À medida que os processos e rotinas se tornam cada vez mais dependentes de recursos tecnológicos, as empresas ficam mais expostas a Riscos de Cibersegurança e de TI. Assim, elas precisam aprimorar as estruturas de gestão de risco para protegerem os clientes, parceiros, funcionários e a si mesmas de ameaças.

Está claro que nenhuma empresa está isenta de riscos, portanto, existem rigorosas estruturas de gestão de risco que as elas adotam para sistematizar as possíveis variáveis que afetam os negócios e para prever cenários específicos, a fim de minimizar perdas. 

Com o intuito de elevar a gestão de risco no Nubank, nós formamos uma equipe bastante diversificada e colaborativa para inovar a gestão de riscos de TI e de Cibersegurança, além de orientar e apoiar as áreas de negócios e tecnologia da melhor forma possível.

O modelo de três linhas para a gestão de riscos

O Nubank tem um processo rígido de governança e gestão de risco. Como a maioria das empresas pelo mundo, ele opera no modelo de três linhas, uma estrutura padrão projetada pelo IIA, O Instituto de Auditores Internos, também conhecido como “o modelo de três linhas de defesa”.

Esse modelo ajuda a identificar as melhores estruturas e processos que auxiliam no cumprimento de objetivos e facilitam uma rígida governança e gestão de risco. Como o nome diz, ele é composto por três linhas, ou equipes, que trabalham juntas em um objetivo comum, com suas respectivas responsabilidades.

Em outras palavras, assim como no futebol moderno, onde todos os jogadores participam da defesa quando necessário, o modelo de três linhas coloca todos os membros da empresa como jogadores responsáveis pela gestão de risco, cada um com funções específicas.

Conheça nossas oportunidades

Primeira linha

Ao falar da primeira linha de defesa, nos referimos a todas as equipes responsáveis pelas áreas de negócios, operações, tecnologia e suporte. Essa linha tem a função de desenvolver e implementar controles, políticas e gerenciar os riscos.

Voltando à metáfora do futebol, as equipes da primeira linha estão nas posições de ataque: elas são responsáveis por marcar os gols, driblar os adversários, criar ótimos produtos e vendê-los. Além disso, identificam, avaliam, controlam e minimizam os riscos.

Segunda linha

A segunda linha envolve as áreas de Gestão de Risco, Controles Internos e Compliance, aà qual pertence a equipe de Risco de TI. Ela busca garantir que a empresa tenha uma visibilidade adequada dos riscos relevantes, um ambiente de controle eficaz para riscos e que estes sejam bem geridos. É responsável por propor políticas de gestão de risco, desenvolvendo modelos e metodologias, além de avaliar e supervisionar a primeira linha sob a perspectiva do risco.

Quando analisamos essas equipes sob a perspectiva da metáfora do futebol, a segunda linha joga no meio de campo, dando assistência com a gestão de riscos e, como os meio-campistas, elas transitam entre as linhas para garantir que tudo esteja fluindo bem. Dependendo da estratégia, elas podem atacar ou defender mais, a fim de apoiar os objetivos da equipe. 

Terceira linha

Por fim, a terceira linha, composta pela Auditoria Interna, é responsável por avaliar de forma independente e periódica, se as políticas, métodos e procedimentos estão implementados adequada e efetivamente para garantir a eficácia da governança e da gestão de risco. 

A terceira linha é o goleiro do nosso time de futebol; a última linha de defesa, que age de forma independente. Além de fazer parte do time, ele atua para impedir que o adversário faça gols e garantir adequação e implementação de controles de risco.

Por ser uma empresa diferenciada, esse modelo tradicional não foi suficiente para atender às nossas necessidades, considerando nosso extenso uso de tecnologias, crescimento acelerado e apetite pelo risco. Nosso principal valor no Nubank é “Buscar a Eficiência Inteligente”, por isso estamos sempre inovando até na nossa organização interna. 

Isso mesmo, nós usamos essa metodologia tradicional, contudo, também inovamos em busca de adaptações para a nossa realidade visando alcançar nossos objetivos. 

Reinventing IT & Cyber Risk Management in the financial market
Três linhas de defesa trabalhando em equipe na sede do Nubank, em São Paulo, Brasil. 

A segunda linha tradicional e nossa forma de usá-la

Seguindo as metodologias tradicionais, as linhas de defesa têm um escopo específico, com todos os processos definidos. Esse modelo tradicional é muito eficaz, mas devido à falta de integração entre as equipes, o trabalho pode se sobrepor e consumir mais tempo da primeira linha. Todos esses obstáculos no ciclo de desenvolvimento geram atritos e atrasos que prejudicam o crescimento das empresas de tecnologia que crescem rapidamente. 

Analisando o modelo tradicional, vemos que as equipes da segunda linha estão focadas intensamente nos processos de negócios e têm um alcance técnico limitado. Elas também costumam ter pouca integração com as equipes de risco, cibersegurança e engenharia, e acabam trabalhando isoladas, com um escopo de trabalho bem definido.  

Esse modelo pode funcionar para a maioria das empresas, mas usar apenas essas metodologias é impraticável para uma empresa de tecnologia como o Nubank. Para atender nossas demandas, nós adaptamos os modelos tradicionais e criamos a nossa própria metodologia. Operamos em uma lógica de risco por design, assim a segunda linha fica envolvida em projetos relevantes desde o início. 

Divisão em três esquadrões

Para fornecer o melhor à primeira linha, a equipe de Risco de TI é dividida em três esquadrões, juntamente com as equipes nos outros países onde o Nubank opera. 

  • O esquadrão de Avaliação de Risco de TI trabalha diretamente com a primeira linha, dando consultoria e suporte para definir planos de ação que têm como objetivos evitar e mitigar possíveis riscos de TI. 
  • O esquadrão de Governança define e atualiza nossas metodologias de gestão de risco e orienta a primeira linha em assuntos relacionados a regulamentações. 
  • Por último, o esquadrão de Engenharia de Risco automatiza os processos e aprimora a capacidade da equipe, garantindo uma operação inteligente e eficaz.

Modelo de gestão de risco do Nubank

Temos tecnologia em todos os processos, e entender isso é crucial para garantir que estamos explorando todos os cenários de risco. Enquanto avaliamos riscos, temos que lidar com tecnologias de Nuvem , como AWS ou GCP, Kafka, Mobile Platform, Data pipelines, e outras ferramentas. 

Criando as equipes de Risco Operacional e Risco de TI, elas podem se aprofundar em suas respectivas áreas e incrementar mais valor de negócio com suas análises. 

A equipe de Risco Operacional atua com processos, enquanto a de Risco de TI foca em engenharia, gestão de dados e cibersegurança. No Nubank, nós agimos como proprietários, não como inquilinos. Assim, a equipe de Risco de TI capacita a primeira linha de defesa para que esta tome decisões e assuma riscos com proteção, permitindo que a empresa cresça rápido, sem a burocracia de uma análise extensa para cada decisão.   

Fornecemos metodologia, informações, orientação e automação para que as áreas de negócios tenham autonomia para tomar decisões embasadas, sem abrir mão das práticas de gestão de governança e risco do Nubank. 

A importância da diversidade e a estratégica segunda linha

O crescimento exponencial e a internacionalização do Nubank alavancaram a relevância estratégica da segunda linha, seu impacto nos negócios e suas responsabilidades. Para acompanhar esse fenômeno, aceleramos o crescimento de equipe, e é desafiador formar uma equipe nesse ritmo, de forma sustentável e aprimorando a diversidade e o envolvimento do grupo. 

Mesmo assim, não pegamos atalhos para seguir nossos valores, e todo trabalho extra é recompensado quando conseguimos formar uma equipe de excelência capaz de reinventar a forma de gerir os Riscos de TI mundialmente.

A equipe de Risco de TI contém pessoas de diferentes etnias, gêneros, formações educacionais e profissionais (isso mesmo, você não precisa entender de gestão de risco para se juntar à equipe). 

Como uma equipe diversificada, temos diferentes pontos de vista, então tomamos decisões mais fortes e propomos alternativas melhores para solucionar problemas. Além disso, uma equipe multidisciplinar é uma fonte natural de compartilhamento de conhecimento e aprendizado. 

A equipe tem profissionais com competências complementares e especialidades em diversas áreas, como Auditoria, Segurança de Aplicativos, Segurança Ofensiva, Gestão de Infraestrutura, Front End, Prevenção de Fraudes, Governança, Engenharia, Gestão de Projetos e Redação Técnica. 

Mas todos temos algumas habilidades em comum, o que nos torna um grupo inclusivo e de alto desempenho:

  • Somos curiosos, adaptáveis e aprendemos rápido
  • Nossa motivação é intrínseca e agimos como proprietários
  • Desafiamos o status quo
  • Somos colaborativos e focados no cliente

Conclusão

No Nubank, a gestão de risco é uma fonte de vantagem competitiva. Entendemos que as metodologias tradicionais são úteis para nos orientar, mas são apenas um guia. 

Para atender à necessidade de uma empresa tão diferenciada como o Nu, precisamos adaptar tudo que aprendemos com as estruturas existentes e nos desafiar a criar uma metodologia mais eficaz e moderna, sem desconsiderar todo o aprendizado dos modelos tradicionais.

Nossa missão é capacitar a primeira linha para que ela tome decisões embasadas a fim de alavancar os negócios, além de ajudar essa equipe a tratar de riscos de cauda em um ecossistema corporativo onde as empresas estão cada vez mais expostas aos riscos. 

Nós usamos tecnologia e processamos design para aprimorar a eficácia dos processos de gestão de risco para atender às demandas da primeira linha. Assim, podemos inovar rapidamente e propor as melhores soluções para nossos clientes com consistência.

Contudo, nenhuma dessas melhorias existiria sem uma equipe multidisciplinar, corajosa e altamente capacitada. Formar uma equipe forte é um dos principais objetivos para continuar inovando e desafiando o status quo visando levar o melhor valor aos nossos clientes.

Conheça nossas oportunidades