Compliance é barreira ou parceiro para a transformação digital?

A transformação digital está impulsionando uma nova dinâmica de negócios nas empresas. Para quem está embarcando agora nessa jornada, essa necessidade muitas vezes parece entrar em choque com a manutenção das regras de compliance e segurança da organização. Mas, será que é isso que está acontecendo na prática?

Sabemos que, na maioria das vezes, esse choque ocorre pela cultura de aversão ao risco disseminada na companhia como um todo. Cabe à liderança, juntamente com as áreas de backoffice, mudar essa visão, assumindo o seu protagonismo como aceleradores da transformação digital a fim de garantir que ela ocorra de forma sustentável. Seria ineficaz implantar times ágeis na operação e trabalhar com o foco no consumidor se os profissionais de gestão de riscos, financeiro, RH, TI ou de compliance não estiverem acompanhando e até mesmo impulsionando as mudanças na companhia.

É uma questão de estabelecer uma nova cultura organizacional – tarefa extremamente desafiadora. É preciso entender que, para alcançar a transformação digital, é necessário estabelecer uma nova forma de lidar com o risco, como dar autonomia às equipes. É preciso abrir mão do formato de gestão “comando e controle” para migrar aos modelos que suportem times multidisciplinares, capazes de experimentar, de serem ágeis na solução dos próprios problemas e de gerenciar suas entregas do início ao fim, dentro de um fluxo de valor.

Tradicionalmente, os formatos de controle – assim como as próprias normas e leis das quais a área é guardiã – são um reflexo do passado e não do futuro. Fazer gestão de riscos baseada em um ambiente de mercado que já não existe mais é fazê-la pelo retrovisor, desestimulando a experimentação e a inovação. É preciso interpretar e lidar com as normas e riscos olhando para frente, de maneira que a empresa se adeque aos novos tempos sem abrandar a austeridade.

1- Operacional: quando ocorre uma interrupção no serviço por um erro humano ou defeito técnico.

2- Fraude: Diferentemente do Operacional, este é um risco intencional. Pode ser causado por agentes internos ou externos à operação. Exemplos: roubo ou vazamento de informação.

3 – Estatístico: São riscos causados por fenômenos naturais como enchentes e raios.

Após longos anos atuando na área, posso afirmar que a grande maioria dos problemas nas companhias é do tipo operacional, causado por uma raiz não intencional e por falhas não propositais na operação. Porém, é muito comum encontrar uma gestão de risco que não considera essa diferença (intencional X não intencional) e, assim, todos os problemas são tratados sob a ótica da fraude. Isso engessa a empresa ao criar um ambiente de desconfiança.

Acredito que a gestão dos riscos é responsabilidade de todos e não de um único departamento. Por isso, na nossa área de gestão de riscos, temos um trabalho incansável de conscientização, formação e prevenção. É um mix de iniciativas que vão desde campanhas de aculturamento até simulações de ciberataques. Essas ações têm um desenho que vai além dos departamentos ou times, chegando ao nível individual. Assim, a área de gestão de risco fica mais leve para atuar de forma mais eficaz no que realmente compete só a ela, tanto em uma postura consultiva apoiando as demais áreas como também atuando em eventos estatísticos, controle de fraudes e auditoria interna.

Nesse modelo de gestão de risco descentralizada, se constrói o conhecimento de forma colaborativa e todos atuam na detecção e solução dos eventos. O resultado é que temos mais pessoas capacitadas para garantir que tudo corra dentro das normas, ou seja, trazendo mais segurança para a empresa.

Para estabelecer um sistema de gestão de risco descentralizado, que dará o suporte para que a empresa tenha a agilidade e a velocidade que necessita, é muito importante se atentar a cinco aspectos:

Descentralize os processos, dê autonomia e desperte a real capacidade de suas equipes por meio da colaboração. Amazon, Spotify, Google têm times autônomos, multidisciplinares e preparados para lidar com suas próprias falhas e escalar rapidamente as questões que não conseguirem resolver.

Se estamos falando em dar autonomia às equipes e indivíduos é fundamental criar um ambiente transparente e seguro para que as pessoas possam exercer essa autonomia com responsabilidade. Desconstrua o “comando e controle” e construa uma cultura baseada em equipes autônomas, voltada à colaboração, experimentação e inovação. A base desta construção está nos princípios da filosofia de gestão Lean (ou o Lean Thinking). E, muito relevante, nesta cultura o erro é percebido como uma rica fonte de aprendizado, como parte da experimentação, e não como fonte para punição.

Quando as pessoas têm seu cotidiano facilitado por bons processos e se sentem empoderadas e donas das suas atividades de ponta a ponta, elas se responsabilizam, entregando o melhor de si.

Uma vez que os problemas foram mapeados e identificados é o momento de priorizar os riscos e escolher um ferramental de acompanhamento, ou seja, que tipos de report serão utilizados, quais softwares de monitoramento serão instalados para gerar indicadores para acompanhamento etc.

Neste momento, estabeleça os campos de atuação, o que deve ser tratado pela operação e pela equipe especializada em gestão de risco. Por exemplo, tenha uma equipe de auditoria interna independente que se dedica a mapear, monitorar, e investigar eventuais fraudes.