A transformação digital é chave para minimizar riscos de compliance

Por: Stanley Rodrigues

colaborador da CI&T colando post its
Posted on Apr 15, 2019

 

Se para você a necessidade de transformar a sua empresa para atender à nova velocidade do mercado parece entrar em choque com a manutenção das regras de compliance e de segurança da organização, olhe novamente. Na verdade, o choque se dá pela cultura de aversão ao risco introjetada na companhia como um todo. Às áreas de backoffice cabe mudar essa visão, assumindo o protagonismo como aceleradores da transformação digital e garantindo que ela ocorra de forma sustentável. Como? Neste artigo me dedico a responder a essa pergunta.

 

Bem, é fácil perceber que não há empresa digital sem ter a agilidade implantada nessas áreas. Seria ineficaz implantar times ágeis na operação e trabalhar com foco no consumidor se os profissionais de gestão de riscos, do financeiro, do RH, da TI ou de compliance não estiverem acompanhando e até mesmo puxando as mudanças na companhia.

 

Esta é uma questão de estabelecer uma nova cultura organizacional. É preciso entender que para alcançar a transformação digital é necessário estabelecer uma nova forma de lidar com o risco que permita dar autonomia às equipes. Abrir mão do formato de gestão comando e controle e migrar para modelos que suportem times multidisciplinares capazes de experimentar, serem ágeis na solução dos próprios problemas e gerenciar suas entregas do início ao fim, dentro de um fluxo de valor.

 

Transformação digital deve atingir o DNA da empresa


 

É claro que modificar uma cultura tão enraizada não é tarefa simples. Um bom primeiro passo é tomar consciência de que o modelo de gestão atual pode estar baseado em uma pseudo sensação de segurança que o comando e controle oferece. Especialmente com a velocidade com que as coisas se movem no digital, os tomadores de decisão, de fato, não são líderes das áreas, mas sim quem vive a operação na ponta. São as pessoas responsáveis pela ponta que estão no dia a dia e que realmente conhecem as especificidades do seu contexto, todos os riscos e necessidades inerentes à atividade.

 

É muito comum, por exemplo, observar sistemas de autorização de despesas que concentram a última palavra na mesa do diretor. A realidade, porém, é que o poder está nas mãos de quem fez as cotações. Às lideranças cabe apenas escolher entre o que já está posto. Isso se manifesta em todas as áreas e de maneiras diversas.

 

A agilidade e a velocidade do digital impõem que se encurte esse caminho, com mais autonomia e decisões sendo tomadas onde está a ação: na ponta. Para que isso ocorra na companhia, as áreas que cuidam da observância dos riscos, das questões normativas, regulatórias e financeiras devem repensar sua visão em relação ao risco e às falhas.

 

Mudando o olhar em relação ao risco

Tradicionalmente os formatos de controle - assim como as próprias normas e leis das quais a área é guardiã - são um reflexo do passado e não do futuro. A realidade já foi alterada e as normas tardam em se adequar. Da mesma forma, fazer gestão de riscos baseada em um ambiente de mercado que já não existe mais é fazer gestão pelo retrovisor, desestimulando a experimentação e a inovação. Uma enorme barreira no caminho em busca do digital. É preciso interpretar e lidar com as normas e riscos olhando pra frente, de maneira que a empresa se adeque aos novos tempos sem abrandar a austeridade.

 

Na CI&T costumamos dividir os riscos em três grandes blocos:

1- Operacional - Quando ocorre uma interrupção no serviço por um erro humano ou defeito técnico.

2- Fraude - Esse, diferente do outro, é intencional. Pode ser causado por agentes internos ou externos à operação. Roubo ou vazamento de informação, por exemplo.

3 - Estatísticos - São riscos causados por fenômenos naturais como enchentes, raios.  

 

Por observação vemos que a grande maioria dos problemas nas companhias são do primeiro tipo, causados por uma raiz não intencional, por falhas não propositais na operação. Porém, é muito comum encontrar uma gestão de risco que não considera essa diferença (intencional x não intencional) e todos os problemas são tratados sob a ótica da fraude. 

 

Isso engessa a empresa ao criar um ambiente de desconfiança. E desconfiar impacta negativamente na velocidade. Rastreando e localizando as áreas mais suscetíveis à fraude, é possível calibrar certos processos focados em captura e prevenção deste tipo de evento.


 

Reinventando a gestão de risco

Como o que se quer é construir autonomia para imprimir agilidade aos processos e ter ganho de velocidade, é preciso primeiro confiar para depois desconfiar. Como a maioria dos riscos são provenientes de falhas não intencionais da operação, é a própria operação quem deve ser capaz de sanar esses riscos. Deve-se confiar nos times e prepará-los para tomar para si a responsabilidade sobre todas as questões que digam respeito ao risco inerente nas suas entregas.

 

Aqui na CI&T acreditamos que a gestão dos riscos é responsabilidade de todos e não de um departamento apenas. Por isso, na nossa área de gestão de riscos, temos um trabalho incansável de conscientização, formação e prevenção. É um mix de iniciativas que vão desde campanhas de aculturamento até simulações de ciberataques. Essas ações têm um desenho que vai além dos "departamentos" ou times, chegando ao nível individual.

 

Cada uma de nossas pessoas deve ter conhecimento suficiente do assunto para entender os limites e responsabilidades da sua atividade, ter as ferramentas para monitorar e minimizar falhas, saber identificar o que foge à normalidade e, principalmente, sentir segurança para reportar esses eventos. Assim, criamos agentes de segurança na ponta, empoderados, proativos e capazes de monitorar os riscos e perceber cedo um problema,  corrigindo-o de forma ágil, melhorando assim os processos continuamente. Como dito, cabe à equipe de gestão de risco preparar e inspirar as pessoas para isso.

 

No âmbito dos times operacionais esse trabalho ocorre à quatro mãos, com os especialistas em gestão de risco e com as equipes da operação, que entendem as especificidades de cada fluxo de valor e as orientam sobre procedimentos e ferramentas. Assim, a área de gestão de risco fica mais leve para atuar de forma mais eficaz no que realmente compete só a ela como a ação em eventos estatísticos, controle de fraudes e auditoria interna.

 

Nesse modelo de gestão de risco descentralizada, se constrói o conhecimento de forma colaborativa e todos atuam na detecção e solução dos eventos. O resultado é que temos mais pessoas capacitadas para garantir que tudo corra dentro das normas, ou seja, mais segurança para a empresa.

 

Implantando a gestão de risco descentralizada

A seguir listamos os principais passos para viabilizar esta forma de gestão de risco.

 

Gestão de Risco Descentralizada

 

Passo 1 - Desconfie da sua desconfiança

Se quando apresentei o novo formato seu primeiro pensamento foi "é arriscado demais entregar às equipes o poder de controlar as próprias falhas", você ainda está conectado ao princípio da centralização. O que cria uma barreira para acessar o poder da colaboração, de alavancar a capacidade real das suas equipes.

 

Observe a operação dos ícones do digital: Amazon, Spotify, Google. Todas se baseiam em times autônomos, multidisciplinares e preparados para lidar com suas próprias falhas e escalar rapidamente as questões que não conseguirem resolver, inclusive em relação a riscos.

 

Ao contrário de ser arriscado ou inseguro é, como já dito aqui, um formato que alavanca a segurança. Ao combinarmos a inteligência coletiva e a soma do conhecimento da operação com a expertise dos especialistas em risco, amplificam-se as defesas. Ao invés de ter 10 pessoas pensando em segurança, você terá a companhia inteira.

 

Passo 2 - Construa a cultura que suporte esse formato

Se estamos falando em dar autonomia às nossas equipes e indivíduos, temos que criar um ambiente transparente e seguro para que as pessoas possam exercer essa autonomia com responsabilidade. Desconstruir o comando e controle e construir uma cultura baseada em equipes autônomas, voltada à colaboração, experimentação e inovação.

 

A base desta construção está nos princípios da filosofia de gestão Lean (ou o Lean Thinking - e que citei no meu artigo anterior sobre o papel do CFO na transformação digital). Aqui destacamos três princípios:

 

- Problemas são ouro - falhas e erros são parte integrante da experimentação e da inovação e são oportunidades ímpares de aprendizado. Eles devem aparecer! Aprender com eles e atuar rapidamente na correção acelera exponencialmente a evolução de seu produto ou serviço.

- Safety - intimamente ligado ao primeiro, trata-se da criação de um ambiente aberto ao diálogo e que não seja baseado em sistemas de punição ao erro (à exceção de fraudes, obviamente). Assim as pessoas se sentem seguras e confortáveis em levantar a mão para reportar problemas, falhas e riscos - a grande fonte de aprendizado.

- Aprender fazendo - A nossa capacidade de aprendizado é muito maior fazendo do que lendo ou ouvindo. Considerando que cada contexto tem suas especificidades e que esperar até que se encontrem os processos perfeitos para cada área traz ineficiência, o melhor caminho é a elaboração colaborativa de hipóteses e o teste delas em ação. O que der certo se mantém, o que der errado, serve de aprendizado e insumo para uma nova hipótese.

 

Para imprimir a velocidade do digital a essa experimentação, conectamos ao Lean a metodologia Agile e seu ferramental para testar e validar de maneira rápida e contínua novos procedimentos. Há de se lembrar que sempre há uma nova possibilidade de falha interna ou uma nova ameaça externa em construção. A necessidade de evolução é contínua. A essa articulação entre Lean e Agile, guiando os caminhos para a nossa transformação digital e dos nossos clientes, chamamos de Lean Digital Transformation.


 

Passo 3 - Transforme colaboradores em agentes de segurança

Neste ponto devemos lembrar que o assunto segurança geralmente é árido para as pessoas que não são diretamente ligados a ele. Logo, o caminho para conquistar engajamento e comprometimento é fazer com que elas descubram as vantagens de ter conhecimento sobre o tema. Como se faz isso?

 

Primeiro, convide as pessoas para que enxerguem os riscos inerentes à sua própria atividade. Para isso, os profissionais de gestão de riscos mapeiam os problemas lado lado com os times da operação para mostrar o quanto falhas e problemas podem trazer prejuízos em termos de tempo, eficiência e imagem. Depois, determinamos procedimentos e ferramentas de controle e monitoramento contínuo que podem sanar o problema de forma simples, trazendo vantagens para a equipe quanto à velocidade e resultados, dando assim poder a ela.  

 

 

O que observamos na CI&T é que, quando as pessoas têm seu dia a dia facilitado por bons processos e se sentem empoderadas e donas das suas atividades de ponta a ponta, elas se responsabilizam, entregando o melhor de si. Assim, naturalmente, as equipes tomam para si as suas questões de segurança. Passam de clientes da gestão de risco para agentes e, inclusive, têm postura proativa para acionar rapidamente especialistas para questões que não conseguem resolver.

 

Passo 4 - Priorize os riscos a monitorar e escolha o ferramental

Uma vez que os problemas foram mapeados e identificados, é o momento de priorizar os riscos que serão monitorados e escolher um ferramental de acompanhamento para eles; que tipos de report serão utilizados, que softwares de monitoramento serão instalados para gerar indicadores para acompanhamento etc.

 

Passo 5 - Estabeleça fronteiras de atuação

Neste momento, estabelecem-se os campos de atuação, o que deve ser tratado pela operação e pela equipe especializada em gestão de risco, segregando as atividades relacionadas à prevenção de fraudes, por exemplo, tendo uma equipe de auditoria interna independente, que se dedica à mapear, monitorar, acompanhar e investigar este tipo de risco.

 

Com estes cinco passos, é possível estabelecer um sistema de gestão de risco descentralizado, que dará o suporte para que a empresa tenha a agilidade e a velocidade que necessita. Com isso, você está pronto para preparar a sua área para alavancar a transformação digital da companhia.