O Nubank nasceu para acabar com a complexidade do sistema financeiro e devolver às pessoas o controle sobre seu dinheiro. Fazemos isso desafiando o status quo e inovando todos os dias – não só nos nossos produtos, como também nos nossos processos internos e tecnologias. A área de Riscos de TI é um bom exemplo disso.
Os processos e rotinas das empresas são cada vez mais dependentes de recursos tecnológicos, deixando-as mais expostas aos riscos de TI e cibernéticos.
Assim, à medida que crescem, as organizações precisam fortalecer suas estruturas de gerenciamento de riscos para proteger a si mesmas, seus clientes, parceiros e funcionários contra ameaças. É aí que entra a área de Riscos de TI.
Não existem, é claro, empresas 100% isentas de risco, mas por isso há modelos (ou frameworks) de gestão amplamente adotados para combater e minimizar ameaças, além de prever cenários específicos, minimizando as perdas.
No Nubank, nós queríamos levar isso a outro patamar. Assim, construímos uma equipe diversa e colaborativa para inovar a maneira como gerenciamos riscos de TI e cibersegurança e dar a melhor orientação e suporte para o resto da empresa. Entenda como fizemos isso.
O modelo de três linhas para gerenciamento de riscos
O Nubank possui processos robustos de governança e gerenciamento de riscos. Assim como muitas outras empresas ao redor do mundo, trabalhamos seguindo o modelo de três linhas (antes conhecido como "modelo de três linhas de defesa"), um framework do Institute of Internal Auditors (IIA).
Este modelo ajuda a identificar as melhores estruturas e processos para a realização dos objetivos, além de fortalecer a governança e gestão de riscos.
Como o próprio nome diz, ele é composto por três linhas (ou equipes), que trabalham juntas por um objetivo comum, cada uma com responsabilidades específicas.
A "inspiração" para este modelo é o futebol: o modelo de três linhas posiciona todos os integrantes da empresa como jogadores responsáveis pela gestão de riscos, cada um com funções específicas. Entenda como ele funciona.
Primeira linha
A primeira linha de defesa é composta por todas as equipes responsáveis pelas áreas de negócios, operações, tecnologia e suporte. Essa linha é responsável por desenvolver e implementar controles, políticas e gerenciar os riscos.
Usando a metáfora do futebol, as equipes de primeira linha estão nas posições ofensivas: são responsáveis por marcar gols, driblar adversários, criar grandes produtos e vendê-los, mas também por identificar, avaliar, controlar e mitigar riscos.
Segunda linha
A segunda linha de defesa é formada pelas áreas de Gestão de Riscos, Controles Internos e Compliance. É aqui que está a equipe de Riscos de TI.
A missão dessas áreas é garantir que todos na empresa tenham visibilidade sobre os riscos relevantes, além de criar um ambiente de controle eficaz para os riscos e gerenciá-los bem. Elas são responsáveis por propor políticas de gestão de risco, desenvolver modelos e metodologias, e avaliar e supervisionar a primeira linha sob a perspetiva de risco.
Voltando à metáfora do futebol, a segunda linha atua nas posições de meio-campo, auxiliando na gestão de riscos. Assim como os meio-campistas, ela está na transição entre as linhas para garantir que tudo corra bem. Dependendo da estratégia, podem jogar mais defensivamente ou ofensivamente visando apoiar os objetivos da equipe.
Terceira linha
A terceira linha, composta pela Auditoria Interna, é responsável por avaliar periodicamente e de forma independente se as políticas, métodos e procedimentos estão implementados de forma adequada para garantir a eficácia da governança e da gestão de riscos.
A terceira linha é o goleiro da nossa equipe de futebol, a última linha de defesa, atuando de forma independente, mas parte fundamental do time para impedir o adversário de marcar um gol – e garantir que controles de risco adequados estejam implementados.
O modelo de três linhas no Nubank
O Nubank é uma empresa única, que faz um uso intenso de tecnologia e tem crescimento bastante acelerado. Por conta disso, esse modelo tradicional não era suficiente para atender às nossas necessidades.
Por isso, desafiamos o status quo e fomos além. Aplicamos esses modelo, mas inovamos com adaptações para nossa realidade que nos levem a atingir nossos objetivos.
Na metodologia tradicional, as linhas de defesa atuam dentro de escopos específicos, com todos os processos definidos. Esse modelo até é eficiente mas, devido à falta de integração entre as equipes, o trabalho muitas vezes pode se sobrepor e consumir mais tempo da primeira linha do que seria necessário.
Isso gera obstáculos e ineficiências – algo nada desejável em empresas de tecnologia em rápido crescimento. Neste modelo tradicional, as equipes de segunda linha acabam muito focadas nos processos de negócios e têm pouca profundidade técnica. Além disso, é comum ter pouca integração entre as equipes de risco, segurança cibernética e engenharia.
Como mudamos a segunda linha
Esse modelo pode ser suficiente para a maioria das empresas, mas entendemos que não era suficiente para o Nubank. Assim, adaptamos os modelos tradicionais e atuamos em uma lógica que chamamos de risk by design, que significa que a segunda linha é envolvida em projetos relevantes desde o início para apoiar os times da primeira linha na identificação e mitigação de possíveis riscos.
Funciona assim:
Para dar o melhor suporte à primeira linha, a equipe de Riscos de TI é dividida em três squads – times multidisciplinares com bastante independência –, além das equipes exclusivas dos outros países além do Brasil onde o Nubank atua:
- O squad de IT Risk Assessments trabalha de forma bem colaborativa com a primeira linha, desempenhando um papel consultivo e dando suporte na definição de planos de ação para evitar e mitigar eventuais riscos de TI;
- O squad de Governança define e atualiza nossas metodologias de gestão de riscos e orienta a primeira linha sobre questões regulatórias;
- O squad de Engenharia de Riscos automatiza processos para gerar uma operação mais eficiente.
A capacitação da primeira linha para assumir riscos com segurança
Em todos os processos, temos alguma tecnologia, e entender isso é fundamental para garantir que estamos explorando todos os cenários de risco. Ao fazer avaliações de risco, lidamos com tecnologias em nuvem como AWS ou GCP, Kafka, Mobile Platform, Data pipelines, entre outras ferramentas.
Tendo times dedicados a Riscos Operacionais e de TI, cada equipe pode se aprofundar em sua área de especialização e agregar mais valor ao negócio com suas análises.
Enquanto o time de Riscos Operacionais se dedica aos processos, o time de Riscos de TI se concentra em engenharia, gerenciamento de dados e segurança cibernética.
No Nubank, pensamos e agimos como donos, e por isso a equipe de Riscos de TI capacita a primeira linha de defesa para tomar decisões e assumir riscos com mais segurança, permitindo que a empresa cresça rapidamente sem a burocracia de análises extensas para cada decisão.
Fornecemos metodologia, informação, orientação e automação para que as áreas de negócios tenham autonomia para tomar decisões informadas sem perder de vista as práticas de governança e gestão de riscos do Nubank.
A importância da diversidade e a segunda linha estratégica
O crescimento rápido e a internacionalização do Nubank alavancaram tornaram a segunda linha ainda mais importante. Para acompanhar esta realidade, aceleramos o crescimento do time.
Aumentar uma equipe nesse ritmo de forma sustentável, ampliando a diversidade e conservando a química do grupo é um grande desafio. Mas o resultado é que estamos construindo uma equipe de primeira classe que está reinventando a maneira de gerenciar riscos de TI globalmente.
A equipe de Riscos de TI do Nubank é composta por pessoas de diversas etnias, gêneros, formações educacionais e profissionais. Temos inclusive profissionais que vieram sem conhecimento sobre gerenciamento de riscos, mas que trouxeram outras habilidades valiosas para o time.
Como uma equipe diversa, temos pontos de vista diferentes, e isso torna nossas decisões mais robustas. Além disso, uma equipe multidisciplinar é uma fonte natural de compartilhamento de conhecimento e aprendizado.
O time conta com profissionais com competências e expertises complementares em diversas áreas, como Auditoria, Segurança de Aplicações, Segurança Ofensiva, Gestão de Infra-Estrutura, Front End, Prevenção a Fraudes, Governança, Engenharia, Gestão de Projetos e Redação Técnica.
Mas todos têm em comum características fundamentais para tornar um grupo inclusivo e de alto desempenho:
- Somos curiosos, adaptáveis e aprendemos rápido;
- Somos intrinsecamente motivados e agimos como donos;
- Desafiamos o status quo;
- Somos colaborativos e orientamos todas as decisões para o que é melhor para o cliente.
Vagas Nubank: venha fazer parte do time de Riscos de TI
No Nubank, a gestão de riscos é uma vantagem competitiva. Entendemos o quanto as metodologias tradicionais são úteis para nos guiar, mas elas são apenas um guia.
Para atender as necessidades de uma empresa tão singular como o Nu, precisávamos adaptar tudo o que aprendemos com os modelos existentes e nos desafiar a criar uma metodologia mais eficiente e moderna sem desconsiderar todo o aprendizado que os modelos padrão trazem.
A missão dessa área é alavancar os negócios, empoderando a primeira linha a tomar decisões informadas, ajudando-a a fazer gestão de riscos em um ecossistema de negócios onde as empresas estão cada vez mais expostas a eles.
Utilizamos tecnologia e design de processos para aumentar a eficiência dos processos de gestão de riscos para acompanhar as necessidades de inovação rápida e entrega consistente das melhores soluções para os nossos clientes.
E nenhuma dessas melhorias poderia existir sem uma equipe muito capacitada, multidisciplinar e ousada. Construir um time forte é um dos nossos principais objetivos para continuar inovando e desafiando o status quo para entregar valor para nossos clientes.
Se você se identificou com nosso jeito de trabalhar, acesse nosso site e veja as vagas. Convidamos todos e todas a se candidatarem. Queremos pessoas curiosas e dispostas a aprender e se desafiar.