Um dos problemas que as empresas enfrentam ao captar investimentos é a falta de preparo da empresa para o investidor (por exemplo, a falta de um estatuto social adequado com direitos de minoritários, gestão financeira inadequada, riscos cibernéticos ou o não cumprimento de requisitos legais no campo de atuação da empresa). Quando um investidor realiza uma due diligence (auditoria prévia) na empresa antes do investimento, ele pode se recusar a prosseguir, exigir controle, reduzir o preço ou exigir a execução de certas ações como condição para o investimento - condições que a empresa, naquele estágio, não tem escolha a não ser aceitar. A solução para isso é realizar uma revisão de due diligence interna para preparar a empresa antes da chegada do investidor. No entanto, às vezes não se trata de uma empresa se preparando para um investimento, fusão ou IPO, e ela só descobre seus riscos devido a processos administrativos ou criminais contra a empresa e seus gestores. Uma avaliação de riscos antecipada pode evitar isso.
Muitas empresas em seus estágios iniciais (mas não exclusivamente) operam sem acompanhamento jurídico completo, ou com o acompanhamento de advogados que não possuem toda a especialização necessária. Em muitos casos, o contador também é uma figura que se "reúne" com a empresa apenas uma vez por ano - e com um ano de atraso - apenas para elaborar as demonstrações financeiras. Eles não examinam verdadeiramente a conduta diária da empresa e suas exposições fiscais (e certamente não se aprofundam no lado comercial, mas examinam as questões apenas sob uma perspectiva contábil restrita). A análise de riscos de TI e cibernéticos está completamente fora de cogitação. Em muitos casos, esse tipo de conduta não apenas prejudica o valuation (avaliação) da empresa (ou "apenas" sua lucratividade), mas também pode levar à responsabilidade pessoal para diretores e executivos.
Por exemplo, em casos de falha na realização de provisões corretas para funcionários, isso cria uma exposição contábil e legal para a empresa. O não cumprimento das condições de regulamentação cibernética pode não apenas criar exposição legal, mas literalmente impedir que clientes assinem contratos com a empresa (um negócio pode ser fechado com um cliente europeu importante e então ser interrompido por seu departamento jurídico devido ao não cumprimento das condições NIS). Além disso, há uma longa lista de leis que estabelecem responsabilidade pessoal passiva para executivos, mesmo que não estivessem envolvidos no processo, incluindo leis nas áreas de direito do trabalho, proteção ambiental, planejamento e construção, e defesa da concorrência. Tudo isso antes mesmo de entrar em questões de privacidade à luz da Emenda 13, que hoje também aumenta a responsabilidade pessoal de diretores e executivos que não nomearam adequadamente um DPO e não se conduziram corretamente.
Qual é a solução? Uma avaliação de riscos integrada, realizada por uma equipe conjunta jurídica-contábil-cibernética, que examinará a empresa de forma holística (inicialmente de forma geral e, se necessário, detalhadamente) e apontará deficiências que devem ser corrigidas. Decisões bem informadas poderão então ser tomadas: o que a empresa deseja corrigir e quais riscos está disposta a assumir. É importante não apenas que esse exame seja realizado por um especialista externo (advogado, contador e especialista em tecnologia com experiência em fusões e aquisições, acostumados a tais revisões), mas que, na medida em que outras partes sejam envolvidas no exame, todas operem sob a coordenação do advogado para garantir a existência do sigilo cliente-advogado. No final das contas, é melhor prevenir do que remediar, poupando surpresas desagradáveis com investidores ou autoridades, ou pelo menos estando ciente dos riscos e protegendo-se com antecedência, o máximo possível.