9 falhas comuns de gerenciamento de riscos e como evitá-las

1. Má governança e controles de risco fracos

O Citibank foi notícia de forma negativa quando transferiu por engano o pagamento de um empréstimo de US$ 900 milhões para os credores da empresa de cosméticos Revlon em agosto de 2020. Um juiz federal decidiu posteriormente que o Citibank não tinha direito a reembolsos de 10 credores que se recusaram a devolver cerca de US$ 500 milhões, embora um tribunal de apelações tenha anulado a decisão, e o banco acabou recebendo todo o dinheiro de volta.

O Citibank tinha políticas e tecnologias relacionadas a riscos em vigor, como terminais dedicados para transferência de grandes quantias de dinheiro e um conjunto de controles internos que foi revisado após a mudança para o trabalho remoto durante a pandemia de COVID-19. Mas o erro foi rastreado até um pacote de software instalado recentemente que apresentava problemas de interface do usuário e não tinha os controles apropriados incorporados, o que levou a um erro humano. "Este foi um caso em que o lado humano da equação pode sobrepujar qualquer boa tecnologia já instalada", disse Chris Matlock, vice-presidente e gerente da equipe de analistas do Gartner.

Os problemas, porém, eram mais profundos do que isso — estavam no cerne dos esforços de gestão de risco da empresa. Dois meses após o pagamento incorreto, o Citibank foi multado em US$ 400 milhões pelos reguladores dos EUA pelo que o governo chamou de "falha de longa data em estabelecer programas eficazes de gestão de risco e governança de dados, além de controles internos". A ordem também exigiu que o banco reformulasse suas práticas e controles.

Em 2021, um incêndio florestal em meio a temperaturas recordes que ultrapassaram 48°C destruiu a vila de Lytton, na Colúmbia Britânica, levando a diversas ações coletivas alegando que o incêndio foi provocado pelo calor ou faíscas de um trem de carga que operava nas proximidades. Os processos, que foram unificados em janeiro de 2025, alegavam que as ferrovias Canadian Pacific Kansas City e Canadian National deveriam saber que era inseguro operar o trem nessas condições.

Embora tais incidentes possam parecer resultado de comportamento imprudente, "muitas vezes não é tão simples assim", disse Josh Tessaro, consultor principal da Workpact, consultoria da ServiceNow. "Quando você vê uma dessas notícias que parece uma tomada de risco imprudente, quase sempre é devido à falta de dados de risco, definição de processos e governança."

2. Processos imaturos de gestão de riscos

Apenas lançar um programa de ERM não é suficiente. Empresas que não investem no desenvolvimento de um plano detalhado de gestão de riscos deixam o sucesso de suas iniciativas ao acaso, afirmou Donald Farmer, diretor da empresa de consultoria TreeHive Strategy. Um plano formal cria uma estrutura para identificar, avaliar, priorizar e responder aos riscos do negócio. Sem um plano aprovado pela alta administração, o processo de gestão de riscos em uma organização dificilmente será abrangente ou totalmente eficaz.

Um plano também deve documentar os seguintes itens:

• Diferentes funções e responsabilidades de gerenciamento de riscos.
• Planos de treinamento e comunicação interna.
• Medidas contínuas de monitoramento de risco.
• Políticas de documentação e manutenção de registros.
• Um processo para revisar e atualizar o plano para mantê-lo alinhado às necessidades do negócio.

Colocar todos esses elementos em prática e garantir que sejam implementados conforme planejado ajuda a aumentar os níveis de maturidade do ERM, o que deve reduzir problemas relacionados a riscos nas operações comerciais.

3. Não criar uma cultura de risco forte

Alla Valente, analista principal da Forrester Research, disse que a cultura corporativa pode ser um problema quando as empresas não conseguem mitigar riscos de forma eficaz, o que geralmente resulta em consequências comerciais negativas.

Por exemplo, os executivos do Wells Fargo ignoraram os sinais de alerta sobre as práticas predatórias de empréstimos, os problemas sistemáticos de administração de empréstimos e as práticas bancárias impróprias do banco por mais de uma década. Fazer isso "foi uma decisão estratégica", disse Valente. "Poderia ter sido corrigido, mas consertar a cultura nunca é fácil." Essa foi uma falha custosa na gestão de riscos: em 2022, o Wells Fargo concordou em pagar USD 2 bilhões aos clientes afetados e uma multa federal de USD 1.7 bilhão.

Para evitar tais problemas, os líderes de risco e de negócios devem trabalhar para construir uma cultura de risco forte que permeie todos os níveis da organização. Além de desenvolver um plano de gestão de riscos que incorpore um programa de treinamento para todos os funcionários, outras medidas de construção da cultura incluem a integração de práticas de gestão de riscos às operações da empresa e a recompensa por comportamentos dos funcionários alinhados às políticas de risco.

4. Supervisão inadequada das iniciativas de risco

Falhas na gestão de riscos também podem ocorrer quando os executivos seniores e o conselho de administração não priorizam os programas de ERM e não lhes dão a atenção necessária para garantir seu sucesso.

O colapso do Silicon Valley Bank em 2023 ilustra esse ponto. De acordo com um relatório do inspetor-geral do Conselho de Governadores do Federal Reserve System, o conselho e a alta administração do banco "não conseguiram avaliar a importância das múltiplas camadas de riscos" que ele enfrentava. Esses riscos incluíam uma base restrita de clientes e grandes volumes de depósitos e investimentos não segurados em títulos de longo prazo.

Em vez de garantir a implementação de controles internos para mitigar os riscos, segundo o relatório, a administração do banco enfatizou o crescimento dos negócios — uma estratégia que se mostrou desastrosa quando o aumento das taxas de juros desencadeou uma corrida ao banco por parte de seus depositantes. Um possível fator que contribuiu para a falta de atenção da administração aos riscos crescentes: o cargo de diretor de risco do banco ficou vago durante a maior parte de 2022.

5. Falta de transparência sobre os riscos do negócio

Dados retidos, dados isolados ou a falta de dados relacionados a riscos dentro das organizações podem criar problemas de transparência e resultar em consequências imprevistas. "Muitos processos e sistemas não foram projetados com o risco em mente e, frequentemente, estão desconectados dentro da empresa e são de propriedade de diferentes líderes", disse Tessaro. "Os gerentes de risco muitas vezes se contentam com os dados que possuem e que são facilmente acessíveis, ignorando processos críticos porque os dados são difíceis de obter."

Uma abordagem transparente de gestão de riscos exige uma estratégia consistente em toda a empresa, apoiada pela alta administração e outros líderes de negócios. A estratégia deve abranger os diversos interesses, objetivos e preocupações críticas com riscos de todos os departamentos. Ela também deve:

• Defina claramente o propósito e as metas do programa de gerenciamento de riscos.
• Incentive a conscientização sobre riscos em toda a empresa.
• Instituir uma linguagem de risco comum.

Um sistema centralizado de registro de perfis de risco e eventos relacionados a riscos também deve ser estabelecido para coletar, gerenciar e reportar dados-chave sobre riscos. Muitas organizações criam um registro de riscos que lista diferentes riscos e sua probabilidade, potencial impacto nos negócios e nível de prioridade com base em avaliações internas de risco, juntamente com responsáveis ​​pelos riscos, planos de resposta e outras informações.

6. Ênfase excessiva na eficiência empresarial versus resiliência

Eficiência e resiliência estão em extremos opostos do espectro empresarial, disse Matlock. Se não forem devidamente equilibradas, acrescentou, os esforços de gestão de riscos podem dar errado.

O aumento da eficiência operacional pode levar a lucros maiores quando as coisas vão bem. Por exemplo, a indústria automobilística obteve economias significativas ao criar uma cadeia de suprimentos com milhares de fornecedores terceirizados distribuídos em vários níveis. Mas, no início da pandemia de COVID-19, houve grandes interrupções nas cadeias de suprimentos, incluindo uma escassez de semicondutores. Os resultados financeiros das montadoras foram prejudicados quando os fornecedores de chips se aproveitaram das margens mais altas que podiam obter dos clientes da indústria de eletrônicos de consumo, deixando as montadoras com escassez de suprimentos dos componentes necessários.

A resiliência dos negócios e o planejamento de continuidade devem ser aspectos essenciais dos programas de gerenciamento de riscos para ajudar a evitar ou mitigar tais situações.

7. Monitoramento insuficiente das cadeias de suprimentos

As interrupções na cadeia de suprimentos causadas primeiro pela pandemia e depois pelas guerras em curso e pela política tarifária de vaivém do governo Trump destacam a necessidade de uma gestão eficaz dos riscos da cadeia de suprimentos. O mesmo ocorre com incidentes de segurança cibernética de alto perfil, como o ataque massivo de backdoor contra clientes da fornecedora de software SolarWinds.

Contratos com fornecedores precisam abordar a proteção de dados sensíveis, requisitos de seguro cibernético, práticas de destruição de dados e outras questões de risco cibernético, afirmou Mark O'Hara, diretor administrativo da consultoria AArete. Outros tipos de riscos da cadeia de suprimentos a serem considerados incluem os econômicos, ambientais e geopolíticos. Mas O'Hara afirmou que muitas organizações não revisam regularmente os contratos existentes nem comunicam novos requisitos de forma consistente, resultando em contratos não conformes e potenciais problemas de gestão de riscos.

As organizações também precisam se concentrar mais amplamente na gestão de riscos de terceiros, uma categoria abrangente que abrange tanto os riscos da cadeia de suprimentos quanto aqueles relacionados às relações com fornecedores de TI e outras empresas que vendem produtos acabados para uma empresa. De forma ainda mais ampla, as iniciativas de ERM devem abordar a gestão de riscos de terceiros para proteger contra riscos nos fornecedores e prestadores de serviços que terceiros utilizam.

8. Falha em reconhecer e gerir os riscos da IA

As empresas estão adotando cada vez mais a tecnologia de IA para aplicações empresariais, incluindo o uso de IA em programas de gestão de riscos. No entanto, as organizações podem enfrentar problemas se não gerenciarem eficazmente os riscos comerciais relacionados à IA. Há uma variedade de riscos a serem considerados, começando pelos problemas que podem ocorrer se as ferramentas de IA não forem devidamente treinadas e monitoradas.

Exemplos de destaque deste último incluem o chatbot Tay, da Microsoft, que rapidamente começou a fazer comentários racistas, misóginos e antissemitas após seu lançamento público em 2016, e o bot Grok, da xAI, que também elogiou Adolf Hitler e fez outras declarações ofensivas após uma atualização em julho de 2025. Após seu lançamento em 2024, o recurso de busca AI Overviews do Google informou aos usuários que eles poderiam adicionar cola atóxica ao molho de pizza e "deveriam comer pelo menos uma pedrinha por dia", entre outras recomendações absurdas.

A seguir estão outros exemplos de potenciais riscos de IA:

• Viés em algoritmos de IA, seja de dados de treinamento ou codificação, que leva a resultados falhos.
• Resultados errôneos, como as alucinações de IA mais comumente associadas a grandes modelos de linguagem.
• Uso antiético ou ilegal de ferramentas de IA que escapa dos controles internos de risco.
• Possíveis responsabilidades legais e problemas de conformidade regulatória resultantes do uso de IA.
• Risco de reputação causado pelo uso inadequado da tecnologia.
• Maiores ameaças à segurança cibernética, pois os invasores usam cada vez mais a IA.

9. Excesso de confiança nas capacidades de gestão de riscos

Avaliar erroneamente a eficácia dos processos de gestão de riscos pode levar a grandes problemas, especialmente quando uma empresa enfrenta uma crise inesperada. Esse problema vai além do excesso de confiança por parte de gestores de risco e executivos corporativos envolvidos na supervisão de iniciativas de Gestão de Riscos Empresariais (GER): gestores de negócios e profissionais operacionais podem ter uma noção exagerada de sua capacidade de lidar com riscos. Um exemplo comum são os operadores financeiros que buscam estratégias de negociação arriscadas que não estão em conformidade com as políticas de gestão de riscos.

O potencial de confiança equivocada nos controles internos é outro motivo pelo qual os líderes de risco e de negócios devem revisar regularmente os programas de gerenciamento de risco.

Sobre os autores: George Lawton é jornalista e mora em Londres. Nos últimos 30 anos, escreveu mais de 3.000 artigos sobre computadores, comunicações, gestão do conhecimento, negócios, saúde e outras áreas de seu interesse.

Craig Stedman é editor do setor na Informa TechTarget que cria pacotes aprofundados de conteúdo sobre análise, gerenciamento de dados e outras áreas de tecnologia.