Sem liderança, sem comunicação, sem governação – apenas caos*
A Governação, Risco e Conformidade (GRC) é frequentemente vista como uma abordagem estruturada para gerir requisitos regulamentares e mitigar riscos. No entanto, apesar da sua importância crescente, muitas organizações deparam-se com dificuldades na implementação eficaz do GRC. O motivo? Não é a complexidade dos regulamentos ou o ritmo das mudanças legislativas. O verdadeiro desafio está no seu interior – a fragmentação da própria organização. Sem uma governação forte que unifique os diferentes departamentos e elimine os silos, o GRC torna-se uma manta de retalhos de esforços isolados, sem coesão e direção estratégica.
Na sua essência, o GRC não consiste apenas em listas de verificação de conformidade ou táticas de redução de riscos. Trata-se de incorporar uma mentalidade de responsabilidade e alinhamento estratégico em toda a organização. E isso começa no topo. A liderança dá coesão e direção a uma estrutura GRC bem-sucedida. Sem ela, as empresas caem num ciclo de conformidade reativa e gestão de risco desarticulada, expondo-se a vulnerabilidades desnecessárias.
Um recente artigo da Harvard Business Review sublinha que os silos organizacionais continuam a ser um grande obstáculo a uma colaboração eficiente, dificultando o processo de tomada de decisões e o desempenho geral da empresa. De acordo com alguns relatórios, 83% dos executivos reconhecem a presença de silos nas suas organizações, com 97% a afirmar que estas divisões têm um “impacto negativo” nos resultados empresariais. À medida que as empresas se expandem, estas barreiras estruturais criam pontos cegos, dificultando a deteção de riscos, a garantia de conformidade e a manutenção da responsabilidade. Sem uma estratégia centralizada, os esforços de governação entram em conflito ou operam isoladamente, levando a uma falta de visibilidade sobre o panorama geral de riscos da organização.
No contexto do GRC, estes silos criam pontos cegos onde os riscos passam despercebidos, as lacunas na conformidade aumentam e a responsabilidade é diluída. Cada departamento – jurídico, financeiro, IT, RH – pode ter a sua própria abordagem à governação, ao risco e à conformidade, mas sem uma estratégia centralizada, estes esforços entram frequentemente em conflito ou funcionam de forma isolada. O resultado é uma organização fragmentada, onde ninguém tem uma visão clara do cenário geral de riscos.
Veja-se, por exemplo, o escâncalo Wells Fargo de 2016, no qual foram criadas contas não autorizadas para cumprir quotas de vendas agressivas. Não se tratou apenas de uma falha de conformidade, mas sim de uma falha de governação. Diferentes partes da organização estavam a operar sob prioridades contraditórias e, sem uma liderança forte para supervisionar e integrar os esforços de conformidade, as práticas antiéticas não foram controladas. As consequências foram graves: multas, danos à reputação e uma revisão maciça da liderança e das políticas. A lição aqui é clara: o GRC não pode funcionar em silos.
Porque é que a liderança deve eliminar os silos
Para acabar com estes silos, as organizações precisam de mais do que políticas e procedimentos; precisam de uma mudança cultural que começa com a liderança. Uma governação forte garante que a conformidade não é vista como uma função isolada, mas como uma parte intrínseca do funcionamento da empresa. Promove um ambiente em que a informação flui livremente entre departamentos, a consciencialização dos riscos é reforçada e a tomada de decisões baseia-se numa compreensão abrangente da exposição da empresa a ameaças.
Um estudo da McKinsey de 2023 salienta que as organizações com estruturas de governação sólidas e práticas integradas de gestão do risco estão significativamente mais bem equipadas para antecipar e responder eficazmente aos riscos emergentes. À medida que as empresas enfrentam uma incerteza crescente, as que possuem estruturas proactivas de governação e de risco demonstram maior resiliência e adaptabilidade para enfrentar as perturbações. Isto não acontece por acaso – é um resultado direto da liderança que promove uma abordagem colaborativa ao GRC. Quando os executivos se apropriam das iniciativas de GRC e as integram na estratégia empresarial, eliminam a fragmentação que prejudica os esforços de conformidade e de gestão do risco.
O aspeto esquecido: a comunicação
Embora muitas organizações se concentrem no estabelecimento de políticas e procedimentos sólidos, muitas vezes ignoram o papel vital da comunicação para garantir o sucesso do GRC. Sem esta, mesmo os quadros de governação mais bem estruturados podem falhar, deixando os departamentos a trabalhar cada um por si, sem uma visão mais ampla do risco, da conformidade e da responsabilidade.
Tomemos, por exemplo, um banco global proeminente que enfrentou penalizações regulamentares significativas devido à falta de comunicação sobre novas medidas de conformidade. Apesar de ter as políticas corretas em vigor, os funcionários não sabiam como implementar estas alterações, o que levou a um incumprimento generalizado. Não se tratava de uma questão de falta de políticas, mas sim de uma falha de comunicação que deixou os funcionários sem saberem quais eram as suas responsabilidades. Para resolver este problema, o banco introduziu reuniões regulares entre departamentos e canais claros de feedback, permitindo-lhes assegurar que toda a organização estava alinhada em tempo real com os requisitos regulamentares.
Da mesma forma, um sistema de saúde na Europa teve dificuldade em impor uma conformidade consistente com o Regulamento Geral sobre a Proteção de Dados (RGPD) devido à comunicação fragmentada entre os seus departamentos. Diferentes divisões, desde TI até o atendimento ao paciente, tinham suas próprias interpretações das regras. A organização reagiu criando uma plataforma de comunicação centralizada que facilitou uma melhor compreensão e alinhamento, garantindo que todas as equipas estavam na mesma página no que diz respeito à privacidade dos dados dos pacientes. Esta integração ajudou a organização a evitar multas dispendiosas e reforçou a sua postura geral de conformidade.
A comunicação no GRC deve ser uma conversa contínua, não uma mensagem única ou um conjunto estático de instruções. Exige que os líderes se envolvam continuamente com os funcionários, assegurando que eles compreendem as suas funções na gestão do risco e na adesão às políticas. Além disso, as organizações devem aproveitar a tecnologia para simplificar os esforços de comunicação, como as plataformas de gestão da conformidade que permitem a fácil distribuição de actualizações, o acompanhamento das actividades de conformidade, a geração de relatórios e a criação de alertas, bem como a recolha de feedback.
Comunicação na governação da IA
À medida que as organizações incorporam cada vez mais a Inteligência Artificial (IA) nas suas operações, a comunicação torna-se ainda mais imprescindível. A IA introduz riscos complexos que as estruturas GRC tradicionais podem não estar totalmente equipadas para abordar. Por exemplo, a Amazon enfrentou uma reação pública negativa quando se descobriu que o seu sistema de recrutamento baseado em IA era discriminatório em relação às mulheres. A questão não se deveu à tecnologia em si, mas à falta de transparência quanto à forma como o sistema de IA foi utilizado, aos dados em que foi treinado e à forma como os seus resultados foram interpretados. O sistema, que foi treinado com base em currículos enviados à empresa ao longo de uma década, favoreceu inadvertidamente os candidatos do sexo masculino, uma vez que os dados reflectiam um desequilíbrio histórico entre os sexos. Este facto realça a necessidade de uma maior abertura e supervisão na implementação de sistemas de IA, especialmente em áreas sensíveis como a contratação.
Para evitar problemas semelhantes, as organizações devem garantir que a governação da IA é claramente comunicada a todos os níveis. Isto significa explicar não apenas os riscos associados à IA, mas também as medidas que estão a ser tomadas para mitigar esses riscos. É essencial que a liderança promova uma cultura em que a ética e a governação da IA sejam discutidas abertamente, garantindo que todos os colaboradores compreendem o seu papel na tomada de decisões responsáveis e transparentes quando utilizam tecnologias de IA.
Segundo a minha experiência, as estruturas GRC com maior sucesso são aquelas em que a comunicação não é uma reflexão tardia, mas um pilar central da governação. As organizações que dão prioridade à comunicação conseguem dissolver silos, promover a transparência e criar um ambiente no qual a conformidade é uma responsabilidade partilhada.
Como Warren Buffet disse uma vez: “São precisos 20 anos para construir uma reputação e 5 minutos para a arruinar. Se pensarmos nisso, faremos as coisas de forma diferente”. Isto é especialmente verdade no domínio do GRC, onde uma comunicação e uma liderança fortes podem fazer a diferença entre uma abordagem sólida e unificada e uma estratégia fragmentada e reactiva.
* Este artigo foi originalmente publicado na Corporate Compliance Insights.
