Close

Risk Management Program


Che cos'è?

La maggior parte delle persone associa la parola "rischio" a problemi che potrebbero verificarsi. Questa concezione, per quanto sia generalmente vera e radicata in pregiudizi cognitivi che si evolvono, riflette solo un aspetto della definizione. Secondo lo standard ISO 31000, il rischio è "l'effetto dell'incertezza sugli obiettivi". Pertanto, quando parliamo di rischio, dovremmo considerarlo come un'incertezza che porta con sé sia pericoli sia opportunità.

Ma se le cose stanno così, perché il rischio è motivo di preoccupazione? Non è forse una sorta di esercizio aziendale/burocratico? Per rispondere a questa domanda, dobbiamo valutare l'altra faccia della medaglia, cioè la fiducia, che è l'opposto del rischio. Pertanto, l'obiettivo dei programmi di gestione dei rischi è in ultima analisi quello di aumentare la fiducia, tra cui:

  • la fiducia che i clienti ripongono nei nostri prodotti, servizi, comportamenti aziendali ecc. e che determina un aumento dei ricavi;
  • la fiducia che gli organi di controllo ripongono nel rispetto delle regole da parte della comunità, che determina una riduzione dei costi normativi e di mercato e
  • la fiducia che i nostri dipendenti ripongono in Atlassian e che determina superiorità morale e tasso di abbandono inferiore.

In uno studio del 2013 condotto dal Boston Consulting Group, i clienti hanno identificato l'affidabilità come una delle migliori qualità in termini di attrattiva esercitata da un marchio.

L'assunzione dei rischi fa parte della vita e li valutiamo continuamente rispetto ai benefici che otteniamo assumendo tali rischi. Il profilo di rischio di un'azienda comprende diversi tipi di rischi, ad esempio rischi finanziari, di marketing, giuridici/normativi, operativi, di frode, sicurezza, e così via, che devono essere bilanciati. Il programma Enterprise Risk Management (ERM) si propone di:

  1. identificare e analizzare i rischi;
  2. decidere le azioni da intraprendere;
  3. operazionalizzare le azioni e
  4. riferire sull'efficacia di tali azioni.

Le nostre finalità

La creazione della fiducia attraverso l'eliminazione delle incertezze (cioè la gestione dei rischi) poggia su due principi fondamentali: la trasparenza e la prevedibilità. Essere trasparenti sulla nostra filosofia e sulle nostre pratiche e procedure significa consentire ai clienti di sapere con esattezza cosa offriamo loro. Essere prevedibili significa comunicare l'idea che siamo un partner affidabile ed è il motivo alla base dei nostri audit periodici.

La gestione dei rischi in Atlassian ha due finalità principali:

  • Ridurre al minimo i fattori che non possiamo controllare. Non tutti gli eventi sono controllabili, ma ciò che conta realmente è la capacità di gestirli. Vogliamo ridurre al minimo le probabilità che si verifichino eventi imprevisti mentre ci prepariamo a gestire gli altri.
  • Offrire uno spazio maggiore per un'assunzione dei rischi mirata. Quando nell'organizzazione sono presenti molti rischi, assumerne un altro potrebbe essere fonte di timori e preoccupazioni, anche se quel rischio potrebbe offrire grandi opportunità. D'altro canto, se i rischi esistenti sono sotto controllo, assumere un nuovo rischio sembrerebbe più un'opportunità da considerare che uno svantaggio.

Un paragone utile potrebbe essere quello di pensare al rischio come a un debito, un asset con capacità limitata che può essere distribuito da un'organizzazione. È preferibile massimizzare la spesa per le aree in cui potremmo massimizzare il ROI, che è l'obiettivo di un portafoglio di rischi aziendali equilibrato. Ad esempio, la presenza di rischi elevati nelle nostre operazioni cloud potrebbe offrire un vantaggio davvero limitato, perché comporterebbe un aumento degli imprevisti e dell'insoddisfazione dei clienti. La possibilità di sperimentare nuovi utilizzi dei nostri prodotti, invece, potrebbe offrire grandi vantaggi, pertanto dobbiamo ridurre al minimo i primi, in modo da aumentare i secondi. Sicuramente l'azzeramento dei rischi comporta costi elevati, e nella maggior parte dei casi è addirittura impossibile da raggiungere, e i risultati potrebbero non giustificare l'investimento; qualsiasi altro 9 dopo una disponibilità del 99,9% è sempre più difficile da ottenere. Questo è un altro fattore di bilanciamento del portafoglio di rischio.

Avere un programma ERM funzionale è:

  • Considerata una buona pratica aziendale. Offre una vista consolidata dei nostri rischi principali e delle azioni che intraprendiamo al riguardo. Ci permette di condurre delle verifiche periodiche per assicurarci che tali rischi vengano gestiti nel modo desiderato. Così come ci rechiamo dal medico per avere la conferma che abbiamo una frattura e che per guarire dobbiamo stare a riposo, il programma ERM conferma la visione implicita che i dirigenti hanno dei rischi e l'adeguatezza delle strategie di gestione dei rischi. A volte il processo potrebbe anche far emergere nuovi rischi da gestire.
  • Necessario per adempiere ai nostri obblighi di conformità attuali e futuri. Le nostre certificazioni ci aiutano a instillare fiducia nei clienti, con conseguente aumento dei ricavi e riduzione dell'attrito nelle vendite. SOX, SOC 2 e ISO 27001 ci impongono di mantenere un programma ERM, di verificare periodicamente con i dirigenti i rischi principali e le strategie di gestione dei rischi e di riferire all'organo di vigilanza. Man mano che iniziamo a entrare in settori più regolamentati e a ottenere altre certificazioni come HIPAA e FedRAMP, dovremo diventare ancora più affidabili e il controllo sul nostro programma ERM aumenterà.
  • Prova di maturità. La nostra crescita deve accompagnarsi a una formalizzazione delle pratiche allo scopo di promuovere le efficienze operative ed eliminare le incertezze (cioè i rischi). Queste efficienze operative miglioreranno la nostra scalabilità. In altre parole, vogliamo ridurre le sorprese e ribadire il fatto che la salute dell'azienda coincide in realtà con l'idea che abbiamo di essa.

Atlassian dispone di un framework di rischio per gestire sia i rischi strategici che i rischi d'impresa quotidiani a livello di team. Questo perché vi sono prove evidenti che le aziende con processi di gestione dei rischi hanno un processo decisionale e operativo migliore, che genera maggiori ricavi e riduzione dei costi operativi.

Come operiamo?

La valutazione dei rischi d'impresa è un processo completo che conduciamo annualmente e che viene aggiornato regolarmente durante tutto l'anno. L'analisi si basa su molti fattori:

  • Esistono tanti tipi diversi di valutazioni dei rischi specifiche: frode, più valutazioni dei rischi per la sicurezza, varie valutazioni dei rischi operativi, incluse le valutazioni di impatto aziendale (parte del programma BC/DR), valutazioni delle singole business unit (ad es. InfoSec e Finanza) e così via.
  • Rischi che si sono verificati, cioè imprevisti, "quasi imprevisti", analisi retrospettive di progetti di grandi dimensioni/importanti e deliverable.
  • Valutazioni e audit interni ed esterni.
  • Analisi esterne delle tendenze e dei mercati globali, ad esempio rallentamento economico, tendenze di settore, concorrenza ecc.
  • Feedback e dati di clienti, partner aziendali e fornitori.
  • Obiettivi aziendali e OKR a livello di impresa e di singole business unit.
  • Colloqui approfonditi con tutto il personale di Atlassian.

Aggreghiamo i dati che riceviamo, li analizziamo per determinare i rischi e valutarli in base alla probabilità, all'impatto, alla velocità, ai vantaggi e all'efficacia della gestione dei rischi. Se necessario, ci confrontiamo con i leader aziendali per ottenere chiarimenti e definire una strategia di allineamento.

Se da un lato monitoriamo i rischi d'impresa, dall'altro ci concentriamo sui rischi elevati a cui non corrispondono vantaggi elevati e sulle aree che richiedono ulteriore attenzione.

In che modo si inserisce nel "quadro generale"?

Mentre il programma viene condotto dal team Risk & Compliance, che provvede a raccogliere e ad analizzare i dati, creare report e monitorare l'esecuzione, il report periodico di valutazione dei rischi offre una vista consolidata del team dirigenziale sui nostri rischi più significativi e su come li affrontiamo. Il team Risk & Compliance può fornire dei consigli, ma in ultima analisi è il team dirigenziale a decidere quale debba essere la composizione del portafoglio ottimale, quali rischi ridurre, quali aumentare e verso quali aree indirizzare le nostre risorse e il nostro impegno.

Di conseguenza, la relazione sulla valutazione dei rischi si basa generalmente sulla pianificazione operativa e strategica per sostenere gli investimenti e l'allocazione delle risorse (ma questo non è l'unico promotore). Inoltre, è presa in considerazione nella pianificazione annuale degli audit interni. Abbiamo pianificato il nostro programma ERM in modo da completare il report verso la fine dell'anno di calendario. Inoltre, questa scelta è in linea con il requisito di riferire al Comitato di revisione due volte all'anno (giugno e dicembre).

Viene utilizzata come un altro punto di controllo della salute del business e dell'azienda. Contribuisce a convalidare o confutare la nostra percezione della situazione ed è anche un ulteriore punto di allineamento sugli obiettivi.

In conclusione

Vogliamo offrire ai nostri clienti la certezza che i rischi sono gestiti in modo adeguato. Sebbene i rischi gestiti siano numerosi, vogliamo concentrarci su quelli in cui il rischio che accettiamo (implicitamente o esplicitamente) è troppo elevato in assenza di un beneficio elevato corrispondente. È grazie a questa strategia che Atlassian rimane snella e agile in un ambiente complesso in cui la gestione dei rischi e del time-to-market svolgono un ruolo cruciale nello sviluppo dell'azienda.