No campo da gestão de riscos corporativos, os sistemas de controle e governança têm evoluído significativamente nas últimas décadas. Ferramentas de GRC, frameworks baseados em COSO, abordagens integradas de três linhas de defesa, mapas de calor, dashboards de apetite ao risco, modelos de monitoramento contínuo e estruturas de compliance foram amplamente disseminados, especialmente em instituições financeiras, empresas reguladas e grandes corporações de capital aberto.
No entanto, apesar desse avanço técnico e normativo, os escândalos corporativos, os colapsos de reputação, as fraudes sistêmicas e os incidentes operacionais críticos continuam a surgir em empresas que em tese adotam (ou achávamos que adotavam) as melhores práticas.
Mas qual o motivo?
Grande parte dos riscos mais impactantes não reside na superfície visível dos controles, mas sim nas "zonas de sombra e invisibilidade". Estão escondidos, aguardando um evento para se concretizar e lhe surpreender!
Sempre falo de que o pior risco não é necessariamente o maior deles, mas certamente é aquele que você desconhece!
Queria então abordar hoje este conceito do "Risco Invisível", que pode ser definido como o conjunto de exposições que, embora reais, relevantes e potencialmente prejudiciais, permanecem fora da visibilidade dos sistemas formais de identificação, mensuração, reporte e tratamento de riscos.
São riscos que não constam nos registros oficiais, não aparecem nos comitês de risco, não estão parametrizados nos modelos quantitativos e não são tema de debate estratégico no conselho. São silenciosos, quase sempre ignorados ou desconhecidos, mas que, quando se manifestam, têm potencial destrutivo elevado por terem sido negligenciados ou subestimados.
O Risco Invisível cresce na interseção entre complexidade organizacional, descentralização de decisões, falhas culturais e deficiências tecnológicas, pois se alimenta da fragmentação de processos, da opacidade das cadeias terceirizadas, do excesso de confiança em frameworks formais e da ausência de mecanismos eficazes de estruturas que permitam que fatos relevantes cheguem rapidamente aos tomadores de decisão certos, sem bloqueios hierárquicos, vieses de confirmação ou filtros políticos. À medida que as empresas se tornam mais digitais, dispersas e dinâmicas, esse tipo de risco ganha protagonismo.
Podemos usar, por exemplo, a metáfora de uma lanterna que ilumina apenas parte de um grande círculo escuro. É particularmente eficaz para explicar o fenômeno, enquanto que o feixe de luz simboliza os sistemas formais de detecção e gestão de riscos. A área iluminada representa os riscos visíveis, formalmente reconhecidos e tratados. Mas a grande massa escura ao redor representa aquilo que permanece fora do campo de visão, que são os riscos não percebidos, não escalados, não reconhecidos ou intencionalmente camuflados. Esse espaço é o habitat do Risco Invisível...
Os Riscos Ocultos e a Falha Silenciosa da Transparência Interna
Os Riscos Ocultos são uma das formas mais frequentes e perigosas do Risco Invisível. Eles são caracterizados por situações de risco que são conhecidas por uma ou mais pessoas dentro da empresa, mas que não são oficialmente reportadas, discutidas, escaladas ou tratadas pelos canais apropriados. Em outras palavras, o risco é percebido, mas permanece “submerso” aos olhos do sistema formal. Não por ausência de informação, mas por ausência de ação.
Esses riscos representam uma falha crítica no fluxo de transparência dentro da estrutura de governança. Eles não surgem, em geral, de más intenções ou fraudes deliberadas (como é o caso dos riscos escondidos intencionalmente), mas sim de barreiras culturais, políticas, comportamentais ou organizacionais que desincentivam ou impedem o reporte adequado. A estrutura de risco pode até existir, mas não é utilizada na prática como canal de confiança para trazer à tona fragilidades operacionais, éticas ou regulatórias.
As causas estruturais dos riscos ocultos são:
Cultura de medo ou punição: Quando a cultura da organização associa o reporte de riscos a falhas individuais, punições ou culpabilizações, os colaboradores aprendem rapidamente a não reportar. O medo de retaliação, a preocupação com a carreira ou o receio de "criar problemas" levam à omissão voluntária de riscos que, embora conhecidos, são vistos como “melhor deixar como está”.
Baixa maturidade em gestão de riscos: Em empresas onde o gerenciamento de riscos é visto como um requisito burocrático, desconectado da operação real, a tendência é que as pessoas ignorem a formalização de riscos ou não saibam como reportar de forma adequada. Isso é especialmente comum em empresas que implementam a gestão de riscos de forma superficial, com foco em compliance e não em geração de valor.
Processos de escalonamento ineficazes: Quando os fluxos de reporte são complexos, lentos ou envolvem múltiplas camadas hierárquicas, os riscos deixam de ser escalados. Informações sensíveis se perdem em reuniões de baixa prioridade ou são absorvidas localmente por líderes que optam por resolver o problema de forma informal ou adiar sua comunicação.
Isolamento funcional ou silos organizacionais: Estruturas organizacionais muito compartimentalizadas dificultam o compartilhamento de riscos entre áreas. Um risco identificado por uma equipe de tecnologia, por exemplo, pode não ser compreendido como relevante pela área de negócio, e assim não é levado adiante.
Desalinhamento de incentivos: Quando os KPIs individuais ou de área penalizam a exposição de falhas, há incentivo para maquiar indicadores ou esconder fragilidades. Isso é comum em empresas muito orientadas a metas quantitativas, onde admitir riscos pode significar fracasso nos objetivos.
Queria então trazer abaixo alguns exemplos reais e ilustrativos como:
TI corporativa sabe de uma vulnerabilidade de segurança não corrigida porque o patch compromete sistemas legados, mas opta por não escalar o tema até que seja “urgente”.
Unidade fabril identifica falhas repetidas em controles de qualidade, mas não comunica à matriz com receio de auditoria interna ou interferência da alta gestão.
Departamento jurídico alerta sobre cláusulas críticas mal formuladas em contratos de fornecedores estratégicos, mas como não houve incidentes ainda, o tema não é levado ao comitê de riscos.
Controladoria detecta padrões contábeis agressivos, mas como há pressão por resultados trimestrais, opta por não abrir investigação.
Esses exemplos ilustram que os riscos ocultos não são acidentes, mas são construídos, sustentados e perpetuados por dinâmicas silenciosas e estruturais que corroem a capacidade da organização de se antecipar aos problemas. Muitas vezes os sinais estão presentes, mas são ignorados por conveniência, falta de preparo ou ausência de responsabilização.
Queria também trazer algumas importantes lições da governança dos riscos e algumas recomendações úteis como: Para mitigar estes riscos ocultos, as empresas devem agir sobre suas causas estruturais e culturais, aonde algumas recomendações práticas poderiam ser:
Implementar mecanismos de escalonamento direto ao comitê de riscos para temas críticos, independente da hierarquia;
Criar canais de reporte anônimos e protegidos, inclusive para riscos não materializados, reforçando a escuta ativa e institucional;
Rever os incentivos de performance e liderança para premiar comportamentos de transparência e integridade, mesmo quando isso envolve admitir erros ou falhas;
Treinar líderes intermediários e gestores operacionais para que compreendam seu papel como facilitadores da visibilidade de riscos e não como barreiras ao reporte;
Incluir métricas de "voz ativa" nos diagnósticos de cultura de risco, medindo o grau de liberdade e segurança psicológica percebida pelos colaboradores.
“O risco mais perigoso não é aquele que ninguém vê, é o que todos conhecem, mas ninguém ousa falar.” A essência deste risco está na exposição silenciosa sustentada pela omissão coletiva e cultura de medo ou complacência. O risco existe, é conhecido, mas é mantido fora dos fóruns institucionais por barreiras culturais, políticas ou hierárquicas.
Riscos Não Reportados e a Invisibilidade Operacional que Sabota o Sistema de Controle
Os Riscos Não Reportados representam uma categoria particularmente traiçoeira dentro da arquitetura do Risco Invisível, em que são definidos como os riscos que são percebidos ou detectados por alguma parte da organização, mas que não são formalmente comunicados aos mecanismos institucionais de gestão de riscos, como o comitê de riscos, a segunda linha (com compliance e riscos), a auditoria interna ou a alta administração. Sendo que a diferença fundamental em relação aos riscos ocultos é que, no caso dos não reportados, não há necessariamente uma intenção deliberada de esconder ou omitir a informação. A falha é sistêmica e processual, e uma desconexão entre o ponto onde o risco é identificado e o ponto onde ele deve ser tratado.
Na prática, esses riscos não “chegam ao sistema”, mas ficam circunscritos a áreas específicas, equipes técnicas ou profissionais de linha que não possuem (ou não sabem que possuem) o dever ou a capacidade de reportá-los. E por não serem formalmente registrados, esses riscos não são quantificados, não entram na matriz de risco, não alimentam os sistemas e processos de gestão dos riscos e, portanto, não geram resposta institucional.
As principais causas sistêmicas dos riscos não reportados são:
Ausência de processos claros de reporte: Muitas empresas presumem que o fluxo de reporte de risco é natural ou intuitivo, mas não é. Sem definição formal de “quem reporta o quê para quem”, o risco permanece na informalidade. Isso é ainda mais evidente em ambientes sem ferramentas digitais de captura de incidentes ou sem estrutura de risk champions nas unidades operacionais.
Falta de percepção de materialidade: Colaboradores identificam um risco, mas o classificam subjetivamente como “pouco relevante” ou “normal do processo”, e por isso não reportam. Essa banalização de sinais de alerta é comum em culturas acostumadas a operar no limite, ou que lidam com falhas recorrentes sem ações estruturais de correção.
Desalinhamento entre áreas operacionais e a segunda linha de defesa: A ausência de canais estruturados de diálogo entre as áreas de negócio e as funções de risco e compliance impede que eventos e tendências operacionais sejam traduzidos em riscos sistêmicos. O risco é visto como “coisa do jurídico”, “coisa da auditoria” ou “problema da matriz”.
Fadiga organizacional ou excesso de burocracia: Quando os processos de reporte são complexos, longos ou geram retrabalho, os colaboradores desistem de reportar. A burocracia mata o reporte. Isso é crítico em organizações com excesso de formulários, exigências documentais e baixa capacidade de resposta.
Subestimação de riscos de terceiros: Fornecedores, parceiros, prestadores de serviço ou operadores logísticos frequentemente identificam riscos que afetam diretamente a organização contratante, mas que não são reportados por falta de canal, medo de perda contratual ou simples ausência de cláusulas que obriguem o reporte. O risco “nasce fora”, mas afeta dentro.
Queria então, para ajudar a entender melhor, trazer alguns exemplos práticos ilustrativos, tais como:
Uma empresa logística de médio porte tem motoristas relatando falhas nos sistemas de rastreamento de carga, mas esses relatos nunca chegam à matriz, mas são registrados apenas nos controles locais.
Um fornecedor de tecnologia terceirizado identifica vulnerabilidades críticas de segurança na integração via API, mas opta por não comunicar porque isso atrasaria o projeto e colocaria o contrato em risco.
Uma área operacional percebe aumento de erros manuais em processos críticos, mas como os impactos imediatos são corrigidos antes de afetar o cliente, os dados não são reportados como risco sistêmico.
Colaboradores identificam mudanças comportamentais preocupantes em um gestor de equipe (assédio moral, manipulação de dados, pressão indevida), mas não conhecem ou não confiam nos canais de denúncia.
Queria também listar algumas das consequências para a governança e a estratégia de riscos, pois estes riscos não reportados corroem silenciosamente a eficiência do sistema de controle interno. A ausência de reporte formal gera, por exemplo:
Cegueira gerencial, pois os dashboards e painéis de risco não representam a realidade operacional;
Subavaliação de exposições sistêmicas, criando uma falsa sensação de segurança;
Reação tardia, pois o problema só se torna visível quando escalona para uma crise ou evento de perda;
Desalinhamento de prioridades, pois a alocação de recursos para mitigação se baseia em um mapa de risco impreciso ou incompleto.
Trago então algumas dicas de como mitigar estes riscos não reportados, tais como:
Implantar canais de reporte simples, intuitivos e descentralizados, com uso de tecnologia (portais, apps, QR codes internos), evitando processos burocráticos;
Treinar toda a organização sobre materialidade, exemplos de riscos e responsabilidades de reporte, com casos concretos e linguagem acessível;
Criar uma cultura de “reportar é valor, não fraqueza”, reforçando o reconhecimento de quem levanta riscos antes que se materializem;
Estabelecer KPIs de reporte por área, monitorando a quantidade, qualidade e tempestividade dos relatos recebidos;
Estender a estrutura de gestão de riscos aos terceiros críticos, com cláusulas contratuais obrigando o reporte de incidentes e mecanismos de comunicação direta com a área de gestão de riscos da contratante.
“Se o risco não é reportado, ele não deixa de existir, mas apenas cresce no escuro.” A essência deste risco está na falha nos canais de reporte e nos processos de escalonamento institucional. O risco é percebido, mas não comunicado formalmente, permanecendo invisível para a gestão e se agravando sem tratamento.
Riscos Não Identificados e o Perigo Invisível da Ignorância Institucional
Os Riscos Não Identificados constituem a camada mais profunda e estrutural do Risco Invisível e são definidos como riscos que não foram sequer percebidos pela empresa, ou seja, não há conhecimento, indício ou sinal de que eles existem e, portanto, não há qualquer tentativa de gerenciamento. Esses riscos operam fora da consciência institucional, fora dos modelos mentais da organização e, frequentemente, fora dos sistemas de mensuração tradicionais. Diferentemente dos riscos não reportados (onde há conhecimento localizado) e dos ocultos (onde o conhecimento é suprimido), os riscos não identificados são aqueles que simplesmente não estão no radar da empresa e isso os torna potencialmente devastadores. Afinal, não se pode mitigar o que não se conhece.
As principais fontes dos riscos não identificados são:
Transformações Tecnológicas Aceleradas: A emergência de novas tecnologias, como IA generativa, IA agentic, blockchain, edge computing, deepfakes e automação autônoma, que cria novas classes de risco que não existiam até poucos anos atrás. Muitas empresas não compreendem (ou não conseguem modelar) os riscos embutidos na adoção dessas tecnologias.
Mudanças Geopolíticas e Socioeconômicas: Tensões entre potências, novos regimes autoritários, instabilidades fiscais, guerras cibernéticas e realinhamentos econômicos globais podem gerar impactos indiretos em setores que antes se julgavam neutros. Riscos relacionados a sanções, acesso a insumos críticos ou mudanças em cadeias logísticas são frequentemente ignorados.
Riscos de Conduta e Comportamentais Não Mapeados: Em muitas empresas, especialmente as menos maduras em cultura ética, não há mapas de risco de integridade, nem indicadores de clima ético, nem análises de comportamento organizacional, o que leva à total ausência de detecção de riscos de conduta emergentes (fraudes, assédio, má gestão, suborno, etc.).
Vulnerabilidades Sistêmicas Interconectadas: Empresas complexas e hiperconectadas criam exposições cruzadas difíceis de rastrear. Um erro de configuração em um sistema de nuvem terceirizado pode afetar dados sensíveis de clientes; um viés em um algoritmo pode impactar decisões de crédito ou seleção de pessoal. Essas interdependências não são mapeadas adequadamente.
Limitações dos Modelos Quantitativos Tradicionais: Modelos baseados em dados históricos e distribuições normais não capturam a assimetria de eventos extremos, a volatilidade estrutural e os efeitos de cauda. Isso cria a ilusão de previsibilidade, até que um evento fora do modelo ocorra.
Queria então também trazer novos exemplos reais e concretos deste tipo de riscos como:
Um banco adota algoritmos de IA para análise de crédito, mas não identifica que o modelo está sistematicamente rejeitando mulheres em licença maternidade — criando risco de discriminação e sanções regulatórias.
Uma empresa de alimentos não identifica a dependência de um único fornecedor de um aditivo importado de uma zona geopolítica instável, até que uma sanção internacional paralisa a cadeia.
Uma fintech contrata um chatbot de atendimento com IA generativa que, sem supervisão, começa a oferecer conselhos financeiros ilegais, expondo a empresa a risco regulatório grave.
Uma empresa farmacêutica adota um sistema de automação com acesso a bases de dados clínicas, mas não mapeia que a política de acesso permite leitura por perfis terceirizados, o que é um deste risco cibernético silencioso.
Vou também dar dicas de como pode identificar o que ainda não se conhece, aonde esse é o maior desafio do risco não identificado, em que a resposta passa por:
Fomentar pensamento crítico e “desaprendizagem” institucional, revisitando premissas, dogmas e zonas de conforto;
Implementar programas de gestão de riscos emergentes, com equipes multidisciplinares e foco em simulações, war games, cenários extremos, análise de sinais fracos e monitoramento de tendências;
Utilizar inteligência competitiva, foresight estratégico e análise preditiva, integrando dados externos, sensores de mercado e ferramentas de big data;
Criar espaços de diálogo e escuta ampliada, com stakeholders externos (clientes, reguladores, ONGs, academia, startups) que trazem novas perspectivas e provocam o pensamento da organização;
Investir em auditoria contínua baseada em dados que extrapole amostragens e permita análises em tempo real de comportamento fora do padrão.
“Você não pode mitigar o que não consegue imaginar.” A essência deste risco é que ainda não foram sequer reconhecidos pela empresa, por limitação de visão estratégica, ausência de monitoramento avançado ou incapacidade de ler os sinais do ambiente externo.
Os Riscos Deliberadamente Escondidos e a Manipulação Intencional que Corrói a Integridade da Empresa
Entre todas as camadas do Risco Invisível, os riscos deliberadamente escondidos certamente representam a manifestação mais perigosa, porque envolvem ação intencional de ocultação por parte de indivíduos ou grupos dentro da empresa. E, diferente dos riscos não reportados (onde a falha é processual) ou dos ocultos (onde há conhecimento local, mas silêncio institucional), os riscos escondidos são o resultado de condutas ativamente manipuladas para enganar, omitir ou distorcer a realidade dos fatos, com o objetivo de obter vantagem indevida, evitar sanções, preservar reputações ou sustentar narrativas falsas para stakeholders internos ou externos.
Essa camada de risco exige atenção máxima dos conselhos de administração, dos comitês de riscos e do de auditoria e dos órgãos de controle interno, pois sua ocorrência não apenas compromete a saúde financeira da empresa, mas destrói sua credibilidade institucional, abala a confiança de investidores e pode levar à responsabilização penal de seus administradores.
Algumas das causas estruturais e culturais destes riscos escondidos são:
Cultura de performance a qualquer custo: Ambientes corporativos onde o sucesso financeiro é idolatrado acima da ética criam incentivos para a manipulação de indicadores, adiamento de perdas e ocultação de passivos. A pressão por resultados trimestrais, metas agressivas e bônus vinculados unicamente ao lucro operacional são motores clássicos para esse tipo de risco.
Fraudes internas e conluios deliberados: A prática de fraudes contábeis, conluios com fornecedores, desvios de recursos e subornos institucionais exige, por definição, a ocultação intencional dos riscos associados. Isso envolve não apenas indivíduos isolados, mas muitas vezes estruturas articuladas que operam dentro dos sistemas da empresa, falsificando dados, manipulando sistemas e impedindo auditorias eficazes.
Fraqueza nos controles internos e ausência de segregação de funções: Em ambientes onde uma mesma área controla o orçamento, executa os pagamentos e reporta os resultados, há alta probabilidade de que riscos sejam escondidos pela ausência de freios institucionais. A falta de dupla checagem, de auditoria independente e de revisão por pares favorece a manipulação de registros e a obstrução de evidências.
Ambiente de liderança autoritária ou disfuncional: Empresas onde a liderança atua de forma centralizadora, intolerante a críticas ou hostil à transparência naturalmente incentivam que subordinados escondam riscos para proteger suas posições ou para evitar confrontos com a alta gestão. Essa cultura distorce a verdade institucional e cria uma zona de silêncio onde o risco cresce de forma incontrolável.
Alguns exemplos notórios e ilustrativos deste risco são:
Enron nos EUA: Clássico da ocultação sistemática de passivos por meio de veículos estruturados (SPVs) não consolidados, com pleno conhecimento da alta administração e manipulação deliberada das demonstrações contábeis.
Banco Panamericano no Brasil: Falsificação de registros de crédito vendidos a instituições financeiras, mascarando buracos contábeis da ordem de bilhões de reais.
Toshiba no Japão: Manipulação de lucros ao longo de anos, incentivada por uma cultura interna que impedia a divulgação de perdas e demandava “resultados acima de tudo”.
Wirecard na Alemanha: Reportes financeiros fictícios baseados em saldos inexistentes mantidos em contas de terceiros, com envolvimento direto do CEO e do CFO.
Esses exemplos revelam que estes, quando materializados, não apenas geram perdas econômicas catastróficas, mas levam à destruição completa da confiança, envolvem escândalos públicos, punições regulatórias severas e, frequentemente, prisões de executivos e responsabilização de conselheiros por negligência fiduciária.
Queria então dar algumas dicas de estratégias de prevenção e detecção destes riscos como:
Auditorias independentes e investigações forenses recorrentes: Utilizar firmas externas de auditoria forense com mandato específico para atuar em zonas de risco estratégico, como fraudes contábeis, contratos críticos e áreas de conflito de interesses.
Canal de denúncias robusto, seguro e com follow-up efetivo: Canais independentes, com governança própria, anonimato garantido e respostas concretas aumentam drasticamente a probabilidade de detectar riscos escondidos por má-fé. O canal deve ser promovido por toda a liderança e auditado periodicamente.
Análise contínua de dados: Sistemas de monitoramento baseados em big data e inteligência artificial permitem identificar padrões anômalos, duplicidades, outliers e indicadores indiretos de ocultação de risco (ex: pagamentos fora do padrão, contas sem movimentação, alterações em logs de sistemas).
Due diligence profunda em contratações e processos críticos: Avaliações independentes de novos parceiros, fornecedores, aquisições ou lideranças críticas devem buscar histórico reputacional, conexões ocultas e indícios de práticas não transparentes.
Comitês de integridade e governança ética atuantes e empoderados: Estruturas que tenham mandato claro para avaliar situações de risco ético, revisar políticas anticorrupção e recomendar sanções, inclusive à alta liderança, com apoio do conselho.
“Quando a verdade é um problema, o risco se torna crime.” A essência destes riscos ocultados está no dolo, na manipulação ou má-fé, frequentemente associados a fraudes, conluios e escândalos éticos que, quando descobertos, geram crises reputacionais e responsabilizações legais graves.
O Risco Invisível como Desafio Sistêmico e de Alta Governança
Consolidando os quatro elementos centrais do Risco Invisível que descrevi acima, temos uma tipologia abrangente de riscos que, por diferentes razões, não aparecem nos relatórios oficiais, não são capturados pelas métricas de apetite e não entram no ciclo institucional de tomada de decisão. Essa opacidade institucional cria um falso senso de segurança que mina a resiliência estratégica da empresa.
O Risco Invisível não é uma exceção, mas ele é um subproduto previsível de organizações complexas, mal integradas, com cultura disfuncional ou tecnologias defasadas. Ele "floresce" onde há silêncio, medo, complacência ou excesso de confiança em controles formais. Ele pode estar na fronteira com terceiros, nos bastidores de decisões críticas, nos códigos de sistemas antigos, nos relatórios manipulados ou nas falas omitidas em comitês.
Trago então algumas implicações estratégicas para conselhos, comitês de riscos e auditoria, tais como:
Os conselhos devem assumir um papel ativo em questionar o que não está nos dashboards. A pergunta-chave não é “quais riscos temos?”, mas sim “quais riscos podem estar fora do nosso radar?”
Os comitês de riscos e auditoria precisam revisar periodicamente os limites do modelo atual, mapeando zonas de silêncio, gargalos de reporte, áreas de dependência excessiva em terceiros e fragilidades culturais.
As áreas de Gestão de Riscos devem ter mandato para explorar além do framework, atuando com pensamento crítico, visão holística e abertura para sinais não convencionais.
A liderança executiva precisa alinhar discurso e prática, recompensando o reporte transparente, eliminando a cultura do medo e garantindo que a integridade institucional prevaleça mesmo diante de pressões por performance.
“A maior ameaça à resiliência de uma empresa não é o risco que aparece no relatório, mas aquele que todos preferem fingir que não existe.”
Deixo a mensagem final de que: “Não é o risco que derruba uma empresa, mas é a ilusão de que ele não existe.” A essência do risco invisível é o ponto cego da governança. Sua gravidade está menos em sua natureza técnica e mais na incapacidade institucional de reconhecê-lo, tratá-lo e, acima de tudo, aceitá-lo.