Consciência de Risco a um abismo de distância entre a governança Planejada e a Verdadeiramente Executada.

Trabalhar com gestão de riscos e conscientização para riscos, tem um grande desafio que sempre achamos. Não importa qual é a atividade que estamos desempenhando, seja em um treinamento, durante uma Auditoria, no planejamento, no mapeamento, nas atividades de conscientização, entre outras. Todas elas precisam levar em consideração um fator em comum:

Existe um abismo de distância entre o trabalho planejado (WAI) e o trabalho verdadeiramente executado (WAI).

O que estou querendo dizer é, que por mais que todo o fluxo de trabalho seja planejado e mapeado, as coisas mudam numa forma muito mais rápida do que se pode ter registrado. Isso impacta diretamente na gestão de risco da empresa.

Mas isso não significa que não é preciso ter desenhado e mapeado o fluxo e ser feito a matriz de risco dos processos. Inclusive ter esse tipo de documentação e mapeamento é super importante à governança do risco. Mas é preciso ter em mente que nem sempre o papel reflete a realidade de fato.

Nas minhas palestras eu costumo falar sobre uma parábola do copo. Se mapearmos as funções de negócio de um copo, vamos chegar na conclusão de que ele serve para armazenar e/ou auxiliar no consumo de algum liquido dentro dele;

Porém, a depender da situação na prática, o usuário final diante do copo, pode perceber que carrega sempre consigo uma garrafa d'agua, por isso não tem necessidade de um copo.

E ele percebe que seu ambiente de trabalho está mórbido e uma plantinha seria mais interessante. Então, o usuário final pega este mesmo copo, coloca terra dentro e planta uma flor.

No fim do dia, esse mesmo objeto (processo) chamado de "copo" que tinha a função de negócio armazenar água, passa a ter sua função de negócio alterada para "vaso", cuja a função agora é armazenar uma planta.

Tem uma fase do Brent Sutton (2021) que é bastante interesse em relação a esse tema: "A mudança é inevitável; compreender o efeito potencial da mudança é simplesmente um bom gerenciamento de risco."

A mudança ela sempre vem, por isso que capacitar os colaboradores para entenderem, mas acima de tudo, refletirem essas mudanças de comportamento e de fluxos de trabalho é essencial. Por isso que realizar atividades que levem eles a essas reflexões são extremamente importantes para atingirmos um nível de conscientização de riscos nas empresas.

É muito fácil uma consultoria chegar, mapear os riscos, apontar os potenciais problemas, e falar, corrijam. Se na semana seguinte, esses processo mapeados já foram alterados, nem que seja uma vírgula, um click diferente, um e-mail pessoal usado, uma necessidade de acessar determinado site, uma burocracia nova implementada.

Esse GAP entre o Work as done (WAD) e o Work as imagined (WAI), dificilmente vai diminuir, se não pegarmos essas mesmas pessoas que estão na linha de frente, e colocarmos elas para mapear essas situações. E com eles de forma colaborativa e reflexiva, construir um meio termo entre aquilo que é utilizável e aquilo que será apostado no gerenciamento do risco na matriz de risco.

Claro que não é tarefa fácil. Depende muito de como a estrutura da organização está disposta, é preciso ter uma certa cultura de responsabilidades, além de alguém como facilitador para esses trabalhos. Mas não é impossível e a empresa só tem a ganhar com a geração de conhecimento organizacional e conhecimento operacional.

Obviamente esta é apenas uma proposição de abordagem para enfrentar esse tipo de problema. Mas perceba que há outros potenciais retornos interessantes, como, engajamento de dos colaboradores, conscientização daquilo que é feito e como pode dar problema, otimização de recursos técnicos, humanos e financeiros, e tempo de latência entre execução e entrega de trabalho.

E é sempre bom lembrar que uma empresa é como se fosse uma grande engrenagem, e tudo tem que estar funcionando. A tecnologia tem que estar integrada nas pessoas, as pessoas precisam estar integradas nos processos e os processos integrados as tecnologias. Tudo precisa estar em harmonia para que a empresa funcione.

O usuário final, vulgo colaborador ou steakholder, precisa saber das suas capacidades, suas funções e suas responsabilidades, e ter consciência daquilo que ele faz e de sua potencial consequência. O primeiro gerenciamento de risco está no usuário, se ele falhar, os controles automatizados deverão agir, conforme a harmonia entre tecnologia, pessoas e processos.