Następnie nasi rozmówcy przeszli do problemu pracowników, którzy nie zdają sobie sprawy z ważności zarządzania ryzykiem. Okazuje się, że sami właściciele ryzyk mogą nie wskazywać ryzyk, ponieważ nie są przekonani co do tzw. wartości dodanej zarządzania ryzykiem. Jak zaangażować pracowników w proces?

Adam Grys wskazał, że kluczowa jest tu komunikacja i dotarcie do osób na wszystkich szczeblach organizacji. Dobrym sposobem są tu szkolenia, w tym szkolenia dla nowych osób, cykliczne dla wszystkich pracowników oraz szkolenia dla kierowników. Można budować świadomość poprzez warsztaty i inne atrakcyjne formy spotkań, które zaangażują uczestników. Podkreślił, że bez świadomości, czym jest ryzyko, jakie ma konsekwencje i na czym polega właścicielstwo ryzyka, ciężko mówić o skutecznym systemie zarządzania ryzykiem.

– Często takie spotkania zaczyna się od prostych dyskusji i przykładów, aby pokazać, w jaki sposób unikanie tematu może prowadzić do danych konsekwencji. Analizujemy konkretny problem, czyli mówimy o zagrożeniu, wskazujemy, jakie są ryzyka i staramy się je nazwać – dodał Grys.

Ciekawą sytuację opisał Arkadiusz Jurkiewicz. Otóż w jego organizacji przeprowadzono grę sztabową, podczas której przedstawiono jeden scenariusz. Uczestnicy stwierdzili, że dana sytuacja jest nieprawdopodobna i nie może się wydarzyć, a jak już, to ze względu na inną strukturę i plany działania, może mieć niski wpływ na organizację. Tymczasem w zarządzaniu ryzykiem przedstawia się sytuacje nieprawdopodobne, bo inaczej mielibyśmy do czynienia z zarządzaniem awaryjnym, a nie prewencyjnym. Chodzi o to, aby zmienić sposób myślenia i zmusić do działania, bez względu na brak wiary w pojawienie się danej sytuacji.

Wydawałoby się, że przekonać nieprzekonanych o przydatności analizy ryzyka w przypadku ochrony danych osobowych będzie łatwiej ze względu na to, że jest to podyktowane prawem. Jak się okazuje, nawet jeśli organizacja dysponuje odpowiednimi procedurami oraz środkami organizacyjnymi i technicznymi, mogą pojawić się wątpliwości co do wskazanych przez IOD ryzyk. Jak temu zaradzić? Agnieszka Gębicka zaleca, by sięgnąć po decyzje organów nadzorczych lub poprosić o pomoc firmę doradczą. Firma doradcza przyjrzy się z zewnątrz i wskaże nie tylko przeszkody, ale też rozwiązania. Ma też niezbędne narzędzia i sposoby, aby przekonać o ryzyku i wskazać najlepsze metody zabezpieczające.

Co więcej, dobrze, aby osoba w organizacji odpowiedzialna za obszar ryzyka sama wskazywała nie tylko problemy, ale też rozwiązania, aby nie być postrzeganą jako „hamulcowa” tylko jako osoba odpowiedzialna i pomocna. Do tego potrzebna jest świadomość i dojrzałość organizacyjna, którą buduje się komunikacją i współpracą między pracownikami.

Adam Grys wskazał na jeszcze jeden problem. Jednym z mitów jest, że to zespół zarządzania ryzykiem lub sam menadżer obszaru ryzyka jest jednocześnie właścicielem ryzyk. Tymczasem nawet jeśli dostarczymy narzędzia i zbudujemy system, który w systematyczny sposób pozwoli analizować i oceniać ryzyko, bez wskazania konkretnego właściciela procesu (osoby) i określenia jego roli zarządzanie ryzykiem nie będzie działać. To z kolei doprowadzi do rozproszenia odpowiedzialności w organizacji. Tu ważna jest tzw. wycena ryzyka (opłacalność) i wskazanie właścicielowi, że czas włożony w budowanie ERM to dobra inwestycja, która pozwoli unikać incydentów i sprawniej radzić sobie w sytuacji podbramkowej.

Reasumując, w ramach zarządzania ryzykiem należy stworzyć zespół i jasno określić role i odpowiedzialności uczestników procesów, zarówno rolę inspektora, kontrolerów, jak i osób od zarządzania ryzykiem. Role te nie powinny budzić żadnych wątpliwości. Kluczowe jest tu budowanie relacji oraz świadomości, ponieważ wtedy pracownicy zrozumieją zagrożenia i sami będą wychodzić z inicjatywami.

Na koniec debaty nasi eksperci powiedzieli, z czego najbardziej są dumni w swojej pracy. Wspólnym punktem było tu zaangażowanie pracowników i współpraca na różnych szczeblach organizacji. Jak to osiągnąć? Tutaj eksperci wskazali, że było to możliwe dzięki zbudowaniu świadomości i dojrzałości organizacyjnej. Pracownicy zrozumieli, że jedno z pozoru niezwiązane z danym obszarem ryzyko może wpłynąć na inny dział, np. zagrożenie w strukturze IT może wpłynąć na obszar księgowy.

Ważne jest przekonanie kierownictwa i samych pracowników, że zarządzanie ryzykiem wymaga ciągłego doskonalenia – nie tylko pod kątem nowych regulacji, ale też na bazie doświadczeń (swoich i innych) oraz większej specjalizacji. Ciągle pojawiają się nowe elementy, które należy odpowiednio zabezpieczyć, przez co pracownicy mogą czuć się przytłoczeni lub niechętni. Należy przełamywać ten opór i wskazywać, z czego to wynika, jaki ma wpływ na organizację i jej pracę. Jest to na tyle ważne, że często opór przed zmianami jest w rejestrze ryzyk definiowane jako właśnie ryzyko.

• Podejście do ryzyka i jego rozumienie zależy od działalności i specyfiki organizacji.
• Budowę systemu ERM należy zacząć od zbudowania relacji, bo to przyspiesza cały proces.
• Należy jasno zdefiniować zasady zarządzania ryzykiem w organizacji i zaangażować osoby ze wszystkich szczebli organizacji.
• Bardzo ważna jest komunikacja i podkreślenie roli właściciela ryzyk.
• Priorytetem jest budowanie świadomości wśród wszystkich uczestników procesu, w czym pomogą regularne szkolenia i warsztaty.
• System ERM powinien być ciągle rozwijany i udoskonalany.

Następnie przeszliśmy do pytania, czy istnieje konieczność angażowania najwyższego kierownictwa w proces promowania i poszerzania świadomości co do zarządzania ryzykiem w organizacji. Tutaj nasze rozmówczynie były zgodne: rola kierownictwa jest bardzo ważna. Przy czym nie powinna sprowadzać się tylko do odbioru raportów, ale do aktywnego udziału. Zgodnie z zasadą, że przykład idzie z góry, cały proces powinien być promowany i wspierany odgórnie, ponieważ to wpływa na podejście pracowników na niższych szczeblach. Postawa zarządu decyduje o skuteczności zarządzania ryzykiem w organizacji.

Osoba odpowiedzialna za ryzyko powinna stale współpracować z kierownictwem z dwóch powodów: zarząd będzie mieć wiedzę o ryzykach występujących we wszystkich obszarach, nawet w tych mniejszych, a osoby zajmujące się ryzykiem zyskają wymagane wsparcie, chociażby w kontekście zapewnienia zasobów do np. analizy ryzyka. Musimy pamiętać, że w przypadku zarządzania ryzykiem może pojawić się potrzeba zakupu oprogramowania czy skorzystania z usług zewnętrznej firmy doradczej – bez wsparcia zarządu oraz budżetu nie będzie to możliwe.

– Jeśli zarząd nie będzie zaangażowany lub próbuje zepchnąć kwestie ryzyk na bok, to powstaje ryzyko, że nasze działania nie zostaną zaimplementowane w taki sposób, w jaki chcemy; nie da zysków w postaci zmniejszenia liczby incydentów lub naruszeń. Niemówienie o ryzyku nie jest zarządzaniem ryzykiem. Wsparcie i możliwość wypowiedzenia się o ryzyku przed zarządem lub wyższym kierownictwem jest ważne. Co więcej, ich też trzeba stale szkolić z ryzyka – podsumowała Agnieszka Gębicka.

Nasze ekspertki wdrażały ERM w organizacjach, dlatego zapytaliśmy je, czy napotkały po drodze jakieś trudności i wyzwania. Szczególnie interesował nas temat pracowników i ich nastawienia co do wprowadzanych zmian. Okazuje się, że w każdym przypadku podstawowym problemem był brak świadomości, a konkretnie przekonanie i postawa, że temat „mnie nie dotyczy”. Tymczasem zarządzanie ryzykiem dotyczy każdego, nawet pracowników na najniższym szczeblu. Jednak to niejedyne trudności. Przy projektowaniu, wdrażaniu i rozwijaniu ERM można spotkać wiele barier o różnym charakterze i nasileniu. Justyna Mizera sklasyfikowała je kolejno jako bariery mentalne, bariery fizyczne i bariery techniczne.

– Jeśli chodzi o barierę mentalną, to wydaje mi się, że najsilniejsza będzie na samym początku, bo tu będzie dużo oporu i obaw, że pracownicy muszą nauczyć się czegoś nowego, znaleźć czas itd. Powracamy do tego, jak ważne są szkolenia: im większa jest świadomość, tym wyższa kultura zarządzania ryzykiem, a bariera mentalna niższa – dodała.

Na dalszym etapie mogą pojawić się obawy właścicieli ryzyk przed posiadaniem w portfelu ryzyk nieakceptowalnych. Mogą tu działać nawet na szkodę całego procesu zarządzania ryzykiem i np. obniżać wartość danego ryzyka. Powrócił tu temat roli kierownictwa, ponieważ ich zaangażowanie, otwartość i szacunek może przyczynić się do mniejszych obaw, a nawet mniejszego strachu przed posiadaniem ryzyk i przedstawieniem ich wyżej. Ważna jest też świadomość, że właściciele ryzyk (i inni pracownicy) mogą w każdej chwili uzyskać wsparcie menadżerów ryzyka, np. w sprawie analiz, ocen czy nawet organizacji warsztatów.

Barierę fizyczną i techniczną należy rozumieć w sposób dosłowny. Przykładem może być rozproszona lub rozbudowana struktura organizacyjna, co może utrudniać nie tylko wdrożenie ERM, ale całą komunikację. Tutaj dobrze korzystać z narzędzi, w tym on-line do komunikacji i zarządzania ryzykiem, które powinny być łatwe w nauce i dalszej obsłudze. Co warto podkreślić, zdaniem naszych rozmówczyń nic nie zastąpi tradycyjnych spotkań i warsztatów „twarzą w twarz”.

Na koniec naszej debaty poruszyliśmy temat, czy są jakieś obszary lub działania, na które należy zwrócić szczególną uwagę przy projektowaniu i wdrożeniu ERM.

Z poprzedniej dyskusji wynikło, że przy budowaniu świadomości nacisk należy położyć przede wszystkim na korzyści, jakie niesie ze sobą zarządzanie ryzykiem. Należy również przedstawić zarządzanie ryzykiem jako rozwiązanie, a nie problem. Równie ważne jest wskazanie, że to nie jest obszar oderwany od innych – zarządzanie ryzykiem wpływa też na inne dziedziny i sfery zarządzania w organizacji. Dlatego tak ważne jest, aby po wdrożeniu ERM dalej nad nim pracować, rozwijać, dostosowywać i dalej aktywizować pracowników. Pytanie, jak to zrobić?

Tutaj wkracza podejście i rola menadżera ryzyka i jego zespołu, który powinien cały czas czuwać i stymulować aktywność pracowników i zarządu. Powinien wskazywać problem, rozwiązanie i potrzebę decyzyjności, a także dbać o swoją aktywność, bo to ona determinuje aktywność innych. Do tego potrzebna jest silna pozycja oraz dobry kontakt z zarządem, bo tylko wtedy będzie to dobrze funkcjonowało.

Ważny jest również inny aspekt, a mianowicie podejście małymi krokami, na co zwróciła uwagę Agnieszka Gębicka:

– Nie możemy robić wszystkiego od razu i na szybko; implementować tak ogromnego systemu, który będzie mocno sformalizowany, zautomatyzowany i skomplikowany.(…) Zalecam podejście mocno praktyczne i mocno wspierające. Takie podejście, które uwzględnia wsparcie najwyższego kierownictwa i zarządu, w tym pokazanie odgórnie, że zarządzanie ryzykiem daje nam korzyści. Często też pokazuję w organizacji, do jakich skutków prowadzi brak zarządzania ryzykiem, bo to można szybko zweryfikować na podstawie przykładów z rynku – w przypadku RODO mamy tego naprawdę dużo – podsumowała.

Z przeprowadzonej dyskusji wyłonił się jeden temat przewodni, a mianowicie budowanie świadomości jest jednym z kluczowych budulców systemu zarządzania ryzykiem. Wiedza o tym, jak zarządza się ryzykiem w organizacji, czy jest metodyka i stosuje się ją w praktyce, pomaga budować sprawny i efektywny system. Należy też pamiętać, że im wyższa jest świadomość co do ryzyka, tym większa jest szansa na uniknięcie zagrożeń. Co więcej, zarządzanie ryzykiem wspiera również proces podejmowania decyzji strategicznych i biznesowych, zatem daje realne szanse nie tylko na budowanie odporności organizacji, ale też jej przewagi rynkowej.

Pracownik musi wiedzieć, jakie realne skutki przyniesie jego zaangażowanie w zarządzanie ryzykiem. Pomoże tu konsekwentna praca menadżera ryzyk, szkolenia i warsztaty, które pozwolą zaznajomić pracowników z procesem krok po kroku. Mocny nacisk należy położyć na komunikację, transparentność oraz wsparcie. W podkreśleniu ogromnej roli zarządzania ryzykiem pomogą międzynarodowe normy jak ISO 9001, 27001, 31000 oraz regulacje prawne jak RODO i NIS2.

• Kluczowa jest świadomość pracowników, co to jest ryzyko i jak nim zarządzać; jakie realne skutki przyniesie ich zaangażowanie.
• Budowanie świadomości wymaga codziennej, konsekwentnej pracy, krok po kroku.
• Budowę systemu ERM należy zacząć od zaangażowania pracowników z każdego szczebla organizacji.
• Kierownictwo powinno być zaangażowane w proces zarządzania ryzykiem od samego początku.
• Bardzo ważna jest komunikacja i wzajemny szacunek.
• Właściciele ryzyk powinni otrzymywać realne wsparcie.
• W przełamywaniu barier pomogą regularne szkolenia i warsztaty.
• W budowaniu świadomości ryzyka i zagrożeń pomogą normy ISO i inne regulacje jak RODO, NIS2.

O zarządzaniu ryzykiem nie można mówić w oderwaniu od planowania. Mamy plany postępowania z ryzykiem, rozmaite procedury, ustalone ścieżki zgłaszania i raportowania ryzyk… Jak planowanie odnosi się do wdrażania nowych technologii?

Zdaniem Łukasza Żelaznowskiego bez właściwego zaplanowania istnieje duże ryzyko niepowodzenia, nie tylko na etapie wdrożenia, ale też późniejszego korzystania z systemu. Podzieliłby proces wdrożenia na trzy etapy, a mianowicie:

• ETAP 1 – przegląd regulacji i dokumentów obowiązujących w organizacji. Dzięki temu można poznać, jak ona funkcjonuje, co działa lub nie działa, a co wymaga uzupełnienia, co pozwoli zbudować zaplecze do kolejnego etapu.
• ETAP 2 – wdrożenie informatyczne. Obejmuje nie tylko implementację narzędzia, ale też jego personalizację i przygotowanie, np. wdrożenie karty ryzyk, karty postępowania z ryzykiem, ustawienie monitów i raportów.
• ETAP 3 – budowa świadomości wśród pracowników. Technologia będzie się sprawdzać tylko wówczas, gdy ludzie będą wiedzieć, jak z niej korzystać. Ważne są szkolenia, warsztaty i materiały szkoleniowe, a także opieka w późniejszym cyklu życia produktu.

Agnieszka Jarmundowicz-Kopczyńska zgodziła się tu z przedmówcą i jednocześnie podkreśliła, że aspekt ludzki przy wdrażaniu projektów informatycznych w organizacji jest na tyle istotny, że powinien być najważniejszą częścią procesu wdrożenia. Należy przekonać ludzi, że informatyzacja przyniesie im wymierną korzyść, nie tylko w postaci ułatwienia pracy, ale też jej optymalizacji i poprawy wyników.

Jako ciekawostkę dodała, że w PFRON wdrożono zarządzanie ryzykiem z wykorzystaniem instrumentu strategicznego The Balanced Scorecard. Przyjęto cztery perspektywy i jeśli wystąpi ryzyko w którejkolwiek z nich, to uruchamiają się działania optymalizacyjne, np. poprzez komunikaty czy plany postępowania z ryzykami nieakceptowalnymi. To ułatwiło procesowe podejście do ryzyka; pomogła również metodyka, która bazowała na procedurach, które już funkcjonowały w organizacji.

Nawiązanie do metodyki przez naszego gościa narodziło kolejne pytanie. Zapytaliśmy, czy podczas wdrażania nowych narzędzi były one dopasowywane do istniejącej metodyki, czy może następowały pewne modyfikacje?

W przypadku PFRON wdrożono przyjętą metodykę, a samo narzędzie dopasowano do organizacji. Ekspertka zaznaczyła, że wprawdzie narzędzie miało również inne funkcje, które nie zostały zaadaptowane, ale wskazały, jakie obszary warto dodefiniować. Podkreśliła, że ważna jest tu elastyczność narzędzia i możliwość personalizacji, ponieważ każda organizacja reprezentuje inne podejście do ryzyka, dlatego w pierwszej kolejności należy skupić się na własnej metodyce i odpowiednio ją wdrożyć w narzędzie.

Paweł Zach ma tu inne doświadczenia, co bierze się z tego, że system był wdrażany w NEWAG, czyli spółce, która bazuje na przetargach. Tutaj skorzystano z tzw. rozwiązania pudełkowego.

– Każdy przetarg to tak naprawdę kolejny projekt realizowany w spółce. Sukces projektu jest efektem działania poszczególnych procesów. Wydaje mi się, że można szukać rozwiązań pudełkowych, ale trzeba wziąć pod uwagę kontekst organizacji: jak ona funkcjonuje i jak realizuje poszczególne procesy. Tutaj ważna jest też świadomość właścicieli procesów i świadomość pracowników – podkreślił Zach.

Nasz gość dodał, że w wyborze narzędzia mogą pomóc wizyty referencyjne i spotkania z firmami, które już z danego rozwiązania korzystają. Co istotne, są to spotkania bez udziału producenta oprogramowania, zatem można otwarcie porozmawiać o tym, jak system sprawdza się w praktyce.

Nasi goście dość szeroko podczas całej debaty omawiali wyzwania, z jakimi musieli się mierzyć podczas wdrożenia systemu ERM. Dopytaliśmy naszych ekspertów, czy są jeszcze jakieś kwestie, które warto uwzględnić przy wdrożeniu.

Zwrócono tutaj uwagę, że jednym z zagrożeń jest natłok informacji, w tym z mediów i ze szczebli zarządczych. Łukasz Żelaznowski podkreślił, że informacja jest aktywem, który może przesądzić o przewadze informacyjnej, dlatego odfiltrowanie informacji istotnej dla organizacji od szumu może przynieść wymierną korzyść.

Oprócz tego warto obserwować świat zewnętrzny, zwłaszcza w kontekście rozwoju technologii. Agnieszka Jarmundowicz-Kopczyńska zwróciła uwagę na trzy dziedziny: automatyzacja i robotyzacja procesów, sztuczna inteligencja i chmura obliczeniowa. Jej zdaniem to wyzwania, a jednocześnie szanse, ponieważ mogą wiązać się z koniecznością zmian w systemie ERM. Podkreśliła, że należy obserwować świat zewnętrzny, by nie zostać daleko w tyle, a także mieć na uwadze, że system będzie wymagał udoskonalenia, a nawet przeprojektowania w przyszłości.

Na koniec naszej debaty nasi eksperci wypowiedzieli się na temat, czy warto w ogóle wdrażać i informatyzować system zarządzania ryzykiem. Tutaj byli zgodni, że tak.

Przede wszystkim to narzędzie, które wykorzystuje się do szybkiego przetwarzania informacji, analizy i raportowania. Pomaga również w przypadku, kiedy mamy inne systemy, które chcemy (i możemy technicznie) zintegrować i usprawnić. Można wprawdzie dalej obsługiwać procesy zarządzania ryzykiem ręcznie, tworzyć raporty, które się na siebie czasowo nakładają, jednak to może zająć nawet kilka tygodni, przez co część informacji może się zdezaktualizować. Dodatkowo raporty czy analizy mogą być obarczone błędem. Tym samym aspekt szybkości, dokładności i aktualności dostarczanych informacji jest tym, co narzędzie informatyczne zapewnia.

• Cyfryzacja zarządzania ryzykiem jest kluczowa, jeśli organizacji zależy na tym, aby działać szybko i efektywnie.
• Należy zadbać o świadomość i wiedzę pracowników, po co wdrażane jest narzędzie IT i jak może im pomóc w codziennej pracy.
• Informatyzację należy rozpocząć od analizy strategii, zasobów i metodyki przyjętej w organizacji.
• Ważny jest dialog na różnych szczeblach organizacji oraz wsparcie kierownictwa.
• Warto wybrać narzędzie, które można dopasować do funkcjonującej metodyki.
• Narzędzie powinno być łatwe w obsłudze i przyspieszać procesowe zarządzanie ryzykiem.
• Należy obserwować rozwój technologii oraz mieć świadomość, że system ERM może wymagać przeprojektowania w przyszłości.