Lean Risk Management

# Lean Risk Management ## Contexto: Com a atual necessidade de entrar em conformidade com SOX surgiram alguns pontos de adequação nos nossos processos, essa _issue_ procura endereçar uma dessas questões: precisamos de uma análise de risco nos épicos que correm pelo *upstream* no nível de coordenação. **Racional da consultoria:** A análise de riscos na fase de especificação de mudanças de sistema e infraestrutura procura gerar métricas de mensuração do grau de risco ao qual a empresa se expõe quanto a sua operação, conformidade, divulgação de informações internas ou externas. ## Proposta: Criar uma taxonomia com categorias de riscos em cada uma das dimensões escolhidas, Exemplo: ![](https://i.imgur.com/w7cY8z1.jpg) Optei começar com esse experimento pois é barato, rápido de testar, o resultado é consensual do time e o processo não é nada burocrático, além de conseguimos facilmente executar essas análises de risco dos épicos dentro do escopo de SOX em uma cadência curta. Aproveito para destacar que com SOX temos uma grande oportunidade de amadurecer nosso trabalho e profissionalizar ainda mais o nosso “pagar.me way”. Essa analise de risco não só atende a necessidade mínima de conformidade do SOX, mas também nos ajuda a ter uma gestão de risco mais precisa, guiando os times para tomadas de decisão com mais segurança, tendo também uma maior facilidade de priorização. **Antes, o que é risco?** Dentro do contexto de desenvolvimento de produtos, podemos considerar risco como sendo um problema “multidimensional”, ou seja, não dá pra associar um significado claro a palavra risco sem antes explorar quais as dimensões dele que nós pretendemos trabalhar. ## Dimensões de risco escolhidas: **Risco de transformação no mercado** _(market risk of change)_: o quão provável é que os critérios de aceite deste épico mudem antes de entregarmos ele, também está relacionado com o nivel de incerteza e complexidade do trabalho. 1. **Table stakes:** o *“arroz e feijão”* básico para entrar no mercado. Ex: um table stakes para o mercado automobilístico é a feature de rádio no carro, porém na década de 20, rádio no carro era uma diferenciação e não um table stakes. 1. **Redução de custos:** autoexplicativo. 1. **Imitação:** se inspirar na diferenciação que os outros já fizeram. 1. **Diferenciação:** algo que nunca ninguém fez ainda, por isso é uma diferenciação. ![](https://i.imgur.com/Gm9GFVx.jpg) **Key Takeaways:** - Mudanças regulatórias estão entre imitação e redução de custos, apesar de parecerem ser *table stakes* elas mudam de tempos em tempos. - *Commit late:* fazer com que o card fique por mais tempo no *upstream* com o objetivo de minimizar riscos e incerteza, puxando tardiamente a *issue* para o *commitment point* no *downstream*. Construir o mais rápido possível implica em ter *lead times* curtos nas validações de experimentos. - Essa visualização nos ajuda a priorizar nosso portfólio de uma forma mais precisa, pois as classes de serviço funcionam melhor nas granularidades de *issues* no nível tático. --- **Risco no ciclo de vida do produto** _(product lifecycle risk)_: desenvolver produtos para cada tipo de cliente dentro da curva de adoção envolve um grau de risco x retorno diferentes, esse eixo nos ajuda a visualizar o risco envolvendo o grau de investimento, o potencial de crescimento no mercado e a quantidade de incerteza no negócio. 1. **Retardatários:** "cash cow", baixo investimento, pouca margem para inovação, baixa incerteza e pouco potencial de crescimento. 1. **Maioria (inicial & tardia)**: alto investimento, existe espaço para inovação, mas normalmente o que mais acontece é imitação. 1. **Early adopters**: baixo investimento, muita margem para inovação e experimentação. 1. **Inovadores**: baixo investimento, altissima a demanda para inovação e experimentação, alta incerteza, alto risco, alto potencial de crescimento (exponencial). ![](https://i.imgur.com/B8oeIRH.jpg) **Key Takeaways:** - Em um mercado definido e com pouca inovação a chance de retrabalho é bem baixa. - Em um mercado com alta incerteza a chance de retrabalho é maior, porem o conhecimento obtido através da experimentação potencializa nossa inovação. - A ideia do tamanho do investimento necessário também nos ajuda a ter uma noção de capacidade que devemos alocar na nossa gestão de portfólio. --- **Custo de atraso** _([cost of delay](http://blackswanfarming.com/why-bother-quantifying-the-cost-of-delay/))_: é uma forma de compreender a urgência do trabalho baseado na quantidade de dinheiro que você deixaria de ganhar caso um projeto ou ecopo atrasa-se X dias, isso nos ajuda a ter uma gestão de portfólio mais madura do ponto de vista econômico, o custo de atraso pode ser metrificado de forma [quantitativa](http://blackswanfarming.com/four-steps-to-quantifying-cost-of-delay/) e [qualitativa](http://blackswanfarming.com/qualitative-cost-delay/). 1. **Intangível**: Atraso normalmente implica em constrangimento, falha na entrega de serviço (Service delivery), perda de capital social, afeta integridade da marca e a confiança que o cliente tem em nós. 1. **Padrão:** Talvez cortem nosso budget se errarmos muito o forecasting de retorno financeiro. 1. **Data fixa:** normalmente atrelado a conformidade com regulamentações e leis políticas, o atraso implica em multas e a impossibilidade de manter a operação em conformidade. 1. **Expedite:** Possível evento de extinção (próxima), um pequeno atraso nesse tipo de demanda implicaria em uma e extinção da grande parte do capital no nosso business. --- **Risco legal** _(legal risk)_: agora que somos uma empresa de capital aberto, nossas ações refletem mais diretamente o valor da ação, precisamos nos atentar ao impacto social e no risco que uma má impressão poderia causar para nossa organização. 1. **Nenhum:** 1. **Bad press release:** 1. **Multa ou processo:** 1. **Ação conjunta:** --- **Risco tecnológico** _(tech risk)_: precisamos sempre levar em conta o impacto que a curva de aprendizado causa na performance e em como isso é reflexo direto na forma como mantemos e renovamos nosso conhecimento, afetando diretamente o grau de risco envolvendo a experimentação de novas ideias mais inovadoras. 1. **Commodity:** todo mundo saber fazer isso. 1. **Já fizemos antes:** nós sabemos como fazer. 1. **Já fizeram antes:** conhecemos pessoas de fora que sabem fazer. 1. **Desconhecido:** não tenho ideia do que estou fazendo. (ex: cassandra) ## Utilização Os gráficos de Kiviat são uma forma de visualizarmos o *output* dessa análise, na prática eles ajudam a responder algumas questões bem pontuais: * Qual epic devemos priorizar e começar a fazer antes? (normalmente o com menor risco antes, depende da estratégia adotada pela vertical) * Qual epic carrega mais risco de investimento do meu capital? Além de gerar vários indicadores úteis como a quantidade de trabalho que estamos fazendo que realmente se enquadra em diferenciação (lei do bem), também nos ajuda a fazer as perguntas certas para que possamos tangibilizar uma ideia em algo mais concreto que seja mais colaborativo. ![](https://i.imgur.com/ryJBpfU.jpg) ## Esse é o modelo ideal? Não, muito pelo contrario, gestão de riscos é um problema altamente complexo, as taxonomias representadas nos gráficos de Kiviat só conseguem capturar informação factual e muitas vezes obvia. A visualização dos perfis de risco nos ajudam a dar uma forma resumida de compreender as dimensões do risco que envolve o negócio., não é perfeito, mas acredito que seja uma ótima primeira evolução nesse assunto.