リスク管理プログラム

これは何か?

「リスク」という言葉を考えると、ほとんどの場合は「悪い方向に進む可能性」に関連付けられます。これはおおよそ正しく、進化的な認知バイアスでも定着していますが、その定義の一部を示すものでしかありません。ISO31000 によると、リスクとは「目的に対する不確実性による影響」です。このため、リスクについて語る場合は、危険性と機会の両面をもたらす不確実性として考える必要があります。

それでは、リスクを考慮するのはなぜでしょうか。企業やお役所仕事における慣例だからでしょうか。この答えを探るには、リスクのもう一方の面には「信頼」があるということを認識する必要があります。このため、リスク管理プログラムに注力することは、最終的に次のような信頼性を高めることになるのです。

• 収益につながるアトラシアンの製品、サービス、企業の動向などに対する顧客からの信頼
• 規制や市場コストの削減につながる、規制当局によるアトラシアンへのルール順守の期待
• 士気の向上と離職率の減少をもたらす、アトラシアンに対する社員の信頼

ボストンコンサルティンググループの 2013 年の調査によると、魅力のあるブランドとして最高の品質を誇るものとして顧客からの信頼を得ています。

リスクを受け入れることは当たり前のことであり、リスクとそのリスクを受け入れることで得られるメリットは常に評価されています。企業のリスクプロファイルには、財務、マーケティング、法務/規制、詐欺、セキュリティ、運用などさまざまなリスクタイプがあり、バランスをとる必要があります。エンタープライズリスク管理 (ERM) プログラムは、

1. リスクを特定して分析すること、
2. どのような措置をとるべきかを決定すること、
3. その措置を運用可能にすること、および
4. そのような措置の効果をレポートすることを目的としています。

なぜ実施するのか?

不明確さ (管理リスク) を排除して信頼を得るには、2 つの基本原則、オープンであること、および予測可能であることを遵守します。理念、実践、手続きの透過性を保つということは、顧客が実際に何を得られるかを正確に理解できるということです。予測可能であるということは、アトラシアンが信頼できるパートナーであることを証明します。アトラシアンの定期監査の背後には、このような理由があるのです。

アトラシアンでのリスク管理には、次の 2 つの大きな目的があります。

• 管理できる範囲外のものを最小限に抑えること。自分たちの手に余るものがいつ生じても不思議ではありません。重要なのは、その対処のために備えているかどうかです。他のことに備えている間に予期せぬ出来事が発生する、といったリスクは最小限に抑えたいものです。
• 選択したものに伴うリスクをとるための余裕を持たせること。組織はさまざまなリスクを抱えており、さらにリスクが増えると、そのリスクが大きなチャンスを伴っていたとしても鋭気がくじかれるものです。しかし、このような元来あるリスクを管理できていれば、新しいリスクを受け入れることがそれほどマイナスにはならず、検討する価値のあるものになります。

企業にとってリスクとは負債のようなもの、つまり、許容範囲に限りのある企業資産の一種と見なすとわかりやすいでしょう。最大の ROI が得られるエリアに支出を集中することが望ましいように、バランスの取れた企業リスクポートフォリオでは、最大の「リターン」つまりメリットを得ることを目標とします。たとえば、クラウド運用では、インシデントが増加し、顧客の不満が大きくなる可能性があるため、リスクは高くなり、メリットはそれほど大きくありません。一方、自社製品の新規利用を試すことができれば、大きなメリットが得られます。このため、前者を最小限に抑えれば、後者を増加させることができます。当然、リスクをゼロにするための労力には非常にコストがかかり (ほとんどはほぼ不可能)、投資する価値はほとんどありません。99.9% 以上になると、ほぼ実現不可能になります。これが、リスクポートフォリオのバランスをとることのもう 1 つの要素です。

機能本位の ERM プログラムの利用とは、次を意味します。

• 適切な商慣行と見なされる。これは、アトラシアンの主要リスク、およびそれに対してどうすべきかを総合的な視点で見たものです。このようなリスクに対して、想定していた方法で対処できていることを定期的に確認することができます。骨折したときは医師の診断を受け、回復まで安静にするように、ERM はエグゼクティブが抱えるリスク、およびリスク管理戦略の妥当性を暗黙的な視点から確認します。場合によっては、このプロセスで対処すべき新たなリスクが検出されることもあります。
• 現行および将来の法令遵守義務を果たす必要がある。アトラシアンはその認定資格によって顧客の信頼を得ることによって収益を増加し、営業での摩擦を抑えています。SOX、SOC 2、および ISO27001 では ERM プログラムを保持し、エグゼクティブと一緒に主要なリスク、リスク管理戦略を定期的に確認し、監督組織に報告することが求められています。規制の厳しい業界へ進出し、HIPAA、FedRAMP などの認定資格を得るとさらに信頼性が高まり、ERM プログラムも再評価されるようになります。
• 成熟度の証明。アトラシアンの成長に伴い、運用効率を高めて不明確さ (リスク) を排除するためには、実践しているプラクティスを公式化する必要があります。運用効率が向上すれば、規模の拡大も見込めます。つまり、想定外のものを減らし、実際の企業の健全性が、自分たちが肌で感じているとおりかどうかを確認する必要があるのです。

アトラシアンには、戦略的なエンタープライズリスクと日常的なリスクの両方をチームレベルで管理するリスクフレームワークがあります。このように企業のリスク管理プロセスを整えることによって、業務に沿った戦略的な意思決定が促進され、収益増加や業務で発生するマージンの低減が実現できるということが明白だからです。

どのように実施するのか?

エンタープライズリスク評価は年ごとに実施し、定期的に更新する総合的なプロセスです。分析には次のようなさまざまな入力事項があります。

• 特定のリスク評価には、さまざまなものがあります。詐欺や複数のセキュリティリスク評価、ビジネス影響評価 (BC/DR プログラムの一部)、各事業部門評価 (情報セキュリティやファイナンスなど) の各種運用リスク評価など
• インシデント、「終了したコール」、大規模/重要プロジェクトや成果物の事後分析など、認識されたリスク
• 社内および社外の監査および評価
• 景気低迷、業界の動向、競合などのグローバルなトレンドと市場に関する外部分析
• 顧客、ビジネスパートナー、サプライヤーからのフィードバックとデータ
• エンタープライズおよび個々の事業部のビジネス目標と OKR
• アトラシアン関係者との拡張インタビュー

集まったデータを集計し、分析してリスクを判断し、発生する見込み、影響、ベロシティ、およびリスク管理効果に基づいてスコアを付けます。必要に応じてビジネスリーダーに詳細と進捗の説明を求めます。

エンタープライズリスクの追跡においては、十分なメリットを伴わない高いリスクや、特に注意を必要とするエリアに注力します。

どのように全体像に位置付けられるか?

リスクおよびコンプライアンス機能でプログラムを実行し、データを収集して分析し、実行をレポートして追跡すると、最も重大なリスク、およびそれにどう対処すべきかについて、エグゼクティブチームの統合ビューに定期的なリスク評価レポートが表示されます。リスクおよびコンプライアンスチームは意見を述べ、アドバイスできますが、どのリスクを減らし、どのリスクを増やすか、また労力やリソースをどこに向けるべきかなど、最適なポートフォリオをどのようにするかは最終的にエグゼクティブチームが決定します。

このため、リスク評価レポートは通常、運用および戦略の計画に組み込まれ、投資とリソース割り当てに役立てられます。ただし、これは単独に機能するものではなく、内部監査の年間計画にも組み込まれます。ERM プログラムは、年度末のレポートにも適用できるようタイミングを合わせています。また、6 月と 12 月の年 2 回、監査委員会の要求に応じて新情報を提供しています。

これはビジネスと企業の健全性の別のチェックポイントとしても使用され、物事をどうとらえているかを証明または反証することにも活用されます。目標と目的に対する整合性の要点でもあります。

終わりに

リスクが適切に管理されていることについて、顧客から信頼を得る必要があります。さまざまなリスクを適切に管理する上で、特に大きなメリットを伴わないものを、暗黙的にも明示的にも受け入れるにはリスクが高すぎることに注目する必要があります。これが、リスクと市場投入までの時間の管理が企業の発展において重要な役割を果たす複雑な環境の中で、アトラシアンをリーンかつアジャイルに保つための戦略なのです。