Muitas organizações buscam a eficiência operacional através de certificações, como a ISO9.000, ISO14.000, ISO50.001, ISO20.000, ISO26.000, ISO27.000, SOX, Cobit, ITIL, etc. Cada certificação exige investimento, tempo, treinamento, mobilização de toda ou parte da organização e adequação dos processos para atender aos requisitos da norma ou do framework. Muitas especificações são redundantes em vários frameworks. Como sabemos, muitas regras tornam complexo o processo de gestão e geram dúvidas de interpretação, podendo ter um resultado inverso ao esperado. Isso coloca em dúvida o retorno do investimento dos projetos de certificação. A proposta desse artigo é usar a disciplina de Gestão de Risco para direcionar as revisões de processos e a adoção de mecanismos de controle automatizados. O resultado é tornar os resultados tangíveis e alinhados com os objetivos e continuidade dos negócios.
As organizações assumem o perfil de seus fundadores e suas disciplinas de valor. Cada organização assume uma cultura que pode ser orientada para a inovação, para o cliente ou para a excelência operacional. Por exemplo, as empresas da era digital têm orientação para a inovação, as consultorias de uma forma geral para os clientes, e a indústria para a excelência operacional. Cada organização tem um apetite para o risco de acordo com o perfil de seus fundadores e disciplinas de valor.
O sucesso de uma organização deve levar em consideração diversos componentes interligados e seus habilitadores. Podemos considerar sete importantes habilitadores: (1) princípios, políticas e modelos; (2) processos; (3) estruturas organizacionais; (4) cultura, ética e comportamento; (5) informação; (6) serviços, infraestrutura e aplicativos; e (7) pessoas, habilidade e competências. A falta de alinhamento de um ou mais habilitadores impede que os objetivos e metas de crescimento sejam alcançadas.
Observe que o perfil dos fundadores e disciplinas de valor têm um impacto direto nos habilitadores, resultando em um estilo organizacional próprio. Esse estilo é o que a distingue da concorrência e define seu sucesso empresarial.
Uma alteração no modus operandi da organização devido a implantação de uma norma ou framework tem que ter uma excepcional justificativa para ser aceita sem resistência pela alta direção e funcionários.
Minha proposta de adoção de um modelo de gestão baseado em risco se apoia na identificação de potenciais falhas e impactos dos habilitadores para justificar mudanças de processos e novos sistemas automatizados de controle.
O modelo de governança corporativa deve garantir que as necessidades, condições e opções das partes interessadas sejam avaliadas frente aos objetivos acordados, definindo priorizações e tomadas de decisão. O modelo BSC – Balanced Scorecard – permite identificar os objetivos e métricas de desempenho de forma holística, considerando as perspectivas financeira, cliente, processos internos e, treinamento e crescimento. O BSC se adapta a qualquer estilo organizacional.
Cabe aos diretores executivos implementar um modelo de gestão para atingir os objetivos organizacionais, envolvendo planejamento, desenvolvimento, execução e monitoramento das atividades.
A fortíssima concorrência local e global focada em preço e qualidade dos produtos e serviços não oferece margem para desperdícios de tempo e dinheiro. O importante é focar nos objetivos organizacionais e em ações para mitigar os riscos que impactem as metas definidas.
Cada gestor de negócio deve avaliar os habilitadores que garantem o atingimento de suas metas e avaliar os potenciais riscos de falha e ações para mitiga-los. Recomendo usar o FMEA – Failure modes and effects analysis – como instrumento para identificar potenciais falhas no design, processos de manufatura, produtos e serviços. O FMEA se aplica a qualquer processo organizacional. Usando o método PCDA (Plan-Do-Check-Act) é possível controlar e melhorar continuamente os processos e produtos. Programas mais avançados podem utilizar o DMAIC (Define, Measure, Analyze, Improve and Control) uma ferramenta de projetos Six-Sigma.
Usando essa abordagem, a organização promove a gestão de risco e investe na automação dos processos que trazem retornos tangíveis. O uso de sistemas de informação eficientes dos processos críticos fornece a alta direção informações necessárias para tomadas de decisão mais precisas. Adotando técnicas de melhoria contínua, progressivamente, os processos se tornam mais robustos, reduzindo as falhas, aumentando a produtividade e reduzindo os custos operacionais.
Para alinhar e envolver a direção, funcionários e fornecedores no programa sugiro adotar ciclos periódicos para revisão de riscos, revisão de processos e avaliação de resultados. Concentrando as atividades em períodos, gera mais sinergia e evita que ações ad hoc de uma área de negócio desvie da rotina outras áreas de negócios em diferentes épocas do ano. Caso seja necessário contratar uma consultoria especializada em gestão de risco e melhoria contínua, é possível concentrar as atividades e obter mais produtividade e ganhos do serviço contratado.
Os resultados práticos dessa abordagem surgirão naturalmente na melhoria de produtividade, aumento da qualidade dos produtos e serviços, redução de custos operacionais, maior retorno do capital investido, satisfação dos clientes e maior atratividade de investidores.
Entretanto, se houver a necessidade de uma avaliação externa e independente do trabalho realizado, é possível a contratação de uma empresa de auditoria externa para validar o modelo de gestão baseado em risco e os processos de negócio.
Essa abordagem não invalida a obtenção das certificações tradicionais. Algumas são obrigatórias para participação em processos licitatórios, condição para participar da cadeia de fornecedores de grandes empresas e como parte de acordos com acionistas e entidades regulamentadoras.
A grande vantagem do uso a priori do modelo de gestão baseado em risco sobre os processos tradicionais de certificação é que todo os processos já foram mapeados, os riscos identificados e as ações mitigatórias já definidas. Desta forma, o processo de certificação será meramente burocrático com a reunião das evidências na forma exigida pela norma.