Risikomanagementprogramm


Worum geht es?

Bei vielen läuten bei dem Begriff "Risiko" sofort die Alarmglocken. Das ist natürlich. Aber trotzdem wird dies dem Begriff nicht ganz gerecht. Die Norm ISO31000 beschreibt ein Risiko als die "Auswirkung von Unsicherheit auf Ziele". Und fügt hinzu: "Eine Auswirkung stellt eine Abweichung von Erwartungen dar – in positiver und/oder negativer Hinsicht." Das heißt: Risiken bergen zwar Gefahren, aber auch Chancen.

Warum also beschäftigen wir uns mit Risiken? Um dies zu beantworten, müssen wir auch die andere Seite der Medaille betrachten: das Vertrauen. Vertrauen ist das Gegenteil von Risiko. Das Ziel von Risikomanagement-Programmen sollte es also sein, das Vertrauen zu stärken. Dies umfasst:

  • Das Vertrauen der Kunden in unsere Produkte, Dienstleistungen und Verhaltensweisen – die Grundlage für bessere Umsätze
  • Das Vertrauen der Behörden, dass wir die Richtlinien einhalten – die Grundlage für niedrigere Verwaltungskosten und Marktpreise
  • Das Vertrauen unserer Mitarbeiter – die Grundlage für besseres Engagement und geringere Abwanderung

Eine 2013 von der Boston Consulting Group durchgeführte Studie hat ergeben, dass Kunden besonders die Vertrauenswürdigkeit einer Marke wichtig ist.

Risiken einzugehen gehört zum Leben dazu. Wenn wir Risiken eingehen, dann prüfen wir genau, ob sich die Vorteile, die sich daraus ergeben, auch lohnen. Als Unternehmen haben wir dabei zahlreiche unterschiedliche Risikobereiche im Blick: Finanzen, Marketing, gesetzliche Vorschriften, betrügerische Aktivitäten, Sicherheit, Betrieb usw. Im Rahmen unseres ERM-Programms gehen wir dazu wie folgt vor:

  1. Ermittlung und Analyse von Risiken
  2. Entscheidung, welche Maßnahmen erforderlich sind
  3. Umsetzung der Maßnahmen
  4. Überprüfung der Maßnahmenwirksamkeit

Was ist der Zweck des Programms?

Wenn Risikomanagement Unsicherheiten verhindert, verbessert sich das Vertrauen. Dabei sind zwei Prinzipien von entscheidender Bedeutung: Offenheit und Vorhersehbarkeit. Unsere Unternehmensphilosophie, Verfahren und Methoden sind stets transparent: So wissen unsere Kunden immer, was sie erwartet. Dank dieser Vorhersehbarkeit sind wir ein zuverlässiger Partner. Und unsere regelmäßigen Audits sorgen dafür, dass das auch so bleibt.

Das Risikomanagement bei Atlassian verfolgt im Wesentlichen zwei Ziele:

  • Es verringert die Anzahl der Dinge, über die wir keine Kontrolle haben. Manche Dinge stehen außerhalb unserer Kontrolle. Wichtig ist, wie wir mit ihnen umgehen. Und wenn wir die Wahrscheinlichkeit für unerwartete Ereignisse reduzieren, bleibt mehr Zeit, die übrigen Herausforderungen zu lösen.
  • Es sorgt für Gelassenheit, um neue Risiken einzugehen. Wenn es in einem Unternehmen bereits viele Risiken gibt, entsteht die Scheu, keine weiteren Risiken einzugehen, selbst wenn diese erfolgversprechend sind. Können die bestehenden Risiken aber besser kontrolliert werden, sind auch neue Herausforderungen kein Problem.

Risiken kann man sich als einen Vermögenswert mit begrenzter Kapazität vorstellen, den ein Unternehmen nach Bedarf einsetzen kann. Ausgaben sollten dabei in solchen Bereichen erhöht werden, die die beste Rentabilität versprechen. Dies ist im Wesentlichen das Ziel eines ausgeglichenen Risikoportfolios. Ausgeglichen heißt: Hohe Risiken im Cloud-Betrieb sind weniger lohnenswert, da sie zu unerwünschten Vorfällen und Kundenunzufriedenheit führen können. Andererseits kann es aber lohnenswert sein, neue Anwendungsmöglichkeiten für Produkte zu testen. Das heißt, dass hier der Fokus liegen sollte. Die Risikovermeidung kann dabei jedoch teuer werden und man sollte beachten, dass sich Risiken meist nicht völlig vermeiden lassen. Daher muss jede Investition auf ihren Nutzen geprüft werden. Dies ist immer Teil eines ausgeglichenen Risikoportfolios.

Vorteile eines ERM-Programms:

  • Es gilt als gute Unternehmenspraxis. Das Programm gibt eine Übersicht über die wichtigsten Risiken sowie die erforderlichen Gegenmaßnahmen. Dank regelmäßiger Überprüfungen wird sichergestellt, dass wie geplant auf Risiken reagiert wird. ERM kann man sich wie einen Arztbesuch vorstellen, bei dem der Arzt unseren Verdacht auf einen gebrochenen Knochen bestätigt und uns sagt, wie er am besten heilt. Ein ERM-Programm dient dazu, die von Führungskräften erkannten Risiken zu bestätigen und geeignete Gegenmaßnahmen zu finden. Dabei können auch neue Risiken erkannt werden, bei denen Handlungsbedarf besteht.
  • Es ist unerlässlich, um aktuelle und zukünftige Compliance-Anforderungen zu erfüllen. Unsere Zertifizierungen sorgen für mehr Kundenvertrauen. Das verbessert den Umsatz und erleichtert den Verkauf. Die Normen SOX, SOC2 und ISO27001 legen fest, dass wir über ein ERM-Programm verfügen müssen. Dabei werden die wichtigsten Risiken und die Strategien zum Risikomanagement von Führungskräften bestätigt und an ein Aufsichtsgremium übermittelt. Wir konzentrieren uns verstärkt auf stark regulierte Branchen und engagieren uns für weitere Zertifizierungen wie beispielsweise HIPAA und FedRAMP. Das heißt: Vertrauen wird immer wichtiger und unser ERM-Programm wird immer strenger überprüft.
  • Nachweis der Ausgereiftheit. Unser Unternehmen wächst. Das heißt, dass wir Methoden festlegen müssen, um die betriebliche Effizienz zu verbessern und Unsicherheiten (Risiken) zu reduzieren. So wollen wir böse Überraschungen vermeiden und besser nachvollziehen können, dass unser Unternehmenszustand tatsächlich so beschaffen ist, wie wir ihn einschätzen.

Atlassian verfügt über ein System zum Risikomanagement. Dieses umfasst sowohl Risiken, die die Unternehmensstrategie betreffen, als auch alltägliche Risiken auf Teamebene. Das ist kein Zufall, denn Risikomanagementprozesse erleichtern nachweislich die Entscheidungsfindung im betrieblichen und strategischen Bereich. Die Folge: höherer Umsatz und bessere Gewinnspannen.

Wie läuft das Programm ab?

Das Enterprise Risk Assessment ist eine Risikobewertung, die wir jährlich durchführen und die mehrmals im Jahr aktualisiert wird. Die Bewertung umfasst viele unterschiedliche Faktoren:

  • Es werden verschiedene Arten spezifischer Risikobewertungen durchgeführt, etwa um betrügerische Aktivitäten zu erkennen. Zudem gibt es mehrere Risikobewertungen im Bereich Sicherheit und Betrieb. Dazu gehören Business Impact Assessments (BIA, Folgenabschätzungen), die Teil unseres BC/DR-Programms sind. Außerdem werden einzelne Unternehmensbereiche bewertet (z. B. Informationssicherheit und Finanzen).
  • Erkannte Risiken, also Vorfälle, "Beinaheunfälle", Post-Mortems von großen/wichtigen Projekten und Ergebnissen
  • Interne und externe Audits und Bewertungen
  • Externe Analysen globaler Trends und Märkte, z. B. wirtschaftliche Abschwächung, Branchentrends, Mitbewerber usw.
  • Feedback und Daten von Kunden, Geschäftspartnern und Anbietern
  • Geschäftsziele und OKRs auf Unternehmensebene und für einzelne Geschäftseinheiten
  • Ausführliche Gespräche mit Atlassian-Mitarbeitern

Wir erfassen und analysieren all diese Daten, um Risiken zu erkennen. Die Risiken werden dann nach Häufigkeit, Auswirkungen, Ausbreitungsgeschwindigkeit, Vorteilen und Effektivität des Risikomanagements eingestuft. Falls erforderlich, prüfen wir mit den Unternehmensleitern, ob eine Klärung und Abstimmung möglich ist.

Wir erfassen Risiken im gesamten Unternehmen. Besonderen Fokus legen wir hierbei auf Risiken, die keine erheblichen Vorteile mit sich bringen, und auf Bereiche, die besonderer Aufmerksamkeit bedürfen.

Wie fügt sich das Programm ins "große Ganze" ein?

Das Programm wird im Wesentlichen von unserem Team für Risiken und Compliance durchgeführt. Es erfasst und analysiert die Daten, meldet die Ergebnisse und überwacht die Umsetzung. Unser regelmäßiger Bericht zur Risikobewertung stellt hingegen die Sicht eines Teams von Führungskräften dar. Dieser Bericht umfasst die wichtigsten Risiken und die entsprechenden Gegenmaßnahmen. Das Team für Risiken und Compliance kann dann Meinungen einbringen und Ratschläge erteilen. Letztendlich entscheiden jedoch die Führungskräfte, ob bestimmte Risiken eingegangen oder eingedämmt werden müssen, welche Vorgehensweisen dabei zum Einsatz kommen und welche Ressourcen eingesetzt werden.

Der Bericht zur Risikobewertung ist daher ein elementarer Bestandteil der betrieblichen und strategischen Planung zur Zuweisung von Investitionen und Ressourcen (auch wenn noch weitere Faktoren eine Rolle spielen). Außerdem ist er für die jährliche Planung des internen Audits von Bedeutung. Unser ERM-Programm wurde so geplant, dass der Bericht zum Ende des Kalenderjahrs fertig wird. Außerdem passt dies zeitlich zur Meldung an das Audit Committee, die zwei Mal pro Jahr (im Juni und Dezember) erfolgt.

Der Bericht ist ein weiterer Kontrollpunkt für den Zustand unseres Geschäfts und unseres Unternehmens insgesamt. Er hilft uns, unsere Gefühle und Meinungen zu Sachverhalten objektiv zu überprüfen. Außerdem verbessert er die Abstimmung mit unseren Unternehmenszielen.

Fazit

Unsere Kunden sollen sich darauf verlassen können, dass wir das Risikomanagement ernst nehmen. Viele Risiken werden bereits effektiv gesteuert. Daher möchten wir uns insbesondere auf hohe Risiken konzentrieren, die keinen vergleichbaren Nutzen mit sich bringen. Diese Konzentration auf das Wesentliche und die damit verbundene Agilität helfen Atlassian, der komplexen Umgebung gerecht zu werden, in der Risikomanagement und Markteinführungszeit entscheidende Faktoren sind, um das Unternehmen voranzubringen.