Close

Programa de gestão de riscos


O que é?

Ao ouvir a palavra "risco", a maioria das pessoas pensa em "o que pode dar errado". Por mais que, no geral, isso seja verdade e esteja enraizado no viés cognitivo evolutivo, é apenas parte da definição. Segundo a ISO 31000, risco é "o efeito da incerteza sobre os objetivos". Portanto, falar em risco é falar de uma incerteza que traz tanto perigo como oportunidade.

Então por que a gente se preocupa com o risco? Isso não é um trabalho corporativo ou burocrático? Para responder, é preciso analisar o outro lado da moeda: a confiança, o oposto de risco. Portanto, os programas de gestão de riscos se concentram, no fim das contas, em aumentar a confiança, o que inclui:

  • A confiança que os clientes têm nos produtos, serviços, comportamento empresarial, etc., o que gera mais receita;
  • A confiança que as autoridades têm de que as regras serão cumpridas, o que reduz os custos de mercado e regulatórios; e
  • A confiança que os empregados têm na Atlassian, o que leva à moral alta e rotatividade baixa.

Em um estudo de 2013 conduzido pelo Boston Consulting Group, a confiança foi identificada como uma das principais qualidades que atraem clientes para uma marca.

Assumir riscos faz parte da vida. Todos sempre avaliam os riscos em relação aos benefícios que eles podem trazer. O perfil de risco de uma empresa inclui vários tipos diferentes (financeiro, de marketing, jurídico/regulatório, de fraude, de segurança, operacional, etc.), que precisam ser equilibrados. A meta do programa de gestão de riscos empresariais (ERM) é:

  1. Identificar e analisar riscos;
  2. Decidir que medidas devem ser tomadas;
  3. Operacionalizar as medidas; e
  4. Fazer relatórios sobre a eficácia dessas medidas.

Por que a gente faz isso?

Gerar confiança por meio da eliminação de incertezas (ou seja, gestão de riscos) depende de dois princípios fundamentais: transparência e previsibilidade. Ser transparente com relação à nossa filosofia, práticas e procedimentos faz com que os clientes saibam muito bem o que estão comprando. Ser previsível deixa claro que a Atlassian é uma parceira confiável, além de ser a razão por trás das auditorias periódicas.

A gestão de riscos tem dois objetivos principais na Atlassian:

  • Diminuir o número de coisas que a gente não controla. Sempre vai ter alguma coisa que não tem como controlar. O que importa é estar preparado para lidar com isso. A gente quer reduzir as chances de imprevistos e se preparar para dar conta de outras questões.
  • Dar espaço para respirar e assumir os riscos que a gente escolher. Quando já há muitos riscos em uma empresa, assumir mais um pode ser assustador, mesmo que ele ofereça uma grande oportunidade. Por outro lado, se os riscos situacionais estiverem sob controle, um risco novo pode parecer ter menos pontos negativos, a ponto de valer a pena considerar.

Um risco é como uma dívida: um ativo de capacidade limitada que a empresa pode implementar. É melhor ampliar as despesas em áreas em que o ROI atinge os valores máximos, o que constitui a meta da carteira de riscos de uma empresa equilibrada. Por exemplo, o benefício de assumir altos riscos nas operações de nuvem seria muito pequeno, porque isso geraria incidentes e insatisfação de clientes. Por outro lado, poderia haver grandes benefícios em experimentar novos usos para os nossos produtos. Assim, é necessário reduzir um para aumentar o outro. É claro que pagar por "risco zero" é muito caro (e mesmo impossível, em muitos casos) e pode inviabilizar o investimento: todo 9 depois dos 99,9% de disponibilidade fica cada vez mais difícil de conseguir. Esse é outro fator no equilíbrio do portfólio de risco.

Ter um programa de gestão de riscos empresariais (ERM) é:

  • Considerado uma boa prática de negócios. É ter uma visão consolidada dos maiores riscos e saber o que fazer com eles. Isso possibilita a verificação periódica e a certeza de que os riscos estão sendo enfrentados como a gente quer. Assim como ir ao médico para confirmar se um osso quebrou e precisa de repouso para melhorar, um ERM confirma a visão de riscos implícita dos executivos e a adequação das estratégias de gestão de risco. Às vezes, no processo também são descobertos outros riscos que precisam ser considerados.
  • Necessário para cumprir as obrigações de conformidade atuais e futuras. As certificações ajudam a conquistar a confiança dos clientes, o que gera mais receita e reduz atritos nas vendas. As certificações SOX, SOC2 e ISO 27001 exigem um programa de ERM, a confirmação periódica dos principais riscos e das estratégias de gestão de riscos com os executivos, bem como relatórios para o órgão de supervisão. Ao entrar em setores mais regulados e obter outras certificações, como HIPAA, FedRAMP, etc., a Atlassian vai ter que se tornar ainda mais confiável, e a avaliação do programa de ERM vai ficar mais rígida.
  • Prova de maturidade. Quando uma empresa cresce, precisa formalizar práticas para impulsionar a eficiência operacional e acabar com as incertezas (ou seja, os riscos). Essa eficiência operacional vai contribuir com a capacidade de escalar. Simplificando, a Atlassian quer ter menos surpresas e confirmar que a saúde da empresa é de fato como a gente pensa e sabe que é.

Na Atlassian, há uma estrutura estabelecida para gerir riscos empresariais, estratégicos e do dia a dia no nível da equipe. A gente faz isso porque é evidente que empresas com processos de gestão de riscos melhoram a tomada de decisões estratégicas e operacionais, o que gera mais receita e menos margens operacionais.

Como a gente faz isso?

A avaliação de riscos empresariais é um processo abrangente realizado uma vez por ano e atualizado com frequência. Há muitas informações para analisar:

  • Existem vários tipos diferentes de avaliações de riscos específicos: riscos de fraude, de segurança, operacionais, entre eles Análise de Impacto nos Negócios (parte do programa de Continuidade de Negócios/Recuperação de Desastres), avaliações de unidades de negócios individuais (por exemplo, Segurança da Informação and Finanças) etc.;
  • Riscos previsíveis, isto é, incidentes, um "quase problemão", relatórios post-mortem de projetos e produtos grandes/importantes;
  • Auditorias e avaliações internas e externas;
  • Análises externas de tendências e mercados globais, como desacelerações econômicas, tendências do setor, concorrência, etc.;
  • Feedback e dados de clientes, parceiros de negócios e fornecedores;
  • Objetivos de negócios, bem como objetivos e resultados principais, das unidades de negócios individuais e empresariais;
  • Entrevistas longas com o pessoal da Atlassian.

Os dados recebidos são reunidos e analisados para determinar os riscos e pontuados de acordo com a probabilidade, impacto, rapidez, benefício e eficácia da gestão de riscos. Se necessário, a gente entra em contato com os líderes de negócios para tirar dúvidas e deixar tudo certo.

Ao monitorar os riscos empresariais, o foco permanece nos riscos altos que não trazem benefícios proporcionais e em áreas que exigem mais atenção.

Como isso se encaixa no "quadro geral"?

Embora o setor de Risco e Conformidade coloque programa em prática ao coletar e analisar os dados, fazer relatórios e acompanhar a execução, o relatório de avaliação de risco periódico é a visão consolidada da equipe executiva a respeito dos riscos maiores e de como eles estão sendo tratados. A equipe de Risco e Conformidade pode opinar e aconselhar, mas é a equipe executiva que, no fim das contas, decide como vai ser o portfólio ideal: quais riscos devem ser reduzidos, quais devem ser aumentados e para onde os esforços e recursos vão ser direcionados.

Portanto, o relatório de avaliação de risco é considerado no planejamento estratégico e operacional para ajudar na alocação de recursos e investimentos (mas não é o único fator). Também é considerado no planejamento anual de auditoria interna. O programa de ERM da Atlassian foi programado para que o relatório seja concluído próximo ao final do ano civil. Assim, também se cumpre a exigência de atualizar o Comitê de Auditoria duas vezes por ano (junho e dezembro).

Ele é usado como mais um ponto de verificação do estado dos negócios e da empresa. Ajuda a confirmar ou refutar a "sensação" sobre as coisas. É também um ponto de alinhamento extra com relação a metas e objetivos.

Encerramento

A Atlassian quer dar aos seus clientes a confiança de que os riscos estão sendo geridos do jeito certo. Como vários deles já são bem gerenciados, a gente quer focar naqueles em que o risco envolvido (implícito ou explícito) é grande demais e não tem um benefício à altura. É com essa estratégia que a Atlassian se mantém lean e ágil em um ambiente complexo, onde a gestão de riscos e do tempo de colocação no mercado tem um papel fundamental no desenvolvimento da empresa.