Nilson Yoshihara (*)
Todos os negócios precisam considerar dois conceitos essenciais no dia a dia para garantir seu desenvolvimento sustentável.
Processos e controles são ferramentas que andam juntas, principalmente quando o assunto é Gestão, Risco e Conformidade (GRC). A sigla está relacionada à integração dos procedimentos internos da organização, a fim de garantir que a estratégia de negócio aconteça de forma unificada e transparente, com a devida avaliação de riscos e alinhamento de conformidade com as políticas corporativas, leis e regulamentações.
Ou seja, GRC indica o caminho que todos devem seguir e sinaliza o percurso para que todos estejam na mesma direção, buscando atingir os objetivos estratégicos da companhia. Dentro do escopo GRC, o risco operacional é aquele que envolve os processos, e os controles, na maioria das vezes, são implementados sobre esses procedimentos. Ainda que a empresa não tenha os processos mapeados, eles estão presentes, intrínsecos ao trabalho diário.
Já os controles são instituídos de acordo com o apetite ao risco da organização. Esse cenário traz uma importante reflexão sobre o equilíbrio entre desempenho e riscos. Atualmente, o mercado se encontra na quarta geração GRC. Isso significa que a gestão de Riscos e Conformidade de uma companhia deve olhar não apenas para os riscos, mas também para o impacto no desempenho operacional.
A empresa não pode estabelecer controles somente pelo grau de apetite ao risco. Ela precisa levar em consideração a perspectiva da performance de negócios. Na prática, a lógica é bastante simples. Se houver baixa tolerância ao risco serão estabelecidos controles para mitigá-los, o que pode prejudicar o desempenho do processo, pela grande quantidade ou complexidade dos controles impostos.
Se não existir controle algum, o processo poderá ser mais ágil e performático, porém estará exposto a um risco operacional maior. Nos negócios alguns riscos não são aceitáveis, por conta do elevado impacto e das perdas que podem trazer. Em um momento no qual a maioria das organizações tem buscado se tornar ágil, há muitas dúvidas se esse conceito conflita com características GRC.
A verdade é que é possível sim ser ágil mesmo em um universo de riscos e controles internos. Para isso é preciso se manter fiel à balança, equilibrando a performance dos negócios com as necessidades de conformidade aos controles internos, compreendendo que os processos não são burocracias; são apoios que ajudam a desenvolver o trabalho de forma mais fluída e integrada.
Pela parte da gestão é necessário dosar a adoção de controles para não diminuir a agilidade e a flexibilidade de atuação das equipes. Trata-se de adotar um modelo minimizado de gestão de riscos, no qual os controles sejam utilizados apenas quando forem essenciais, garantindo que tenham o escopo adequado para responder à conformidade necessária.
É preciso que a gestão operacional da organização compreenda que a prática ágil e colaborativa não conflita com a adoção de processos claros e nem com o respeito aos controles. Processos e controles que não agreguem valor ao negócio, prejudicando o desempenho das equipes, devem ser substituídos.
Um modelo de organização ágil não é sinônimo de caos, mas sim de simplicidade e adequação no uso de processos e controles.
(*) – É Territory Services Manager na Red Hat Brasil.