Программа управления рисками
Суть программы
В большинстве случаев, говоря о рисках, имеют в виду ситуации, когда что-то может пойти не так. Хотя такое определение в целом верно и обусловлено развитием шаблонного мышления, оно не раскрывает всей сути риска. Согласно ISO 31000, риск — это «влияние неопределенности на цели». Поэтому, когда мы говорим о риске, мы должны рассматривать его как неопределенность, которая несет в себе как опасность, так и возможности.
Почему же риску уделяют так много внимания? Может быть, оценка рисков — это всего‑навсего корпоративная или бюрократическая формальность? Чтобы ответить на эти вопросы, нужно учесть другую сторону медали — доверие, которое противоположно риску. По этой причине программы управления рисками в первую очередь нацелены на укрепление доверия, которое выражается в следующем:
- клиенты доверяют нашим продуктам, услугам, стилю работы компании (а если они нам доверяют, наши доходы растут);
- контрольно-надзорные органы доверяют тому, как мы соблюдаем правила (а поэтому снижаются затраты на соблюдение нормативно-правовых требований и стоимость вывода продуктов на рынок);
- сотрудники доверяют компании Atlassian (у них укрепляется моральный дух, а у нас снижается текучесть кадров).
В исследовании 2013 года, проведенного консалтинговой компанией Boston Consulting Group, клиенты назвали надежность одним из главных качеств, которые привлекают их в бренде.
Риск — неотъемлемая часть нашей жизни. Мы постоянно оцениваем риски и сравниваем их с выгодой, которую получим, если все же рискнем. Компанию окружают самые разнообразные риски: финансовые, маркетинговые, юридические и нормативные, мошенничество, риски нарушения безопасности, операционные и прочие. В идеале этот портфель рисков должен быть сбалансирован. Программа управления корпоративными рисками (ERM) преследует следующие цели:
- выявить и проанализировать риски;
- решить, какие меры следует принять;
- реализовать эти меры;
- отчитаться об эффективности принятых мер.
Назначение программы
Укреплять доверие путем устранения неопределенностей (т. е. управлять рисками) следует, опираясь на два основополагающих принципа: открытость и предсказуемость. Если наша философия, наши методы и процедуры прозрачны, клиенты точно знают, что их ждет. Предсказуемость характеризует нас как надежного партнера, и именно поэтому мы периодически проводим аудит.
Управление рисками в компании Atlassian преследует две цели.
- Помогает сократить количество факторов и ситуаций, которые мы не можем контролировать. Всегда остается что-то, что мы не в состоянии контролировать. Главное, чтобы мы были готовы справиться с любой ситуацией. Мы стремимся снизить вероятность возникновения непредвиденных ситуаций и одновременно готовимся к урегулированию всех остальных.
- Позволяет выбирать, на какие риски стоит идти. Когда в организации слишком много рисков, еще один риск может показаться непосильной ношей, даже если с ним связана невероятная возможность. Но если держать под контролем все фоновые риски, новый риск не отпугнет, а даст пищу для размышлений.
Риск удобно представлять как заемное средство — ресурс с ограниченными возможностями, который организация может использовать в своей деятельности. Его лучше использовать по максимуму в тех областях, где может быть достигнута наибольшая окупаемость инвестиций — для этого и нужен сбалансированный портфель рисков компании. Например, высокие риски в сфере облачных операций принесут мало пользы: скорее, они приведут к росту количества инцидентов, и клиенты будут недовольны. С другой стороны, если бы мы поэкспериментировали с новыми сценариями использования наших продуктов, это могло бы принести огромную выгоду. Поэтому риски первого рода следует снижать, чтобы можно было уделять больше внимания возможностям, связанным с рисками второго рода. Чтобы свести риски к нулю, несомненно понадобятся огромные затраты (в большинстве случаев это вообще невозможно), и подобные инвестиции могут оказаться нецелесообразными. Обеспечив доступность в течение 99,9 % времени, вы заметите, что каждую следующую цифру 9 в этой дроби становится все труднее получить. Это тоже следует учитывать при стремлении к сбалансированному портфелю рисков.
Поддержание работоспособной программы ERM:
- считается надлежащей практикой ведения бизнеса. Это сводка главных рисков и мер по их урегулированию. С ней можно периодически сверяться, чтобы убедиться, что работа с этими рисками ведется так, как и было запланировано. Если у нас что-то не так с ногой, мы идем к врачу, который подтвердит, что нога сломана и, чтобы зажить, ей нужен покой. Так и программа ERM помогает убедиться, насколько верны подозрения руководства в отношении рисков и насколько правильно выбраны стратегии управления рисками. Иногда при этом могут обнаружиться новые риски, с которыми, возможно, тоже придется что-то делать;
- необходимо для выполнения наших текущих и будущих обязательств по обеспечению соответствия требованиям. Полученные нами сертификаты помогают укрепить доверие клиентов, благодаря чему прибыль растет, а сделки заключаются проще. SOX, SOC2 и ISO 27001 обязывают нас поддерживать программу ERM, периодически сверять главные риски и стратегии управления рисками с руководством и отчитываться перед контрольно-надзорным органом. Поскольку мы постепенно проникаем в отрасли с более жестким регулированием и проходим дополнительные сертификации (например, на соответствие требованиям HIPAA, FedRAMP и т. д.), нам нужно повышать свою надежность, а наша программа ERM будет требовать все большего контроля.
- доказывает нашу зрелость. Наша компания развивается, и наши методы работы требуется закреплять документально, чтобы повышать эффективность работы и снижать неопределенность (т. е. риски). От эффективности работы зависит наша способность к масштабированию. Проще говоря, мы хотим реже сталкиваться с непредсказуемыми ситуациями и хотим убедиться, что все, что мы знаем и предполагаем о нашей компании, соответствует действительности.
В компании Atlassian используется система управления рисками, благодаря которой под контролем находятся как стратегические риски на уровне корпорации, так и повседневные риски на уровне команд. Мы работаем так, потому что знаем: в компаниях, где налажены процессы управления рисками, принимаются более эффективные оперативные и стратегические решения, которые, в свою очередь, приводят к росту доходов и операционной рентабельности.
Принцип действия программы
Оценка корпоративных рисков — это всеобъемлющий процесс; мы проводим ее ежегодно и периодически уточняем в течение года. В анализе используется большое количество исходных данных:
- множество различных оценок риска: оценка риска мошенничества, различные оценки рисков нарушения безопасности и операционных рисков, в том числе оценка последствий для бизнеса (в составе программы обеспечения непрерывной работы бизнеса (BC) и аварийного восстановления (DR)), оценка отдельных структурных подразделений (например, отдела информационной безопасности, финансового отдела) и т. д.;
- информация о реализованных рисках, т. е. инцидентах, критических ситуациях, ошибках в больших или важных проектах и в готовых результатах, выявленных в ходе разбора причин неудачи;
- данные внутреннего и внешнего аудита и оценок;
- результаты внешнего анализа мировых тенденций и рынков, например замедления темпов развития экономики, перспектив развития отдельных отраслей, конкуренции и т. д.;
- отзывы и данные, полученные от клиентов, деловых партнеров и поставщиков;
- бизнес-задачи, цели и ключевые результаты компании и ее отдельных структурных подразделений;
- обстоятельные интервью с сотрудниками из разных подразделений и разных уровней компании Atlassian.
Полученные данные объединяются, подвергаются анализу на предмет выявления рисков, после чего рискам присваивается оценка в баллах в зависимости от вероятности их реализации, значимости последствий, скорости возникновения, выгоды и эффективности управления рисками. При необходимости, мы совещаемся с руководителями высшего звена для прояснения ситуации и согласования действий.
Мы отслеживаем все корпоративные риски, но главными для нас остаются высокие риски без значительной выгоды, а также сферы, требующие особого внимания.
Оценка рисков в контексте общей картины
За выполнение программы отвечает команда по оценке рисков и обеспечению соответствия требованиям: ее сотрудники собирают и анализируют данные, создают отчеты и отслеживают ход реализации. Периодический отчет об оценке рисков содержит сводку наших наиболее существенных рисков и меры по их урегулированию с позиции руководителей высшего звена. Команда по оценке рисков и обеспечению соответствия требованиям может высказывать мнения и выдвигать рекомендации, но в конечном счете руководители решают, как должен выглядеть оптимальный портфель рисков: какие риски необходимо снизить, какие можно повышать и в какие области следует направить усилия и ресурсы.
По этой причине отчет об оценке рисков обычно учитывается в ходе оперативного и стратегического планирования: он помогает понять, куда совершать инвестиции и как распределить ресурсы (хотя это не единственный решающий фактор). Такой отчет также принимают во внимание в ходе ежегодного планирования внутреннего аудита. Сроки реализации нашей программы ERM выбраны таким образом, чтобы составление отчета приходилось на конец календарного года. Это также согласуется с требованием дважды в год (в июне и декабре) отчитываться перед аудиторским комитетом.
Мы используем отчет об оценке рисков как еще одну контрольную точку для проверки общего состояния нашей деятельности. Он позволяет подтвердить или опровергнуть наши предположения относительно положения дел. А еще это дополнительный повод сверить курс на достижение целей и выполнение поставленных задач.
В заключение
Мы хотим, чтобы наши клиенты были уверены в том, что управление рисками осуществляется должным образом. Мы успешно управляем многими рисками, но сосредоточиться хотим на тех случаях, в которых допускаемый нами (явно или неявно) риск слишком высок и при этом не несет выгоды. Именно благодаря этой стратегии Atlassian остается рациональной и гибкой в сложных условиях, когда управление рисками и скорость вывода продукта на рынок играют решающую роль в развитии компании.