todas essas jurisdições, por isso não é um inconveniente
Legislação de significativo para eles);
governança e
jurisdição — estabelecer que convém que as disputas sejam levadas à jurisdição do
réu (que é imparcial e tende a incentivar a resolução informal, pois o
reclamante não terá a vantagem de “tribunal de casa”);
— excluir o fornecimento e deixar a questão em aberto para discussão
posterior e resolução, se e quando necessário. No entanto, esta
abordagem estará sujeita a direito público internacional, que pode ser
prejudicial à organização.
Outro risco para a organização é que ela pode acabar sendo parte de um
contrato inexequível devido à (falta de) poder dos tribunais na jurisdição
escolhida.


Que garantias são dadas e quais são negadas?
O contrato isenta essencialmente de todas as garantias? Nesse caso,
considere se é inconsistente com as leis locais, assim não é possível que
algumas garantias, por uma questão de lei (por exemplo, por causa de
proteções legais) sejam excluídas.
No mínimo, convém que o contrato assegure que o serviço esteja em
conformidade e seja executado de acordo com suas especificações
Isenção de (convém que sejam elas mesmas o mais detalhado possível, para
garantias evitar mal-entendidos e desacordos) e que não viole nenhum direito de
propriedade intelectual de terceiros; caso contrário, a organização do
cliente corre o risco de se expor a reivindicações de terceiros que não
serão cobertas por qualquer limite de responsabilidade acordado no
contrato.
Sem essas duas garantias, há uma garantia mínima para um cliente de
que o serviço fará de fato o que o pessoal de marketing do provedor de
serviços reclama ou que o provedor de serviços tenha o direito de fornecer
os serviços ao cliente.
As indenizações operam para limitar os riscos enfrentados por uma parte
quando o risco não está em seu controle. O escopo da indenização
poderia, contudo, representar riscos adicionais, se não limitado
adequadamente. Uma organização poderia argumentar que a indenização:
— seja apenas para determinadas perdas (ver a questão sobre danos);
— limita o valor da indenização.
A organização é obrigada a indenizar a outra parte não apenas por
suas próprias ações (o que não é necessariamente absurdo), mas
também as de seus contratados ou outros terceiros pelas quais não
possa ser indiretamente responsabilizada? Isto é preferível não aceitar
Indenizações voluntariamente essa responsabilidade. Se a indenização for aceita pela
organização, então o escopo desta indenização precisa ser considerado
com cuidado, por exemplo, é uma indenização ilimitada?
A maioria dos contratos-padrão de um fornecedor/provedor de serviços
provavelmente não inclui qualquer forma de indenização que beneficie
os clientes. No entanto, essa proteção é importante em pelo menos duas
áreas-chave, ambas em grande parte, se não inteiramente, no controle
exclusivo do fornecedor de serviços, e ambos podem ser extremamente
caros para defender e remediar:
— violação de direitos de propriedade intelectual de terceiros;
— divulgação inadequada ou violação de dados.


Convém que as partes sejam capazes de ceder o benefício do contrato ou
subcontratar suas obrigações dele decorrentes?
Convém que a organização considere se convém limitar expressamente o
Cessão e direito de ceder em sua totalidade e assim fornecer seu consentimento por
subcontratação escrito.
Existe o risco de que, se a outra parte for capaz de subcontratar suas
obrigações nos termos do contrato, o subcontratado pode não cumprir suas
obrigações com o mesmo padrão como a parte contratante original.

Os eventos que estão dentro do controle da contraparte são projetados
como evento de força maior, excluindo sua responsabilidade pelo não
Força maior cumprimento de parte ou de todas as suas obrigações sob o contrato?
Convém que a organização considere quais fatores estão fora de seu
controle e tente incluir como eventos de força maior no contrato.
Se houver uma disputa, como convém que seja resolvida?
Existem vários métodos para resolver uma disputa, incluindo litígios,
arbitragem, mediação e mais. Cada procedimento de resolução de disputas
possui seus próprios riscos e convém que a organização considere:
Resolução de
disputas — um prazo limite, ou limiar mínimo (de minimis) para a apresentação de
reclamações;
— instruir um especialista para resolver a disputa;
— um processo para contestar o resultado do procedimento de resolução.
Convém que os direitos de terceiros sejam excluídos se um membro do
grupo da organização de empresas está celebrando o contrato?
Frequentemente, os direitos de terceiros são excluídos dos contratos.
No entanto, às vezes pode ser apropriado incluir expressamente direitos de
terceiros para permitir que o terceiro cumpra o contrato. Por exemplo, onde
um membro de um grupo de empresas celebra contrato para o benefício de
todo o grupo.
Direitos de terceiros O risco surge quando os direitos de terceiros não estão expressamente
limitados a certas partes ou a certos direitos. Para mitigar os riscos,
convém que sejam incluídas expressões para:
— limitar terceiros (por exemplo, aqueles do grupo de empresas da parte);
— os direitos contratuais que são executórios por qualquer terceiro;
— garantir que os direitos de terceiros não sejam concedidos em favor de
apenas um dos grupos de partes contratantes (conforme necessário).


Existe uma disposição em que o contrato é renovado automaticamente
por um período adicional, a menos que o cliente notifique previamente por
escrito?
Renovação Convém que o cliente tenha um processo interno para se lembrar quando
automática precisar tomar uma decisão sobre renovação e notificar qualquer rescisão.
Idealmente, o contrato seria renovado automaticamente (para que o cliente
não precise renegociar todas as vezes), mas também permitiria a rescisão
por conveniência em alguns períodos razoáveis de notificação.

A outra parte tem o direito de fazer modificações em suas obrigações
unilateralmente? Às vezes, por exemplo, os fornecedores de serviços
tentam modificar seus serviços sem nenhuma contribuição da organização
do cliente. Enquanto alguma forma do direito de fazer alterações é
necessário e apropriado em algumas circunstâncias (como melhorias),
Modificações no essa abordagem é arriscada da perspectiva do cliente e não fornece ao
contrato cliente nenhuma garantia de que essas modificações serão benéficas,
muito menos aceitáveis.
Limitar o direito da outra parte a “modificações comercialmente razoáveis”
seria melhor. Melhor ainda seria acrescentar a isso uma qualificação
proibindo modificações “materialmente prejudiciais”.
Em alguns contratos comerciais, o fornecedor de serviços terá acesso aos
dados da organização que constituem “dados pessoais” ou “informação
Proteção/
pessoal identificada” (ou o termo equivalente de acordo com as leis locais)
privacidade de
para os propósitos da proteção de dados e lei de privacidade. Assim, as
dados
disposições contratuais adequadas precisarão ser incluídas no contrato
com o fornecedor de serviços.
Alguns contratos reservam expressamente o direito de armazenar dados
de clientes em qualquer país em que fazem negócios. Outros podem
não abordar o assunto, mas fornecedores de serviços podem seguir
Alocação de dados práticas semelhantes, não obstante na (geralmente legítimo) teoria do
que com que não é expressamente proibido é assim permitido. Convém
que as implicações da proteção de dados de quaisquer dados pessoais
transferidos para fora de uma determinada jurisdição seja considerada.
Quando o contrato exige que os dados sejam transferidos ou criados,
convém que o contrato lide com a questão de qual parte será a proprietária
dos dados. Como provedor de dados, convém que a organização deixe
Dono dos dados expressamente claro que todos os dados pertencem a ela e que o
fornecedor de serviços não adquire direitos ou licenças para esses dados.
Também pode ser útil especificar que a outra parte não adquire e não pode
reivindicar qualquer segurança nos dados do cliente.

Tabela E.1 (conclusão)

Que tipos de seguro (por exemplo, responsabilidade pelo produto,
indenização profissional) o fornecedor/ prestador de serviços compromete-
se contratualmente a manter?
Seguro Qual é o escopo de cobertura desse seguro?
Quais são as exclusões desse seguro?
Os requisitos de seguro se aplicam aos subcontratados?
Existem prazos para a notificação de reclamações ou para iniciar litígios

(que tenham o efeito de reduzir o prazo limite de prescrição legal para
Limite de tempo de reclamações contratuais)?
reclamações
Se houver um limite de tempo, o período começa quando uma parte deve
saber da reivindicação ou quando a reclamação surge pela primeira vez?
Convém que cláusulas que tratam de questões éticas pertinentes sejam
incluídas nos contratos de fornecimento ou contratos que antecipam um
relacionamento na cadeia de suprimentos. Estas questões éticas incluem
antiescravidão, tráfico de pessoas, condições degradantes de trabalho,
sustentabilidade e comércio justo e desenvolvimento das comunidades locais.
As cláusulas para tratar de questões éticas são mais adequadas para
uso onde a outra parte faz parte de um setor ou se baseia em um local
onde essas questões éticas são conhecidas por serem predominantes ou
Problemas éticos precisam ser abordadas ativamente.
As cláusulas podem procurar assegurar que as entidades da cadeia
de suprimentos de uma organização concordem com várias políticas
que lidam com questões éticas. Eles também podem incluir cláusulas
opcionais de garantia e provisões para indenização, cláusulas específicas
de país, obrigações de relato, obrigações de auditoria e restrições à
subcontratação. Estes podem ser incluídos onde apropriado após uma
avaliação do risco destas questões éticas na cadeia de suprimentos
conectada a uma transação específica.
Uma contraparte pode solicitar que uma organização adira às suas
políticas, por exemplo, termos do uso de políticas, políticas antissuborno e
anticorrupção, políticas de proteção de dados.
É altamente provável que a contraparte se reserve o direito de modificar
essas políticas unilateralmente de tempos em tempos. Concordar com
essa posição pode aumentar custos operacionais e criar problemas de
compliance. Para gerenciar esse risco com esse tipo de cláusula, convém
Aderência às que a organização considere:
políticas de — solicitar uma cópia dessas políticas para analisar criticamente os termos;
contraparte — solicitar, em caso de contradição ou inconsistência entre a política e
os termos e condições do contrato, os termos e condições do contrato
prevalecerão sobre a política;
— solicitar que a contraparte notifique a organização com antecedência
sobre quaisquer mudanças na política para que seja possível tomar
uma decisão sobre a continuidade da relação contratual antes que
essas mudanças se tornem efetivas (e incluir o direito no contrato de ter
esse direito de rescisão).

Bibliografia
[1] ISO 19600:2014, Compliance management systems – Guidelines
[2] IEC 31010:2019, Risk management – Risk assessment techniques


Idioma

NBRISO31022

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

NBRISO31022

Enviado por

Direitos autorais:

Formatos disponíveis

Documento impresso em 17/02/2021 17:10:35, de uso exclusivo de FUNDACAO UNIVERSIDADE DE BRASILIA

NORMA ABNT NBR

Gestão de riscos — Diretrizes para a gestão de

© ISO 2020 - © ABNT 2020

ABNT NBR ISO 31022:2020

ii © ISO 2020 - © ABNT 2020 - Todos os direitos reservados

ABNT NBR ISO 31022:2020

© ISO 2020 - © ABNT 2020 - Todos os direitos reservados iii

ABNT NBR ISO 31022:2020

Anexo D (informativo) Estimativa das consequências de eventos relacionados a riscos

Figura 2 – Processo de gestão de riscos legais...............................................................................5

iv © ISO 2020 - © ABNT 2020 - Todos os direitos reservados

ABNT NBR ISO 31022:2020

A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas

Os Documentos Técnicos internacionais adotados são elaborados conforme as regras da

O Escopo em inglês da ABNT NBR ISO 31022 é o seguinte:

© ISO 2020 - © ABNT 2020 - Todos os direitos reservados v

ABNT NBR ISO 31022:2020

A gestão de riscos legais ajuda as organizações a proteger e a aumentar seu valor.

— alcançar os resultados e objetivos estratégicos da organização;

— entender e avaliar melhor a extensão e as consequências de questões e riscos legais e exercer

— aumentar e incentivar constantemente;

— a identificação das oportunidades de melhoria contínua.

vi © ISO 2020 - © ABNT 2020 - Todos os direitos reservados

ABNT NBR ISO 31022:2020

— oferece uma abordagem de gestão integrada à identificação, antecipação e gestão de riscos

— apoia e complementa as abordagens existentes, aprimorando-as fornecendo melhores

— apoia qualquer procedimento de compliance, que as organizações podem ter implementado,

— apoia a função de compliance, identificando de maneira mais ampla os aspectos legais e

Este documento não se destina a:

© ISO 2020 - © ABNT 2020 - Todos os direitos reservados vii

NORMA BRASILEIRA ABNT NBR ISO 31022:2020

Gestão de riscos — Diretrizes para a gestão de riscos legais

ABNT NBR ISO 31000, Gestão de riscos – Diretrizes

— ISO Plataforma de navegação online: disponível em https://www.iso.org/obp

— IEC Electropedia: disponível em http://www.electropedia.org/

© ISO 2020 - © ABNT 2020 - Todos os direitos reservados 1

ABNT NBR ISO 31022:2020

e informações confidenciais contra terceiros.

Nota 4 de entrada: Risco de obrigações extracontratuais é o risco de que o comportamento e a tomada de

Nota 1 de entrada: Leis podem incluir quaisquer:

— estatuto, regulamento, lei codificada, by-law, portaria, legislação subordinada.

— direito comum ou jurisprudência;

— ordem judicial, sentença ou decreto;

— código ou política industrial aplicável, obrigatórios por lei.

[FONTE: ISO 19600:2014, 3.2.1, modificada – Nota 1 de entrada foi modificada.]

2 © ISO 2020 - © ABNT 2020 - Todos os direitos reservados

ABNT NBR ISO 31022:2020

Convém que a organização tenha um entendimento detalhado da aplicabilidade, impacto e

© ISO 2020 - © ABNT 2020 - Todos os direitos reservados 3

ABNT NBR ISO 31022:2020

de consultores jurídicos internos, se existentes, convém que inteligência de negócios, análise

i) Equidade: Para os tomadores de decisão, o estabelecimento do princípio da equidade orienta

5 Processo de gestão de riscos legais

4 © ISO 2020 - © ABNT 2020 - Todos os direitos reservados

ABNT NBR ISO 31022:2020

avaliação de Identificar consultar

Probabilidade Analisar Consequências

Desenvolver plano Todas estas atividades

Figura 2 – Processo de gestão de riscos legais

Convém que o monitoramento, a análise crítica e a produção de relatórios, a comunicação e a consulta

5.2 Estabelecendo o contexto e o critério pertinentes

5.2.2 Contexto externo dos riscos legais