Risicobeheerprogramma
Wat is het?
De meeste mensen denken bij de term 'risico' aan 'wat kan er mis gaan?'. Dit is over het algemeen waar en is geworteld in evolutionaire cognitieve bias, maar het is slechts een deel van de definitie. Volgens ISO31000 is risico 'het effect van onzekerheid op doelen'. Als we het over risico hebben, moeten we het dus zien als een onzekerheid die zowel gevaar als kansen met zich meebrengt.
Waarom maken wij ons dan druk om risico? Zijn dat geen zorgen voor zakenmensen en bureaucratie? Om daar antwoord op te geven moeten we het van de andere kant bekijken; vertrouwen, het tegenovergestelde van risico. De focus van risicomanagementprogramma's is daarom om vertrouwen te verhogen. Hieronder valt:
- het vertrouwen dat klanten hebben in onze producten, services, zakelijke handelingen, etc. wat leidt tot een hogere omzet; en
- het vertrouwen dat toezichthouders hebben dat we de regels volgen, wat de kosten voor regelgeving en marketing vermindert; en
- het vertrouwen dat onze werknemers hebben in Atlassian, waardoor het moreel hoog is en het verloop laag.
Onderzoek van de Boston Consulting Group wees in 2013 uit dat klanten betrouwbaarheid noemden als een van de belangrijkste kwaliteiten die ze voor een merk aantrekkelijk vonden.
Risico's nemen hoort bij het leven en we wegen risico's continu af tegen de voordelen die we krijgen als we die risico's nemen. Het risicoprofiel van een bedrijf omvat vele verschillende soorten risico's (financieel, marketing, juridisch/wettelijk, fraude, veiligheid, operationeel, etc.) die in evenwicht moeten worden gebracht. Het doel van het ERM (Enterprise Risk Management)-programma is:
- risico's vaststellen en analyseren;
- bepalen welke acties moeten worden ondernomen;
- de acties operationaliseren; en
- verslag doen over de doeltreffendheid van deze acties.
Waarom doen we dit?
Vertrouwen opbouwen door onzekerheden weg te nemen (ofwel risicobeheer) is afhankelijk van twee fundamentele principes: open zijn en voorspelbaar zijn. Transparant zijn over onze filosofie, werkwijzen en procedures betekent dat klanten precies weten wat ze krijgen. Door voorspelbaar te zijn laten we zien dat we een betrouwbare partner zijn, dat is ook de reden dat we periodieke audits uitvoeren.
Er zijn twee primaire doelen bij het risicobeheer van Atlassian:
- Het minimaliseert het aantal dingen waar we geen invloed op hebben. Er zullen altijd dingen gebeuren waar we geen invloed op hebben. Het belangrijkste is dat we voorbereid zijn om er mee om te gaan. We willen de kans op onverwachte gebeurtenissen minimaliseren en onszelf tegelijkertijd voorbereiden om met deze gebeurtenissen om te gaan.
- Dit geeft ons ademruimte om zelf te kiezen welke risico's we nemen. Als er binnen een organisatie veel risico's zijn, kan dat het nemen van andere risico's ontmoedigen, zelfs al biedt dat risico grote kansen. Aan de andere kant lijkt het nemen van een nieuw risico minder nadelen te hebben als we deze achtergrondrisico's onder controle hebben, waardoor het het overwegen waard is.
Het is nuttig om risico te zien als een technische schuld, een asset met een beperkte capaciteit die een organisatie kan inzetten. Het is het beste om deze uitgave te maximaliseren in gebieden waar we een maximale ROI kunnen krijgen, wat het doel is van het evenwichtige risicoportfolio van het bedrijf. We zouden bijvoorbeeld erg weinig voordeel hebben van hoge risico's in onze cloudactiviteiten, omdat dat tot meer incidenten en de ontevredenheid van klanten zou leiden. Aan de andere kant zouden we veel voordeel kunnen hebben als we met nieuwe toepassingen van onze producten zouden kunnen experimenteren. Daarom moeten we dat eerste minimaliseren, wat ons de mogelijkheid biedt het tweede te vergroten. Het is natuurlijk erg duur om risico's 'af te betalen' tot nul (en in veel gevallen zelfs onmogelijk) en dat is de investering niet altijd waard; elke extra 9 na 99,9% beschibkaarheid is steeds moeilijker te verkrijgen. Dit is nog een factor die hoort bij het balanceren van het risicoportfolio.
Een functioneel ERM-programma hebben is:
- een teken van goede bedrijfsvoering. Het is een geconsolideerde weergave van onze grootste risico's en wat wij hieraan doen. Hiermee kunnen we regelmatig controleren of we die risico's aanpakken op een manier die we willen. Het is vergelijkbaar met naar een arts gaan om te bevestigen dat we een gebroken bot hebben en rust nodig hebben om te genezen; ERM bevestigt het impliciete beeld van risico's dat leidinggevenden hebben en hoe geschikt de strategieën voor risicobeheersing zijn. Soms worden tijdens dit proces ook nieuwe risico's ontdekt die mogelijk moeten worden aangepakt.
- vereist om te voldoen aan onze huidige en toekomstige complianceverplichtingen. Onze certificeringen helpen ons vertrouwen op te bouwen bij klanten, wat resulteert in hogere omzet en gemakkelijkere verkoop. SOX, SOC2 en ISO27001 vereisen dat we een ERM-programma onderhouden, de grootste risico's en vooraanstaande risicomanagementstrategieën regelmatig bevestigen met de leidinggevenden en rapporteren aan het toezichthoudende orgaan. Naarmate we strenger gereguleerde branches betreden en meer certificeringen verkrijgen, zoals HIPAA, FedRAMP, etc., moeten we nóg betrouwbaarder worden en zal de controle rond ons ERM-programma toenemen.
- bewijs van volwassenheid. Naarmate we groeien, moeten we werkwijzen formaliseren om operationele efficiëntie te stimuleren en onzekerheden weg te nemen (d.w.z. risico's). Deze operationele efficiëntie zal bijdragen aan ons vermogen om te schalen. Simpel gezegd willen we minder verrassingen en willen we bevestigen dat de gezondheid van het bedrijf is zoals we weten en voelen dat het is.
Bij Atlassian hebben we een risicoframework om zowel strategische bedrijfsrisico's als alledaagse risico's op teamniveau te beheersen. Dit doen we omdat er duidelijk bewijs is dat bedrijven met risicomanagementprocessen betere operationele en strategische besluitvorming mogelijk maken, wat hogere inkomsten en lagere operationele marges oplevert.
Hoe doen we dit?
De bedrijfsrisicobeoordeling is een uitgebreid proces dat we jaarlijks uitvoeren en gedurende het jaar regelmatig bijwerken. Er zijn allerlei inputs voor de analyse:
- Er zijn vele verschillende soorten risicobeoordelingen: fraude, meervoudige veiligheidsrisicobeoordelingen, verschillende operationele risicobeoordelingen, waaronder beoordelingen van de bedrijfsimpact (onderdeel van het BC/DR-programma), beoordelingen van individuele bedrijfseenheden (bijv. InfoSec en Financiën), etc.
- Gerealiseerde risico's, bijv. incidenten, 'close calls', post-mortems van grote/belangrijke projecten en deliverables
- Interne en externe audits en beoordelingen;
- Externe analyses van mondiale ontwikkelingen en markten, bijv. economische vertraging, ontwikkelingen in de branche, concurrentie, etc.
- Feedback en gegevens van klanten, zakenpartners en leveranciers;
- Bedrijfsdoelstellingen en OKR's van ondernemings- en individuele bedrijfseenheden;
- Uitgebreide interviews met mensen binnen Atlassian.
We verzamelen de gegevens die we ontvangen, analyseren deze om de risico's te bepalen en geven ze een score op basis van waarschijnlijkheid, impact, snelheid, voordeel en effectiviteit van risicomanagement. Indien nodig nemen we contact op met bedrijfsleiders voor verduidelijking en afstemming.
Terwijl we bedrijfsrisico's volgen, richten we ons op hoge risico's zonder grote voordelen en op gebieden die extra aandacht vereisen.
Hoe past het in het 'grote plaatje'?
Hoewel de afdeling Risk & Compliance het programma uitvoert (gegevens verzamelt en analyseert, de uitvoering volgt en hierover rapporteert), bevat het periodieke risicobeoordelingsrapport de geconsolideerde opvattingen van het leidinggevende team over onze meest significante risico's en hoe we deze aanpakken. Het Risk & Complianceteam kan advies en meningen geven, maar uiteindelijk bepaalt het leidinggevende team hoe ons optimale portfolio eruit ziet; welke risico's we graag willen verkleinen en welke we willen vergroten, en waar we onze inspanningen en middelen op willen richten.
Het risicobeoordelingsrapport wordt daarom vaak meegenomen bij de operationele en strategische planning om te helpen bij investeringen en het toewijzen van middelen (maar het is niet de enige sturende kracht). Het wordt bovendien meegenomen bij de jaarlijkse planning van de interne audit. We plannen ons ERM-programma zo in dat het rapport tegen het einde van het kalenderjaar voltooid is. Dit komt bovendien overeen met de vereiste om het auditcomité twee keer per jaar op de hoogte te brengen (in juni en december).
Het wordt gebruikt als een extra controlepunt voor de gezondheid van de onderneming en bedrijfsvoering. Het helpt te valideren of weerleggen hoe we ons over dingen 'voelen'. Bovendien is het een extra punt van afstemming rondom doelen en doelstellingen.
Tot slot
We willen onze klanten het vertrouwen geven dat risico's op de juiste manieren worden beheerd. Er zijn vele risico's die goed beheerd worden, maar we willen ons richten op die risico's waarvan het risico dat we (impliciet of expliciet) aannemen te hoog is, zonder bijbehorend hoog voordeel. Met deze strategie blijft Atlassian lean en agile in een complexe omgeving, waarin het beheren van risico en time-to-market een essentiële rol spelen in de ontwikkeling van een bedrijf.