Como conselheiro de um comitê de riscos, eu costumo dizer que a maior mudança dos últimos anos não foi a “entrada” de um ou outro risco novo na matriz, mas a transformação do próprio ambiente de decisão, em que os choques deixaram de ser raros, passaram a ser concorrentes e interdependentes, e o intervalo entre um evento e outro diminuiu a tal ponto que a empresa, se não tiver disciplina de cenários, mecanismos claros de priorização e capacidade real de execução, entra em modo reativo permanente.
Queria então partir exatamente desse diagnóstico ao mostrar que a variedade de riscos se expandiu e que, com isto, os conselhos têm sido cobrados por respostas mais proativas, mais técnicas e mais conectadas à estratégia, inclusive pela pressão de investidores e pela maior sensibilidade do mercado à volatilidade e “histórias” de baixa performance.
Na prática, isso significa reconhecer que governança de riscos deixou de ser um capítulo de conformidade para se tornar um sistema de resiliência, em que o conselho precisa assegurar que o planejamento estratégico seja “testado” contra o mundo real com juros altos, câmbio volátil, incerteza fiscal, choques regulatórios, disrupção tecnológica, ativismo, ciberincidentes, e que exista um conjunto de respostas predefinidas, com manuais e procedimentos para reagir a cada um deles, além de gatilhos de decisão que reduzam improviso quando o estresse acontece.
Primeiro ponto: instabilidade econômico-política
O primeiro ponto que queria trazer para reflexão é sobre a instabilidade econômico-política, que especialmente no Brasil tem uma materialidade imediata porque combina variáveis macro clássicas com fricções de política econômica e de ambiente externo que batem direto no caixa, no crédito e no custo de capital. Assim, em qualquer empresa relevante, seja um banco, seguradora, varejo, indústria, energia, infraestrutura, agronegócio ou tecnologia, a instabilidade significa, antes de tudo, uma dispersão de cenários, em que a mesma estratégia pode se comportar de formas muito diferentes dependendo da trajetória de juros, inflação, câmbio, crescimento, confiança, risco-país e condições de financiamento.
Além disso, a empresa vive exposta a choques que “andam juntos”, em que uma alteração de expectativa fiscal pode mexer com a curva de juros; juros mexem com consumo e inadimplência e, por sua vez, a inadimplência mexe com provisões e apetite a crédito; por sua vez, as provisões mexem com resultado e capital, e o resultado mexe com percepção do mercado e com capacidade de investimento; e tudo isso, em paralelo, pode ser amplificado por eventos externos como tensões geopolíticas, sanções, tarifas e reconfigurações de cadeias globais.
Assim, o papel do comitê de riscos é garantir que a discussão não fique genérica, no estilo “o macro está ruim”, mas seja traduzida em mecanismos objetivos: sobre quais exposições são realmente sensíveis ao câmbio e à taxa de juros; onde estão as concentrações, ou sobre quais contratos têm repasse de inflação; quais receitas são dolarizadas, ou sobre quais custos são indexados; qual é o “ponto de dor” de covenants, ou quanto tempo de caixa a empresa tem sob estresse, ou qual é o plano de contingência para ruptura de fornecedor, ou como o hedge é governado, ou como o risco de contraparte é monitorado.
Saiba que é exatamente aqui que o conselho deixa de ser espectador e vira arquiteto da robustez, em que não “prevê” o próximo choque em uma bola de cristal, mas exige que a empresa se comporte como se choques múltiplos fossem plausíveis, com testes de estresse que sejam críveis e conectados à tomada de decisão, e com uma visão de continuidade operacional que inclua desde logística e suprimentos até capacidade de financiamento e gestão de liquidez. Vejam o caso das guerras de tarifas de 2024 e toda a incerteza geopolítica, que se tornaram um foco recorrente de curto prazo em discussões de conselho, porque o efeito é transversal e imediato, e no Brasil essa transversalidade é ainda mais intensa pela elasticidade do câmbio e pela relevância de importações em partes críticas de várias cadeias.
Segundo ponto: performance financeira
O segundo ponto que queria trazer é sobre a performance financeira, que é onde muitas empresas brasileiras sentem a diferença entre “gestão de riscos que existe no papel” e “gestão de riscos que protege valor”. Pois a performance financeira, no contexto do conselho, não é só olhar DRE e EBITDA, mas é entender como decisões de alocação de capital, estrutura de funding, política de dividendos, remuneração variável, disciplina de custos, precificação e gestão de portfólio respondem quando o ambiente muda com rapidez.
Em economias com custo de capital estruturalmente elevado como a brasileira, erros de timing e de prioridade custam caro, em que um capex assumido com premissas frágeis, um alongamento de prazo sem proteção adequada, um descasamento de indexadores, uma precificação que não incorpora a volatilidade e o risco de crédito, ou mesmo uma política comercial que “compra crescimento” sem medir qualidade, podem transformar um ciclo ruim em erosão de capital e reputação.
Para instituições financeiras e seguradoras, esse ponto se conecta diretamente a provisões, capital regulatório, modelo de negócio e tolerância a perda: quando a inadimplência muda de patamar, quando o custo de funding se desloca, quando há choque de mercado, o conselho precisa enxergar não só “o número”, mas a mecânica por trás dele, em que carteiras estão deteriorando, quais segmentos pioram primeiro, como estão os limites, qual é a qualidade dos dados, como o modelo reage, como o apetite a risco foi calibrado, se há ruído entre primeira e segunda linha, se o comitê de crédito está tomando decisões coerentes com a estratégia e com o capital.
Para empresas não financeiras, a lógica é a mesma, pois a performance depende de conseguir manter margem e caixa em um cenário em que insumos, logística e demanda mudam; e isso exige disciplina para “colocar um fator de incerteza” nas projeções, alongar o horizonte de risco e construir margens de segurança para decisões relevantes.
Diante disto, acredito que podemos ver a performance como um dos grandes campos de risco, justamente porque, em ambiente de desaceleração e volatilidade, o mercado e os acionistas passam a avaliar se o conselho e a gestão estão realmente protegendo a capacidade de gerar resultado de forma sustentável. No Brasil, esse tema é amplificado pela combinação de mercado de capitais mais exigente, presença de controladores em muitos casos e ciclos econômicos que podem virar rapidamente, exigindo que o conselho seja muito cuidadoso com metas, guidance, incentivos e premissas.
Terceiro ponto: inteligência artificial
O terceiro ponto é sobre a inteligência artificial, que é o ponto em que o debate de risco se torna inevitavelmente técnico e multidisciplinar, mas é também onde a realidade brasileira impõe camadas adicionais, através da dependência de terceiros como provedores de nuvem, plataformas, integradores, assimetria de maturidade entre empresas, escassez de profissionais especializados e, principalmente, o peso de requisitos de privacidade e segurança de dados no desenho das soluções.
Por tudo isso, naturalmente, os conselhos estão preocupados com retorno do investimento, capacidades, ética, segurança e até com lacunas de conhecimento do próprio conselho ao tratar de IA. Em termos de comitê de riscos, isso se traduz em um roteiro de governança que precisa estar muito bem estabelecido: sobre quais casos de uso são permitidos e por quê; ou sobre onde a IA é apoio e onde vira decisão; ou sobre quais dados entram, com qual base legal, com qual trilha de auditoria; ou sobre como se mede viés e desempenho; ou sobre como se controla risco de alucinação e de conteúdo inadequado; ou sobre como se gerencia risco de terceiros e de cadeia de suprimentos digital; ou sobre como se trata exposição a ataques, incluindo engenharia social e vazamento; ou sobre como se garante segregação de funções e accountability; e ainda como se valida que o benefício é real, não apenas narrativo.
Vejam que uma empresa que embarca em IA sem controles tende a encontrar problemas muito rapidamente, com risco de vazamento de dados pessoais e corporativos, fragilidade de trilhas de auditoria, dependência tecnológica excessiva, degradação de controles internos, decisões não explicáveis em processos críticos e perda de confiança quando um incidente acontece. O desafio aqui não é “adotar IA a qualquer custo”, mas construir uma empresa capaz de inovar com responsabilidade: uma governança que permite capturar eficiência e melhorar decisões sem fragilizar integridade, segurança e reputação. Isso demanda que o conselho faça o básico bem feito e, ao mesmo tempo, eleve a barra sobre entender que IA é simultaneamente risco operacional, risco de modelo, risco cibernético, risco legal, risco reputacional e risco estratégico, e que a integração desses temas não cabe em um único comitê isolado, mas exige coordenação e linguagem comum entre risco, auditoria, tecnologia, pessoas e estratégia.
Quarto ponto: talentos
O quarto ponto é sobre talentos, que vejo como um risco estrutural e um acelerador de todos os demais, diante da realidade cada vez maior de atrair e reter pessoas como uma preocupação central porque, sem o conjunto certo de competências, a empresa perde capacidade de executar estratégia e de responder a imprevistos. Em que isso fica ainda mais evidente em três frentes, começando obviamente pela tecnologia, especialmente cibersegurança, dados, engenharia e arquitetura, passando depois por risco e compliance, incluindo modelagem, validação, monitoramento, controles internos e resposta a incidentes, e, por fim, a liderança operacional, que seja capaz de “rodar a empresa” em ambiente de estresse.
Sempre que há escassez, a tentação é compensar com terceirização, mas, quando a terceirização cresce, sobe o risco de terceiros, que, por sua vez, quando sobe, aumenta a necessidade de governança e monitoramento, e aí, quando governança e monitoramento exigem mais gente qualificada, o ciclo se retroalimenta.
O comitê de riscos precisa tratar talento como infraestrutura de resiliência, em que deve avaliar se a empresa tem densidade técnica suficiente na primeira linha para operar com disciplina, ou se a segunda linha tem autonomia, ferramentas e capacidade analítica, ou se a auditoria interna consegue acompanhar mudanças tecnológicas e de processo, ou se o desenho de incentivos não incentiva risco excessivo; se existe treinamento contínuo e mecanismos de retenção; e se a cultura permite que problemas subam antes de virar crise. Em um país em que crises são frequentes e em que a competição por profissionais é global, inclusive por trabalho remoto, negligenciar talento não é apenas uma falha de RH, mas é abrir mão de capacidade de sobrevivência e de competitividade.
Quinto ponto: liderança
O quinto ponto que quero trazer é sobre liderança, que fecha o ciclo porque é aqui que os riscos deixam de ser “temas” e viram comportamento, decisões e consistência, em que podemos associar esta liderança à sucessão e ao aumento da complexidade do papel do CEO, com mais pressão, maior rotatividade e maior exigência de navegar disrupção, ativismo e tecnologia.
No Brasil, a liderança tem um componente adicional, em que a diversidade de estruturas societárias e de governança cria riscos particulares, como empresas com controlador forte, ou empresas de capital pulverizado, ou empresas com presença estatal ou com influência política indireta, ou grupos familiares em transição geracional, e cada uma dessas configurações muda o tipo de tensão que recai sobre o CEO e sobre o conselho. Em qualquer uma delas, a sucessão não pode ser evento, mas precisa ser processo.
A empresa que não constrói pipeline de liderança e não define critérios claros de substituição, desenvolvimento e avaliação cria vulnerabilidade em dois sentidos: primeiro, a vulnerabilidade operacional, até porque a continuidade e a execução falham quando há troca; e, depois, a vulnerabilidade de mercado, até porque investidores, credores e stakeholders precificam incerteza de liderança e de direção.
Ao mesmo tempo, a liderança é o motor da cultura de riscos, em que, se o “tom do topo” tolera atalhos, se a empresa pune mensageiros, se comitês viram rito e não arena de decisão, o risco cresce silenciosamente até explodir.
Assim, o papel do comitê de riscos é garantir que liderança seja tratada como uma disciplina de governança com indicadores e evidências, com qualidade e estabilidade da equipe, rotatividade em posições críticas, efetividade de planos de sucessão, aderência entre incentivos e apetite a risco, maturidade de resposta a crises e, sobretudo, coerência entre discurso estratégico e decisões reais. É também aqui que se conecta o tema do ativismo, em que, quanto mais turbulento o ambiente, mais fácil é para narrativas externas apontarem que o conselho “não está entregando”; e a resposta mais robusta não é reatividade, mas consistência, transparência e demonstração de que a empresa sabe priorizar e executar mesmo sob estresse.
Quando juntamos esses temas acima na realidade brasileira, a mensagem que fica para o conselho é muito objetiva e, ao mesmo tempo, mobilizadora, de que o risco não é uma coleção de tópicos, mas é a engenharia que sustenta a estratégia em um país e em um mundo em que volatilidade, interdependência e pressão por resultados são permanentes.
A instabilidade econômico-política exige cenários, margens de segurança e capacidade de resposta rápida; a performance financeira exige disciplina de capital, liquidez, incentivos e premissas realistas; a IA exige governança técnica e controle de dados, modelos, segurança e terceiros; o talento exige densidade de competências para execução e controle; e a liderança exige sucessão viva, cultura saudável e coerência. A empresa que trata isso como sistema, e não como checklist, ganha algo que o mercado valoriza e que crises testam com rigor, que é uma melhor previsibilidade de decisão, resiliência operacional e credibilidade perante acionistas, reguladores, clientes e colaboradores, mesmo quando o cenário é adverso.
Eventos extremos e sistema decisório
Queria agora migrar a reflexão para um patamar que, no cotidiano do comitê de riscos, costuma separar empresas “bem-intencionadas” das empresas efetivamente resilientes, que é a constatação de que eventos extremos deixaram de ser exceção estatística e passaram a compor o cenário de fundo, de modo que a principal responsabilidade do conselho já não é “identificar o próximo choque”, mas sim garantir que a empresa tenha um sistema decisório capaz de absorver choques sucessivos sem perder direção, liquidez, reputação e capacidade de execução.
Na realidade, isso tem um significado muito concreto, de que o conselho precisa exigir que a empresa seja capaz de operar com disciplina em ciclos de estresse, em que juros, câmbio, inflação, mercado de crédito, humor de investidores e risco regulatório se mexem juntos; e isso implica transformar a conversa de riscos em um “processo de decisão sob incerteza”, com gatilhos claros, papéis definidos, informações tempestivas e responsabilidade inequívoca por ações de contenção e recuperação.
Essa mudança aparece na prática quando o comitê passa a cobrar que as premissas estratégicas sejam tratadas como hipóteses testáveis e não como narrativas. Em vez de validar um plano plurianual apenas pela coerência interna, o conselho passa a perguntar o que precisa dar certo para que o plano se sustente, e principalmente o que acontece quando duas ou três variáveis críticas se movem simultaneamente contra a empresa.
Essa disciplina é particularmente importante no Brasil porque os choques costumam ser compostos, em que, por exemplo, uma piora de confiança pode afetar o custo de capital e a disponibilidade de funding; isso pressiona decisões comerciais, que, por sua vez, impacta margens e inadimplência, o que retroalimenta provisões e limita capacidade de investimento, e assim a pressão por resultado tende a elevar o risco de “atalhos” operacionais e de fragilização de controles.
Aí que um manual e procedimentos em crise não é apenas um documento bonito, mas é a “ponte” entre governança e execução, pois define, com antecedência, quais decisões são esperadas em cada degrau de estresse, como, por exemplo, uma restrição seletiva de crédito, a revisão de limites, os ajustes de preços, a suspensão de capex, a ativação de fornecedores alternativos, o reforço de monitoramento cibernético, uma comunicação preventiva com stakeholders, assim como quem decide, quais são os limites e como a informação sobe, em uma migração para uma postura mais ativa e contínua do conselho, em que a supervisão deixa de ser trimestral e se torna parceria permanente de aconselhamento e preparação.
Sucessão e risco de liderança
Outro desafio relevante é a discussão sobre sucessão e rotatividade de CEOs, tratada como risco de primeira ordem, até porque a complexidade do papel aumentou e porque a fadiga de crise contínua eleva a probabilidade de transições inesperadas. No Brasil, este risco de liderança tem particularidades que exigem atenção ainda mais técnica do conselho, diante de estruturas societárias com controlador e dinâmicas familiares que podem gerar dependência excessiva de uma pessoa; ou em empresas de capital aberto que enfrentam pressão simultânea de mercado, compliance e performance; e ainda em empresas reguladas do setor financeiro, seguros, infraestrutura, que têm custos de erro mais altos e maior controle e exigências; e ainda em todos os casos em que a transformação tecnológica e a pressão reputacional encurtam o tempo para responder a falhas.
A consequência de governança é direta, em que a sucessão não pode ser tratada como plano “para emergências”, mas precisa ser tratada como sistema contínuo de desenvolvimento e redundância saudável, com critérios claros, avaliação recorrente do time executivo, mapeamento de posições críticas e testes de prontidão. Os conselhos precisam considerar pipeline de liderança e garantir que cada assento do conselho agregue valor real, isto é, competências alinhadas ao portfólio de riscos. Para o comitê de riscos, isso se traduz em uma cobrança simples e poderosa de que “se amanhã houver uma transição, a empresa continua tomando boas decisões sob estresse?” Se a resposta depender de improviso, o risco já está materializado, apenas ainda não foi precificado.
Reconfiguração do trabalho do conselho
Outro ponto que merece atenção é a reconfiguração do próprio trabalho do conselho, que deixa de ser um ritual de revisão para se tornar um mecanismo de decisão mais rápido e mais profundo. Em que, embora comitês de risco dedicados não estejam necessariamente se multiplicando, há movimentos de redistribuição do tema risco entre comitês existentes e grupos ad hoc, justamente para dar conta de temas que exigem especialização e velocidade.
Em empresas, isso é particularmente útil porque muitos riscos modernos são “transversais” e não cabem bem em silos, onde a IA e os dados não são apenas tecnologia, mas são risco operacional, risco de modelo, risco jurídico, privacidade, ética, reputação e risco de terceiros; em que a cibersegurança não é apenas TI, mas é risco de continuidade, fraude, engenharia social, relacionamento com regulador, comunicação de crise e confiança do cliente; ou em que a instabilidade macro não é apenas finanças, mas é portfólio, crédito, preços, cadeia de suprimentos e capital.
Assim, quando o conselho não redesenha sua coreografia de discussão, ele tende a alternar entre dois extremos ruins, em que ou fica raso e genérico, ou se torna tático demais e invade a gestão. O ponto correto é uma governança que coordena especialização com integração, através de comitês que aprofundam temas, mas existe uma arquitetura de risco que garante coerência, priorização e alinhamento com estratégia, de forma que o conselho consiga “enxergar o todo” e, ao mesmo tempo, medir a qualidade das respostas em cada frente.
Risco do próprio conselho e ativismo acionário
Temos que falar ainda sobre o risco do próprio conselho em um ambiente de maior ativismo acionário. Pois a volatilidade e performance relativa fraca aumentam oportunidades para ativistas, e como a agenda de “mudança de conselho” ganhou centralidade em campanhas, elevando a pressão sobre composição, sucessão e efetividade dos conselheiros.
Aplicando ao Brasil, ainda que o ativismo se manifeste de formas diversas dependendo da estrutura societária, a lógica é similar, pois quando o mercado percebe desalinhamento entre narrativa e entrega, ou quando uma crise expõe fragilidades através de controles internos frágeis, incidentes de dados, falhas em compliance, deterioração de carteira, perdas operacionais, a discussão rapidamente sai do “o que aconteceu” e vai para “o conselho estava preparado?”
Por isso, a resposta de governança deveria ser de elevar transparência, demonstrar proatividade e fazer revisões periódicas de vulnerabilidade do conselho, o que se traduz em fortalecer três coisas ao mesmo tempo, começando pela disciplina de governança, com uma agenda, qualidade da informação, registro de decisões e racional; depois na disciplina de comunicação, com uma coerência entre estratégia, apetite a risco e decisões observáveis; e, por fim, a disciplina de entrega, com planos com responsáveis e prazos, acompanhados por indicadores que antecipem deterioração. Quando essas três disciplinas existem, o conselho não “se defende”, mas reduz a probabilidade de surpresa e aumenta a confiança do mercado de que a empresa sabe navegar turbulência.
Um conselho mais técnico e “value-added”
Queria comentar também sobre a ideia de que o conselho precisa se tornar mais “técnico” e mais “value-added” sem virar operador. Isso exige elevar o nível das perguntas, não o nível de interferência. Significa perguntar sobre premissas, sobre interdependências, sobre limites e sobre capacidade de resposta; significa forçar clareza sobre o que é prioritário e o que é apenas ruído; significa exigir evidência de que riscos estão de fato integrados à estratégia, e não apenas mapeados. Essa migração do papel do diretor para um modelo de parceria e aconselhamento contínuo, com maior profundidade e cadência. No Brasil, em que crises costumam ser rápidas e a penalidade por atraso pode ser grande, esse modelo é ainda mais valioso: quanto melhor o conselho “desenha” o sistema de decisão, menos a empresa depende de heroísmo quando a pressão chega.
Conclusão
A conclusão disto tudo acima para um comitê de riscos é que todos estes pontos convergem para uma tese única, de que a resiliência não é um discurso, é um método. A empresa que atravessa volatilidade com consistência não é a que tem a matriz mais completa, mas a que consegue transformar incerteza em decisões robustas, com margens de segurança, com playbooks acionáveis, com liderança preparada e com governança que integra especialização e visão sistêmica.
Em um país como o Brasil, onde a realidade combina ciclos econômicos abruptos, custos de capital sensíveis, elevada dependência de confiança e crescente complexidade tecnológica e regulatória, o conselho que faz diferença é aquele que trata risco como arquitetura, ou seja, arquitetura de informação, de decisões, de responsabilidades, de incentivos e de cultura. Quando essa arquitetura existe, o inesperado não desaparece, mas ele deixa de ser fatal. E esse é o ponto mais inspirador da função de conselheiro em riscos, em que não prometemos previsões, mas prometemos preparo; em que não vendemos certeza, mas entregamos capacidade; e que, ao elevar a qualidade das perguntas e a disciplina de execução, ajudamos a empresa a manter o rumo mesmo quando o mundo insiste em mudar as regras do jogo.
