Close

风险管理计划


它是什么?

在思考“风险”这个术语时,大多数人通常将它与“可能发生什么问题”相关联。虽然普遍正确,但也有植根于进化认知的偏见,这只是其定义的一部分。根据 ISO31000,风险是指“不确定性对于目标的影响”。因此,在谈论风险时我们应将其视为既具有危险又可带来机遇的不确定性。

我们为什么关注风险?这不是某种企业/官僚主义行为吗?为了回答这个问题,我们需要领会事情的另一面:与风险相对的是信任。因此,风险管理计划的重点最终还在于增进信任,其中具体包括:

  • 客户对我们产品、服务和企业行为等方面的信任,这会带来更高的收入;以及
  • 监管机构对我们遵守规则的信任,这会降低监管和市场成本;此外还有
  • 员工对 Atlassian 的信任,这会提升士气并减少人才流失。

波士顿咨询集团 2013 年的一项研究表明,客户认为可信度是他们被某一品牌吸引的最佳品质之一。

冒险是生活的一部分,我们会根据承担这些风险所得到的好处来持续评估风险。公司的风险概况包括多种不同类型的风险,如金融、市场营销、法律/监管、欺诈、安全和运营等方面的风险,因此需要平衡这些风险。企业风险管理 (ERM) 计划的目标是:

  1. 识别分析风险;
  2. 决定应采取哪些措施;
  3. 将这些措施付诸实施;以及
  4. 报告这些行动的成效。

我们为何这样做?

通过消除不确定性来建立信任(即管理风险)依赖于两个基本原则:保持透明和可以预测。对我们的理念、实践和程序保持透明,让客户确切知道他们能得到什么。可以预测能向客户表明我们是可靠的合作伙伴,这也是我们定期审计的背景原因。

Atlassian 的风险管理有两大目的:

  • 最大限度减少我们无法控制的事物。难免会有一些事情超出我们的控制范围。重要的是我们要准备好应对方法。我们希望尽量降低发生意外事件的概率,同时准备好处理其他事件。
  • 这样可让我们有余地承担自己选择的风险。当组织存在很多风险时,再承担一种风险或许令人生畏,即使这种风险会带来巨大的机遇。另一方面,如果我们控制了这些背景风险,那么承担新风险的坏处似乎就比较少,因而值得考虑。

风险可以比作债务,即组织可以部署的一种有限容量资产。最理想的状态是在我们能获得最大投资回报率的领域最大化支出,这是平衡公司风险组合的目标。例如,云运营中存在高风险对我们几乎没有好处,因为这会导致更多的事故和客户不满。另一方面,如果能对我们产品的新用途进行试验,我们将受益匪浅。因此,我们应该尽量减少前者,从而有能力去增加后者。当然,“将风险降至零”的代价十分高昂(多数情况下甚至无法企及),可能不值得去投资。当可用性达到 99.9% 后,每增加一个 9 都是难上加难。这是平衡风险组合的另一个要素。

拥有切实可行的企业风险管理 (ERM) 计划:

  • 被认为是良好的业务实践。这是对我们最大风险和应对方法的一个综合考量,让我们能够定期检查并确保我们以预期的方式应对这些风险。我们骨折时需要去看医生来确认,并通过休息来愈合。与之类似,ERM 确认了高管对所面临风险的隐性认知和风险管理策略的适当性。有时,这个过程也可能会发现或许要解决的新风险。
  • 是履行当前和未来合规义务所必需的。我们获得的认证有助于与客户建立信任,从而提高收入并减少销售摩擦。SOX、SOC2 和 ISO27001 要求我们维护 ERM 计划,定期与高管确认主要风险和风险管理战略,并向监督机构报告。随着我们涉足更多受监管的行业并获得更多的认证,如 HIPAA 和 FedRAMP 等,我们必须提高自身的可信赖度,而围绕我们 ERM 计划的审查也会增多。
  • 是成熟度的证明。在发展的过程中,我们需要规范化实践,从而提高运营效率并消除不确定性(即风险)。这种运营效率对我们的扩展能力有益。简而言之,我们希望减少意外,也希望确认公司健康运作实际上是我们了然于胸的,同时与我们的感受也保持一致。

Atlassian 设立了一种风险框架,用来管理企业战略风险以及团队层面的日常风险。之所以如此,是因为有明确证据表明,公司采用风险管理流程后可促进运营和战略决策的改善,从而提高收入并降低运营成本。

我们是怎么做的?

企业风险评估是一个每年执行并且全年定期更新的综合流程。此项分析包含众多来源的输入:

  • 诸多不同类型的具体风险评估,例如欺诈评估、多种安全风险评估、各种运营风险评估,以及业务影响评估(BC/DR 计划的一部分)和个体业务部门评估(例如资讯安全和财务)等。
  • 已成为现实的风险,例如事故、“幸免于难”、大型/重要项目与交付成果事后分析
  • 内外部审计和评估;
  • 对全球趋势和市场的外部分析,例如经济放缓、行业趋势、竞争等
  • 客户、业务合作伙伴和供应商的反馈与数据;
  • 企业与单个业务部门的业务目标和 OKR;
  • 与 Atlassian 员工的广泛访谈

我们会汇总收到的数据,对其进行分析以确定风险,并根据概率、影响、速度、收益和风险管理效果对其进行评分。必要时,我们会咨询业务主管,以进行澄清和协调。

在跟踪企业风险时,我们的重点是没有相应高收益的高风险,以及需要额外关注的领域。

它与“大局”有何关系?

尽管由风险与合规职能部门负责运行该计划(收集和分析数据,以及报告和跟踪执行情况),但定期风险评估报告是高管团队围绕我们最重大风险和风险应对方法的综合反映。风险与合规团队可以发表意见并提供建议,但最终由高管团队决定我们应具有什么样的最佳风险组合。即,我们希望减少哪些风险、增加哪些风险,以及将我们的工作和资源引导到何处。

因此,风险评估报告通常被纳入运营和战略规划,从而协助投资和资源分配(但并非唯一的驱动因素)。它也被纳入内部审计年度规划。我们 ERM 计划的时间安排一直是力求在日历年年底前完成报告。此外,这也与每年向审计委员会通报两次(6 月和 12 月)的要求相符。

它被当作业务和公司健康状况的另一个检查点,有助于证明或反驳我们对事物的“感受”,也是围绕目的和目标的又一个校准点

结语

我们希望给予客户信心,确信风险正在得到妥善管理。有许多风险已得到妥善管理,我们希望将重点放到那些我们冒险(隐式或明式)程度太高且无相应高收益的风险。Atlassian 处于一个复杂的环境中,管理风险和上市时间对公司发展起着关键作用,正是这种策略让我们能够在这样的环境中保持精简和敏捷。