Program zarządzania ryzykiem
Co to takiego?
Większość ludzi utożsamia pojęcie „ryzyka” z pytaniem „co może pójść nie tak?”. To zakorzenione w tendencjach poznawczych będących wynikiem ewolucji skojarzenie jest zasadniczo prawdziwe, jednak stanowi jedynie część definicji. Zgodnie z normą ISO 31000 ryzyko oznacza wpływ niepewności na cele. W związku z tym, mówiąc o ryzyku, powinniśmy traktować je jako niepewność, z którą wiąże się zarówno zagrożenie, jak i szansa.
Dlaczego więc obawiamy się ryzyka? Czy to nie jakieś korporacyjno-biurokratyczne ćwiczenie? Aby odpowiedzieć na to pytanie, musimy zwrócić uwagę, jak ważna jest druga strona medalu — zaufanie — będące przeciwieństwem ryzyka. W związku z tym celem programów zarządzania ryzykiem jest zwiększenie zaufania, w tym:
- zaufania, jakie klienci pokładają w naszych produktach, usługach, korporacyjnym sposobie działania itp. — co przekłada się na wyższe przychody;
- zaufania do nas ze strony organów regulacyjnych, że postępujemy zgodnie z przepisami — co prowadzi do zmniejszenia kosztów regulacyjnych i rynkowych; oraz
- zaufania, jakie nasi pracownicy pokładają w Atlassian — co przekłada się na wzrost morale i obniżenie wskaźnika rotacji.
W badaniu przeprowadzonym przez Boston Consulting Group w 2013 roku klienci wskazali wiarygodność jako jedną z najważniejszych cech decydujących o atrakcyjności marki.
Podejmowanie ryzyka jest częścią życia i stale oceniamy ryzyko z perspektywy korzyści, jakie można odnieść, decydując się na jego poniesienie. Profil ryzyka firmy obejmuje wiele różnych rodzajów ryzyka, które należy zrównoważyć — ryzyko finansowe, marketingowe, prawne/regulacyjne, oszustwa, związane z bezpieczeństwem, operacyjne itd. Celem programu zarządzania ryzykiem korporacyjnym (Enterprise Risk Management, ERM) jest:
- Identyfikowanie i analizowanie obszarów ryzyka.
- Decydowanie, jakie działania należy podjąć.
- Operacjonalizacja działań.
- Raportowanie na temat skuteczności tych działań.
Dlaczego to robimy?
Budowanie zaufania poprzez eliminowanie niepewności (czyli zarządzanie ryzykiem) opiera się na dwóch podstawowych zasadach: otwartości i przewidywalności. Przejrzystość w kwestii naszej filozofii, praktyk i procedur oznacza, że nasi klienci wiedzą dokładnie, co dostają. Przewidywalność sprawia, że jesteśmy wiarygodnym partnerem, a dla jej zapewnienia przeprowadzamy nasze okresowe audyty.
Zarządzanie ryzykiem w Atlassian ma dwa podstawowe cele:
- Minimalizacja liczbę kwestii, których nie możemy kontrolować. Zawsze znajdą się rzeczy, na które nie mamy wpływu. Istotne jest to, że jesteśmy przygotowani, aby się z nimi uporać. Chcemy zminimalizować liczbę nieoczekiwanych zdarzeń, a jednocześnie przygotować się na poradzenie sobie z innymi.
- Zapewnienie przestrzeni potrzebnej do podejmowania ryzyka z wyboru. Gdy w organizacji występuje wiele rodzajów ryzyka, podejmowanie kolejnego może wydawać się trudne, nawet jeśli wiąże się z nim ogromna szansa. Z drugiej strony, jeśli będziemy mieć pod kontrolą te podstawowe obszary ryzyka, podjęcie nowego ryzyka będzie wydawać się łatwiejsze, a przynajmniej warte rozważenia.
Wyobraźmy sobie ryzyko jako dług — zasób o ograniczonej wielkości, który organizacja może wdrożyć. Najlepiej zmaksymalizować jego wydatkowanie w obszarach, z których możemy otrzymać jak największy zwrot z inwestycji — co stanowi cel zrównoważonego portfela ryzyka firmy. Przykładowo nasze korzyści z wysokiego ryzyka w przypadku działalności związanej z chmurą byłyby bardzo niewielkie, ponieważ prowadziłoby to do większej liczby incydentów i niezadowolenia klientów. Z drugiej strony dużą korzyść przyniosłaby możliwość eksperymentowania z nowymi sposobami użycia naszych produktów. W związku z tym powinniśmy zminimalizować to pierwsze ryzyko, aby zyskać możliwość zwiększenia tego drugiego. Naturalnie „ograniczenie ryzyka do zera” jest dość kosztowne (a w większości przypadków wręcz niemożliwe), a korzyści mogą nie być adekwatne do inwestycji — każde dodatkowe 9 we wskaźniku dostępności 99,9% jest trudniejsze do uzyskania. Jest to kolejny czynnik w równoważeniu portfela ryzyka.
Dysponowanie funkcjonalnym programem ERM jest:
- Uznawane za dobrą praktykę biznesową. Jest to skonsolidowany ogląd naszych najważniejszych obszarów ryzyka oraz działań, jakie w związku z nimi podejmujemy. Umożliwia on okresowe sprawdzanie i upewnienie się, że podchodzimy do tych obszarów ryzyka w zamierzony sposób. Podobnie jak w przypadku wizyty u lekarza, który potwierdza, że mamy złamaną kość i potrzebujemy odpoczynku, aby dojść do zdrowia, program ERM potwierdza dorozumianą wizję ryzyka nakreśloną przez kierownictwo i adekwatność strategii zarządzania ryzykiem. Czasami proces ten ujawnia również nowe ryzyka, które mogą wymagać podjęcia działań zaradczych.
- Wymagany w celu spełnienia aktualnych i przyszłych zobowiązań w zakresie zgodności z przepisami. Nasze certyfikaty pomagają nam budować zaufanie w oczach klientów, co przekłada się na wyższe przychody i mniej problemów ze sprzedażą. Normy SOX, SOC2 i ISO 27001 wymagają prowadzenia programu ERM, okresowego konsultowania głównych obszarów ryzyka oraz strategii zarządzania ryzykiem z kierownictwem, a także składania sprawozdań do organu nadzorującego. Wkraczając w branże podlegające bardziej restrykcyjnym przepisom i uzyskując kolejne certyfikaty, takie jak HIPAA czy FedRAMP, będziemy musieli jeszcze bardziej zwiększyć wiarygodność i dokładniej kontrolować nasz program ERM.
- Oznaka dojrzałości. W miarę rozwoju musimy formalizować praktyki, aby zwiększać efektywność operacyjną i eliminować obszary niepewności (czyli ryzyka). Efektywność operacyjna jest jednym z czynników decydujących o naszej możliwości skalowania. Mówiąc wprost, chcemy ograniczyć liczbę niespodziewanych sytuacji i upewnić się, że faktyczna kondycja firmy jest zgodna z naszą wiedzą i wyobrażeniami.
W Atlassian wdrożono ramowe zasady zarządzania ryzykiem obejmujące zarówno strategiczne obszary ryzyka korporacyjnego, jak i codzienne ryzyko występujące na poziomie zespołu. Podejmujemy takie kroki, ponieważ dowody jednoznacznie potwierdzają, że firmom dysponującym procesami zarządzania ryzykiem łatwiej podejmować decyzje operacyjne i strategiczne, co przekłada się na wyższe przychody i niższe koszty operacyjne.
Jak to robimy?
Ocena ryzyka korporacyjnego jest kompleksowym procesem, który przeprowadzamy corocznie i regularnie aktualizujemy przez cały rok. Analiza obejmuje dane pochodzące z wielu źródeł:
- Istnieje wiele różnych rodzajów oceny konkretnego ryzyka, takich jak ocena ryzyka oszustwa, wiele rodzajów oceny ryzyka związanego z bezpieczeństwem, różne rodzaje oceny ryzyka operacyjnego, w tym ocena wpływu na działalność (w ramach programu zapewniania ciągłości działania i odzyskiwania awaryjnego), oceny poszczególnych jednostek biznesowych (np. bezpieczeństwa informacji i finansów) itp.
- Uświadomione ryzyka, czyli incydenty, sytuacje, w których o mało nie doszło do incydentu, analizy retrospektywne dużych/ważnych projektów i wyników prac.
- Wewnętrzne i zewnętrzne audyty oraz oceny.
- Zewnętrzne analizy globalnych trendów i rynków, np. spowolnienie gospodarcze, trendy w branży, konkurencja itp.
- Opinie oraz dane od klientów, partnerów biznesowych i dostawców.
- Cele biznesowe i OKR-y całego przedsiębiorstwa oraz poszczególnych jednostek biznesowych.
- Obszerne wywiady z pracownikami Atlassian.
Agregujemy otrzymane dane, analizujemy je w celu określenia obszarów ryzyka i przyznajemy im ocenę, biorąc pod uwagę prawdopodobieństwo wystąpienia, wpływ, szybkość, korzyści i skuteczność zarządzania ryzykiem. W razie potrzeby zwracamy się do liderów biznesowych z prośbą o objaśnienie i koordynację działań.
Śledząc różne rodzaje ryzyka korporacyjnego, skupiamy się na wysokim ryzyku, z którym nie wiążą się duże korzyści, oraz na obszarach wymagających dodatkowej uwagi.
Rola na tle „szerszego obrazu”
Programem zarządza dział Ryzyka i zgodności, który zbiera i analizuje dane, sporządza sprawozdania oraz monitoruje realizację, natomiast raport okresowy z oceny ryzyka przedstawia opracowany przez zespół wykonawczy, skonsolidowany obraz najważniejszych obszarów ryzyka i działań podejmowanych w związku z nimi. Zespół ds. ryzyka i zgodności może wyrażać opinie i doradzać, ale ostatecznie to zespół wykonawczy decyduje o optymalnym kształcie naszego portfela, czyli o tym, które obszary ryzyka chcielibyśmy ograniczyć lub rozszerzyć, oraz na co chcielibyśmy ukierunkować nasze wysiłki i zasoby.
W związku z tym raport z oceny ryzyka zazwyczaj jest uwzględniany w planowaniu operacyjno-strategicznym w celu wspierania inwestycji i alokacji zasobów (nie jest to jednak jedyny czynnik). Jest on również elementem corocznego planowania audytu wewnętrznego. Ramy czasowe programu ERM ustalamy w taki sposób, aby ukończyć raport w okolicach końca roku kalendarzowego. Ponadto jest to zgodne z wymogiem przekazywania informacji do Komitetu audytu dwa razy w roku (czerwiec i grudzień).
Stanowi on również kolejny punkt kontroli kondycji działalności biznesowej oraz firmy. Pomaga sprawdzić, czy nasze odczucia na temat firmy odpowiadają rzeczywistości. Jest to również dodatkowy punkt strategii koordynowania działań wokół celów.
Podsumowanie
Chcemy dać naszym klientom pewność, że zarządzamy ryzykiem we właściwy sposób. Choć w wielu obszarach ryzyka wdrożono właściwe środki postępowania, chcemy skoncentrować się na tych przypadkach, w których akceptowane przez nas (w sposób pośredni lub bezpośredni) ryzyko jest zbyt wysokie, biorąc pod uwagę fakt, że nie wiążą się z nim równie duże korzyści. To właśnie dzięki tej strategii Atlassian może działać zgodnie z metodami Lean i Agile w tak złożonym środowisku, w którym zarządzanie ryzykiem i czas wprowadzenia produktu na rynek mają krytyczne znaczenie dla rozwoju firmy.