Salomão de Oliveira (*)
Conceitualmente, relativização diz respeito à forma como buscamos relativizar, ou relacionar temas de forma a nos beneficiar, seja atenuando falhas ou superestimando virtudes. É certo que nada é absoluto, 100% certo ou 100% errado, pois certo e errado também são conceitos subjetivos, quando falamos em relacionamento e comportamento humano.
Quem nunca ouviu falar em fazer o certo da forma errada? Certo e errado depende do conhecimento, experiências individuais e vivências de cada pessoa, tendo por mais errado o erro de quem já teria condições de tomar a decisão certa, e menos errado quando o erro é cometido por quem carece de condições para discernir e agir. E quanto à cultura e costumes? O que é certo no Brasil é também na Arábia Saudita? O contexto é fundamental.
Tendo isso em vista, e vejam que já estamos relativizando conceitos que poderiam ser, em certos casos, vamos trazer a relativização para o caso da Governança, Risco e Compliance, com foco especial na Segurança da Informação. Há no mercado algumas métricas para identificar o nível de segurança de empresas, que variam de 1 a 5, tendo o 1 como o mais básico ou desestruturado e o 5 como o mais bem estruturado e gerenciado.
Normalmente se faz a avaliação do nível de maturidade da empresa e compara este resultado com outras empresas do mesmo ramo ou setor. É muito bom termos uma referência para fazermos uma relação ou comparação, mas tal relativização deve ser utilizada com muita parcimônia. E por que isso? Porque outras empresas estarem com risco alto não reduz o meu risco. Se o mercado comparado está no nível mais baixo de maturidade, não significa que eu estar na mesma situação me coloca numa posição de tranquilidade.
Muito pelo contrário: se eu estiver acima da média do meu mercado demonstra que eu faço melhor, sou mais resiliente e posso usar isso como uma vantagem competitiva. Estar acima da média pode ser uma oportunidade de me destacar. Mas, infelizmente, o que verificamos com certa frequência são gestores se tranquilizando ao saberem que estão tão ruins quanto o mercado de comparação.
É nesse caso que a relativização é utilizada como uma forma de justificar a permanência em risco, trazendo para o board da empresa uma visão distorcida da realidade. “Nós estamos no nível 2, mas as empresas do nosso mercado estão no nível 1, portanto estamos muito bem!”. Notem como a relativização distorceu o diagnóstico. Qual deveria ser, então, o posicionamento?
Algo como: “Nós estamos no nível 2, enquanto as empresas do nosso mercado estão no nível 1, mas o nível 2 não nos coloca em posição de destaque ou de tranquilidade, pois pelos requisitos legais e contratuais, e pelos riscos que temos presentes, deveríamos estar no mínimo no nível 3 no geral e no nível 4 em alguns dos temas medidos”. A relativização é utilizada para apresentação de um cenário distorcido.
Percebem a diferença da abordagem e do direcionamento para um mesmo cenário? Comparar com os outros é bom, mas comparar nossa situação atual com a situação que deveríamos estar é bem melhor! Saindo então da Relativização e adentrando ao conceito da Racionalização, temos que racionalizar é a busca de formas de justificação de nossos erros ou falhas. A relativização é, em grande parte, uma ferramenta da racionalização.
Racionalizar é, de forma simplista, a busca e utilização de razões lógicas, racionais e aceitáveis para ações e atitudes ou comportamentos inaceitáveis. “Como nosso mercado não é regulamentado e não temos obrigatoriedade de mantermos alto nível em segurança da informação, o investimento não precisa ser feito. Nem temos orçamento para isso”. Notem que é bem plausível o argumento, mas parte de premissas predeterminadas para sustentarem a decisão de não investir.
Vejamos como ficaria se acrescentarmos uma variável ocultada – conscientemente ou não: “Como nosso mercado não é regulamentado e não temos obrigatoriedade de mantermos alto nível em segurança da informação, o investimento não precisaria ser feito, a não ser pelo fato que estamos com risco muito alto de impactar nossa operação, o que prejudicaria o atingimento do resultado definido em nosso planejamento estratégico”.
Fica claro que, ainda que não tenhamos omitido as premissas iniciais, o contexto mudou, e, neste caso, realmente o investimento não será feito pelas premissas de obrigatoriedade, mas pelo risco de impactar negativamente os resultados da empresa, caso não seja feito. Racionalizar é, portanto, a utilização de verdades escolhidas para a tomada de decisão mais ‘conveniente’ para o momento, ou para validar uma decisão já tomada, sem levar em conta todas as premissas e variáveis.
Notemos que as duas afirmativas acima estão coerentes com as premissas postas, mas a primeira tem uma séria falha de omissão de uma informação que mudaria drasticamente o processo de tomada de decisão. A racionalização é utilizada para justificar ou direcionar uma decisão.
Quando tratamos de GRC – Governança, Riscos e Compliance, é muito comum vermos esse tipo de relativização e racionalização, pois são ações que dependem e afetam diretamente o comportamento humano e como tomamos decisões, decisões estas que podem ‘parecer’ prejudicar a empresa, como por exemplo, não pagar uma propina de 100 mil Reais e manter uma obra parada causando prejuízo de 200 mil Reais.
Pensando apenas nos valores, a decisão certa seria pagar 100 para não perder 200, ou seja, economizaria 100, certo? Mas esta decisão não é sobre valores financeiros, mas sim valores éticos e morais. Isso é Compliance, que requer decisões tomadas sob regras de Governança, para gerenciar Riscos de todos os prismas – financeiros, reputação, operacional, legal, etc. Corrupção é crime, afeta a reputação da empresa e dos gestores e impacta financeiramente a empresa.
É melhor decidir – escolha – com base em informações verdadeiras e completas e estar errado, do que decidir ‘certo’ com base em informações erradas ou incompletas. No primeiro caso – decisão errada com base em informações certas, é preferível por ter sido uma decisão com base real, legítima, ainda que a decisão se mostre inadequada no futuro. É sempre uma escolha de risco, pois nem sempre sabemos com certeza qual será o resultado decorrente nossas decisões. É isso que faz do líder um tomador de riscos!
Já no segundo caso – decisão com base em informações erradas ou incompletas, o resultado raramente será positivo, pois que a decisão não foi tomada em bases reais. O risco desse caso é muito grande, pois tira do líder a possibilidade da análise contextual, o que o levará fatalmente ao erro.
Cabe a nós, tomadores de decisões acerca desses temas, observarmos com muita atenção o déficit de informações quando formos apresentar ou quando formos apresentados a situações que irão requerer decisões. Fujamos desses comportamentos psicológicos enviesados e das falácias da argumentação.
Diferenciall é isso!
(*) – Professor de Disciplinas relacionadas à Segurança da Informação, Privacidade e Proteção de Dados, Gerenciamento de Riscos e Gestão de TI, atua como instrutor acreditado para os cursos de Fundamentos em Segurança da Informação (www.diferenciall.com.br).
