Programa de gestão de riscos


O que é?

Ao ouvir a palavra "risco", a maioria das pessoas pensa em "o que pode dar errado". Por mais que, no geral, isso seja verdade e esteja enraizado no viés cognitivo evolutivo, é apenas parte da definição. Segundo a ISO 31000, risco é "o efeito da incerteza sobre os objetivos". Portanto, falar em risco é falar de uma incerteza que traz tanto perigo como oportunidade.

Então, por que a gente se preocupa com o risco? Isso não é um exercício corporativo/burocrático? Para responder a essa pergunta, a gente precisa ver o outro lado da moeda: a confiança, que é o oposto do risco. Portanto, o foco dos programas de Gestão de riscos é, em última instância, aumentar a confiança, incluindo:

  • A confiança que os clientes têm nos nossos produtos, serviços, comportamento corporativo, etc. — o que leva a uma receita maior;
  • A confiança que os reguladores têm de que a gente está seguindo as regras — o que reduz o custo com regulamentação e de comercialização; e
  • A confiança que os funcionários têm na Atlassian — que leva a uma moral alta e uma rotatividade baixa.

Em um estudo de 2013 conduzido pelo Boston Consulting Group, a confiança foi identificada como uma das principais qualidades que atraem clientes para uma marca.

Assumir riscos faz parte da vida. A gente sempre avalia os riscos em relação aos benefícios que eles podem trazer. O perfil de risco de uma empresa inclui vários tipos diferentes (financeiro, de marketing, jurídico/regulatório, de fraude, de segurança, operacional, etc.), que precisam ser equilibrados. A meta do programa de gestão de riscos empresariais (ERM) é:

  1. Identificar e analisar riscos;
  2. Decidir que ações devem ser tomadas;
  3. Operacionalizar as ações; e
  4. Fazer relatórios sobre a eficácia dessas ações.

Por que a gente faz isso?

Gerar confiança por meio da eliminação de incertezas (ou seja, gestão de riscos) depende de dois princípios fundamentais: transparência e previsibilidade. Ser transparente com relação à nossa filosofia, práticas e procedimentos faz com que os clientes saibam muito bem o que estão comprando. Ser previsível deixa claro que a Atlassian é uma parceira confiável, além de ser a razão por trás das auditorias periódicas.

A gestão de riscos tem dois objetivos principais na Atlassian:

  • Reduzir o número de coisas que a gente não controla. Sempre vai ter alguma coisa que não tem como controlar. O que importa é estar preparado para lidar com isso. A gente quer reduzir a possibilidade de imprevistos e se preparar para lidar com outras questões.
  • Dar espaço para respirar e assumir os riscos que a gente escolher. Quando já há muitos riscos em uma empresa, assumir mais um pode ser assustador, mesmo que ele ofereça uma grande oportunidade. Por outro lado, se os riscos situacionais estiverem sob controle, um risco novo pode parecer ter menos pontos negativos, a ponto de valer a pena considerar.

Um risco é como uma dívida: um ativo de capacidade limitada que a empresa pode implementar. É melhor ampliar as despesas em áreas em que o ROI atinge os valores máximos, o que constitui a meta da carteira de riscos de uma empresa equilibrada. Por exemplo, o benefício de assumir altos riscos nas operações de nuvem seria muito pequeno, porque isso geraria incidentes e insatisfação de clientes. Por outro lado, poderia haver grandes benefícios em experimentar novos usos para os nossos produtos. Assim, é necessário reduzir um para aumentar o outro. É claro que pagar por "risco zero" é muito caro (e mesmo impossível, em muitos casos) e pode inviabilizar o investimento: todo 9 depois dos 99,9% de disponibilidade fica cada vez mais difícil de conseguir. Esse é outro fator no equilíbrio da carteira de riscos.

Ter um programa de ERM funcional é:

  • Considerado boa prática de negócios. É uma visão consolidada dos principais riscos da empresa e do que a gente com isso. Ele permite fazer verificações periódicas e garantir que a gente está abordando esses riscos da forma pretendida. Assim como se vai a uma consulta médica para confirmar se um osso está quebrado e é preciso repouso para curar, a ERM confirma a visão implícita dos riscos que os executivos correm e as estratégias adequadas para a gestão de riscos. Às vezes, o processo pode descobrir novos riscos que precisam ser abordados.
  • Necessário para cumprir com obrigações de conformidade atuais e futuras. As certificações ajudam a construir a confiança com os clientes, o que gera mais receita e reduz o atrito nas vendas. As certificações SOX, SOC2 e ISO 27001 exigem um programa de ERM, a confirmação periódica dos principais riscos e das estratégias de gestão de risco com os executivos e relatórios para o órgão de supervisão. Ao entrar em setores mais regulados e obter mais certificações, como HIPAA, FedRAMP, etc., a Atlassian vai ter que se tornar ainda mais confiável, e a avaliação do programa de ERM vai ficar mais rígida.
  • Prova de maturidade. À medida que a gente cresce, precisa formalizar as práticas para impulsionar eficiências operacionais e acabar com as incertezas (ou seja, os riscos). Essa eficiência operacional vai contribuir para a escalabilidade da empresa. Em outras palavras, a gente quer menos surpresas e quer validar se o funcionamento da empresa é, de fato, o que a gente conhece e sente.

Na Atlassian, há uma estrutura estabelecida para gerir riscos empresariais, estratégicos e do dia a dia no nível da equipe. A gente faz isso porque é evidente que empresas com processos de gestão de riscos melhoram a tomada de decisões estratégicas e operacionais, o que gera mais receita e menos margens operacionais.

Como a gente faz isso?

A Avaliação de riscos empresariais é um processo abrangente que a gente executa a cada ano e atualiza com frequência durante esse período. Existem diversas informações na análise:

  • Existem muitos tipos diferentes de avaliações de risco específicas — fraude, várias avaliações de risco à segurança, diversas avaliações de risco operacional, incluindo Avaliações de consequências aos negócios (parte do programa de BC/DR), avaliações de unidades de negócios individuais (ex. Segurança da Informação e Finanças), etc.
  • Riscos identificados, como incidentes, quase incidentes, post-mortem de projetos e entregas grandes/importantes
  • Auditorias e avaliações internas e externas;
  • Análises externas de tendências e mercados globais, como desacelerações econômicas, tendências do setor, concorrência, etc.
  • Feedback e dados de clientes, parceiros de negócios e fornecedores;
  • Objetivos de negócios e OKRs da empresa e unidades de negócios individuais;
  • Entrevistas vastas com pessoas de toda a Atlassian.

Os dados recebidos são reunidos e analisados para determinar os riscos e pontuados de acordo com a probabilidade, impacto, rapidez, benefício e eficácia da gestão de riscos. Se necessário, a gente entra em contato com os líderes de negócios para tirar dúvidas e deixar tudo certo.

Ao monitorar os riscos empresariais, o foco permanece nos riscos altos que não trazem benefícios proporcionais e em áreas que exigem mais atenção.

Como isso se encaixa no "quadro geral"?

Embora o setor de Risco e Conformidade coloque o programa em prática ao coletar e analisar os dados, fazer relatórios e acompanhar a execução, o relatório de avaliação de risco periódico é a visão consolidada da equipe executiva a respeito dos maiores riscos e de como eles estão sendo tratados. A equipe de Risco e Conformidade pode opinar e aconselhar, mas é a equipe executiva que, no fim das contas, decide como vai ser o portfólio ideal: quais riscos devem ser reduzidos, quais devem ser aumentados e para onde os esforços e recursos vão ser direcionados.

Portanto, o relatório de avaliação de risco é considerado no planejamento estratégico e operacional para ajudar na alocação de recursos e investimentos (mas não é o único fator). Também é considerado no planejamento anual de auditoria interna. O programa de ERM da Atlassian foi programado para que o relatório seja concluído próximo ao final do ano civil. Além disso, também se cumpre a exigência de atualizar o Comitê de Auditoria duas vezes por ano (junho e dezembro).

Ele é usado como mais um ponto de verificação do estado dos negócios e da empresa. Ajuda a confirmar ou refutar a "sensação" sobre as coisas. É também um ponto de alinhamento extra com relação a metas e objetivos.

Encerramento

A Atlassian quer dar aos clientes a confiança de que os riscos estão sendo geridos do jeito certo. Como vários deles já são bem gerenciados, a gente quer focar naqueles em que o risco envolvido (implícito ou explícito) é grande demais e não tem um benefício à altura. É com essa estratégia que a Atlassian se mantém enxuta e ágil em um ambiente complexo, onde a gestão de riscos e do tempo de colocação no mercado tem um papel fundamental no desenvolvimento da empresa.