Close

위험 관리 프로그램


위험 관리 프로그램이란 무엇입니까?

"위험"이라는 용어를 고려할 때 대부분의 사람은 일반적으로 "무엇이 잘못될 수 있는가?"와 연관해서 생각합니다. 일반적으로 이것은 사실이며 진화 인지 편향에 그 뿌리를 두고 있지만, 완벽한 정의는 아닙니다. ISO31000에 따르면 위험은 "불확실성이 목표에 미치는 영향"을 의미합니다. 따라서 우리는 위험에 관해 이야기할 때 위험을 위험과 기회를 모두 수반하는 불확실성으로 간주해야 합니다.

그렇다면 우리가 위험에 관심을 갖는 이유는 무엇일까요? 위험은 일부 기업/관료 기관에만 해당하는 것 아닌가요? 이 질문에 답하기 위해서는 동전의 다른 면, 즉 위험의 반대되는 측면인 신뢰를 생각해야 합니다. 따라서 위험 관리 프로그램은 궁극적으로 다음과 같은 신뢰를 더 많이 얻는 데 중점을 두고 있습니다.

  • 고객이 Atlassian의 제품, 서비스, 기업 행동 등에 대해 갖는 신뢰에 집중합니다. 이것은 더 높은 매출로 이어집니다.
  • 규제 기관에서 Atlassian이 규칙을 따르고 있다는 신뢰에 집중합니다. 이것은 규제 및 시장 비용을 줄여줍니다.
  • 직원들이 Atlassian에 대해 갖는 신뢰에 집중합니다. 이것은 사기를 높이며 직원 이직률을 낮춥니다.

2013년에 Boston Consulting Group에서 실시한 연구에 따르면 고객들은 그들을 브랜드로 이끄는 최고의 품격으로 신뢰성을 꼽았습니다.

위험을 감수하는 것은 삶의 일부이므로 우리는 감수하는 위험과 이에 대한 대가로 수반될 수 있는 이득 간의 교환 관계를 지속적으로 평가해야 합니다. 회사의 위험 프로필에는 금융, 마케팅, 법률/규제, 사기, 보안, 운영 등 여러 가지 다양한 유형의 위험이 포함되며 이러한 위험 간의 균형을 잘 맞춰야 합니다. ERM(엔터프라이즈 위험 관리) 프로그램의 목표는 다음과 같습니다.

  1. 위험 식별분석
  2. 취해야 하는 조치 결정
  3. 조치를 시행
  4. 그러한 조치의 효과를 보고

이렇게 하는 이유

불확실성 제거(즉, 위험 관리)를 통한 신뢰 구축은 투명성과 예측 가능성이라는 두 가지 기본 원칙을 기반으로 합니다. 철학, 관행 및 절차가 투명하다는 것은 고객이 제공받는 사항을 정확하게 알고 있음을 의미합니다. 예측 가능하다는 것은 Atlassian이 신뢰할 수 있는 파트너라는 것을 의미하며 Atlassian이 정기적인 감사를 수행하는 이유입니다.

Atlassian은 두 가지 주된 목적을 가지고 위험을 관리합니다.

  • Atlassian에서 제어할 수 없는 일의 수를 최소화합니다. 우리의 제어 범위를 벗어난 일들은 항상 존재합니다. 중요한 것은 그러한 일들을 다룰 준비가 되어 있다는 것입니다. 예기치 않은 이벤트의 가능성을 최소화하는 동시에 다른 예기치 않은 이벤트를 다룰 준비가 되어 있기를 원합니다.
  • 감수하기로 선택한 위험에 대한 여력을 갖을 수 있습니다. 조직에 위험이 너무 많으면 또 다른 위험 요소를 감수하는 것은 아무리 훌륭한 기회가 되더라도 부담이 될 수 있습니다. 반면, 그러한 배경의 위험을 통제할 수 있다면 새로운 위험을 감수하는 것은 덜 불리하게 보이며 그러한 위험을 고려해 볼 수도 있게 됩니다.

위험을 조직이 수용할 수 있는 제한적인 용량의 자산인 부채로 생각하면 도움이 됩니다. ROI를 극대화할 수 있는 영역에서 부채의 사용을 최대화하는 것이 좋으며 이것이 균형이 잡힌 회사 위험 포트폴리오의 목표이기도 합니다. 예를 들어, 클라우드 운영에서 위험이 클 경우 인시던트 및 고객 불만이 증가할 수 있으므로 우리가 얻을 수 있는 이득이 거의 없을 것입니다. 반면, 새로운 제품 사용을 실험할 경우 상당한 이득을 얻을 수 있습니다. 따라서 우리는 클라우드 운영 위험을 최소화해야 하며, 그렇게 하면 새로운 제품 사용을 더 많이 실험할 수 있습니다. 분명, '위험을 0으로 줄이는 것'은 상당한 비용이 들고(대부분의 경우 심지어 불가능) 투자할 만한 가치가 없을 수 있습니다. 99.9%의 가용성을 달성한 후 그 비율을 높이는 일은 100에 가까워질수록 더 어렵기 때문입니다. 이것은 위험 포트폴리오의 균형에서 또 다른 요인입니다.

실효가 있는 ERM 프로그램을 갖췄다는 것은 다음과 같은 의미가 있습니다.

  • 좋은 비즈니스 관행으로 간주됩니다. 주요 위험과 그러한 위험에 대해 대처의 통합된 시야입니다. 이것을 통해 이러한 위험에 우리가 의도하는 방식으로 대응하고 있는지 정기적으로 점검하고 확인할 수 있습니다. 골절이 있으면 진찰을 받고 치료를 위해 움직이지 않게 고정하는 것처럼 ERM은 임원진이 가지고 있는 위험의 내재적 관점과 위험 관리 전략의 적합성을 확인합니다. 때로는 프로세스를 통해 해결해야 하는 새로운 위험을 발견할 수도 있습니다.
  • 현재 또는 향후의 규정 준수 의무를 완료하기 위해 필요합니다. 인증을 확보하면 고객과 신뢰를 구축하는 데 도움이 되며, 그 결과 매출이 증대되고 영업 정체 현상이 줄어들 수 있습니다. SOX, SOC2, ISO27001 요건에 따라 ERM 프로그램을 유지하고, 임원진과 함께 주요 위험 및 위험 관리 전략을 정기적으로 확인하고 감독 기관에 보고해야 합니다. 더 많은 규제 대상 업계에 진출하고 HIPAA, FedRAMP 등 인증을 확보함에 다라 더 신뢰할 수 있는 기업이 되어야 하며 ERM 프로그램을 더 철저히 검토해야 할 것입니다.
  • 성숙도의 증거입니다. 우리는 성장함에 따라 운영 효율성을 높이고 불확실성(즉, 위험)을 제거하기 위해 관행을 공식화해야 합니다. 그러한 운영 효율성은 확장 능력에 도움이 됩니다. 간단히 말해, 우리는 예상치 못한 이벤트를 줄이고 회사의 상태가 우리가 실제로 파악하고 있는 바와 같은지 확인하고자 합니다.

Atlassian은 팀 수준에서 일상적인 위험과 전략적인 엔터프라이즈 위험을 모두 관리할 수 있는 위험 프레임워크를 갖추고 있습니다. 이렇게 하는 이유는 위험 관리 프로세스를 갖춘 회사들은 더 효율적인 운영과 전략적 의사 결정을 촉진하여 매출을 높이고 운영 비용을 낮춘다는 명확한 증거가 있기 때문입니다.

이렇게 하는 방법

엔터프라이즈 위험 평가는 매년 수행하고 연중 정기적으로 업데이트하는 포괄적인 프로세스입니다. 분석에는 다음과 같은 다양한 입력이 필요합니다.

  • 다양한 유형의 특정 위험 평가 - 사기, 여러 보안 위험 평가 및 비즈니스 영향 평가(BC/DR 프로그램의 일부), 개별 사업부 평가(예: InfoSec 및 재무)를 포함한 다양한 운영 위험 평가
  • 실현된 위험(즉, 인시던트), “위기 모면”, 대규모/중요 프로젝트 및 결과물의 사후 검토
  • 내부 및 외부 감사 및 평가
  • 글로벌 추세 및 시장의 외부 분석(예: 경기 침체, 업계 추세, 경쟁)
  • 고객, 비즈니스 파트너, 공급업체 피드백 및 데이터
  • 엔터프라이즈 및 개별 사업부 비즈니스 목표 및 OKR
  • Atlassian 직원과 광범위한 인터뷰

Atlassian은 받은 데이터를 집계하고 분석하여 위험을 판단하고, 가능성, 영향, 속도, 이점 및 위험 관리 효과를 기반으로 점수를 매깁니다. 필요한 경우 비즈니스 리더와 함께 확인하여 명료화하고 정렬합니다.

엔터프라이즈 위험을 추적하는 동안 높은 혜택 및 추가적 주의가 필요한 영역에 대응하지 않지 않고 높은 위험에 집중합니다.

이것은 "큰 그림"에 얼마나 적합합니까?

위험 및 규정 준수 기능이 프로그램을 실행하며(데이터를 수집 및 분석하고 실행을 보고 및 추적), 경영진은 정기적인 위험 평가 보고서를 통해 가장 중요한 위험과 그러한 위험을 해결하고 있는 방식을 통합적으로 파악할 수 있습니다. 위험 및 규정 준수 팀은 의견을 밝히고 자문을 제공할 수 있지만 줄이려는 위험, 늘리려는 위험, 노력과 리소스를 투입할 곳 등 최적의 포트폴리오 형태를 결정할 책임은 궁극적으로 임원진에게 있습니다.

따라서 위험 평가 보고서는 일반적으로 투자와 리소스 할당을 돕기 위한 운영 및 전략적 계획에 반영됩니다(그렇지만 이것이 유일한 요인은 아님). 또한 내부 감사 연례 계획에도 반영됩니다. Atlassian은 연말 무렵에 보고서가 완료되도록 ERM 프로그램의 실행 시기를 맞추고 있습니다. 이것은 또한 감사 위원회에 1년에 2번(6월 및 12월) 업데이트하는 요구 사항과 정렬됩니다.

이것은 비즈니스 및 회사의 상태에 대한 또 하나의 체크포인트로 사용되며, 우리의 어떤 일에 대해 "느낌"이 옳은지 잘못되었는지 입증합니다. 또한 목적과 목표에 대한 정렬의 추가 포인트이기도 합니다.

마무리

Atlassian은 고객들에게 위험을 적절하게 관리하고 있다는 확신을 주려고 합니다. 잘 관리하고 있는 위험이 많지만, Atlassian은 (암시적으로 또는 명시적으로) 감수하는 위험은 너무 크지만 이에 상응하는 높은 장점이 없는 위험에 집중하려고 합니다. 이 전략은 위험 및 시장 출시 시기 관리가 회사의 발전에 중요한 역할을 하는 복잡한 환경에서 Atlassian이 효율성과 민첩성을 유지할 수 있게 해 줍니다.