Newsroom

Debata Liderów ERM: Jak zrozumieć i oszacować ryzyka? Podsumowanie dyskusji.

12 kwietnia 2023 roku odbyła się debata „Ryzykowna Gra: Jak zdobyć przewagę dzięki zarządzaniu ryzykiem?”. Zaprosiliśmy na nią Liderów ERM, którzy podzielili się swoim doświadczeniem i wiedzą o tym, jak dobrze zaprojektować i zarządzać systemem ERM. Oto podsumowanie i wnioski z pierwszego panelu dyskusyjnego pt. „Analiza i Ocena Ryzyka: Jak zrozumieć i oszacować ryzyka?”.

Debata Liderów ERM to jedyne takie wydarzenie w Polsce, na którym spotykają się praktycy i dzielą się unikalną wiedzą, niedostępną gdziekolwiek indziej. Zapraszamy na nią ekspertów, którzy reprezentują różne sektory gospodarki, różne podejścia i praktyki. Są to osoby, które brały udział w budowaniu innowacyjnych ERM, za co zostały wyróżnione tytułem Lidera ERM, a teraz zajmują się utrzymaniem i doskonaleniem tego obszaru. Kim są Liderzy ERM, dowiesz się tu: Liderzy ERM

Debatę „Ryzykowna Gra: Jak zdobyć przewagę dzięki zarządzaniu ryzykiem?” podzieliśmy na trzy panele dyskusyjne trwające po 45 minut, podczas których eksperci wypowiadali się o tym, jak m.in. rozumieć i szacować ryzyko oraz jak wdrożyć technologie dla skuteczniejszego zarządzania. Prowadzona była na żywo on-line przez wyznaczonego moderatora, a udział w niej był bezpłatny. Debata odbyła się 12 kwietnia 2023 roku.

Poniżej prezentujemy relację i wnioski z 1. panelu dyskusyjnego „Analiza i Ocena Ryzyka: Jak zrozumieć i oszacować ryzyka?”.

Poznaj ekspertów

W panelu dyskusyjnym udział wzięli:

  • Adam Grys – Chief Risk Officer w jednej z europejskich instytucji pieniądza elektronicznego
  • Agnieszka Gębicka – audytor ISO 27001; Inspektor Danych Osobowych w ZUS, kieruje zespołem IOD w ZUS
  • Arkadiusz Jurkiewicz – zastępca dyrektora i kierownik działu Departamentu Bezpieczeństwa i Ryzyka w Krajowej Izbie Rozliczeniowej SA
  • Adriana Dziatkowiak – moderator dyskusji

Wstęp

Świat dynamicznie się zmienia, a organizacje muszą się dostosowywać do tych zmian nie tylko po to, aby przetrwać, ale by utrzymać przewagę konkurencyjną i móc dalej się rozwijać. Dziś pojawiły się nowe ryzyka, dotychczas nam nieznane, które należy zidentyfikować i przeanalizować. Nie pomaga fakt, że ryzyka, które dotąd były nam doskonale znane, zmieniły swój charakter, a tym samym zmienił się ich sposób oddziaływania na organizację. Żeby ograniczać wpływ nowych i starych ryzyk, organizacje muszą stosować najlepsze praktyki zarządzania ryzykiem. Dlatego też poruszanie tematu przez ekspertów z dziedziny ryzyka jest bardzo ważne, aby pokazać najlepsze praktyki i inspirować innych do wprowadzenia ich we własnych organizacjach.

Czym jest ryzyko?

Spotkanie rozpoczęło się od pytania, czym jest ryzyko. Wprawdzie istnieje definicja słownikowa ryzyka, ale podejście do niego może być różne w zależności od specyfiki organizacji. Jak do ryzyka podchodzą firmy, w których pracują nasi goście?

Arkadiusz Jurkiewicz podkreślił, że ważna jest działalność i profil organizacji. KRI jest instytucją rynków finansowych, operuje i zarządza usługami płatniczymi, dlatego priorytetem jest utrzymanie infrastruktury teleinformatycznej. Najważniejsze ryzyka związane są z przerwaniem ciągłości jej działania, a jako zagrożenia wskazuje się tu incydenty celowe oraz awaryjne. Najbardziej aktualne są ryzyka związane z cyberzagrożeniem – pojawiają się nowe ataki, celowe i skoordynowane, przez co muszą pojawić się nowe mechanizmy chroniące. Ekspert zaznaczył, że w KRI na ryzyko patrzy się przez pryzmat zagrożeń – jak wyglądają same zagrożenia w ramach konkretnych ryzyk, jest bardziej skomplikowanym procesem.

Są też inne ryzyka występujące w różnych instytucjach, jak prawno-regulacyjne(…), ryzyka inwestycyjne, ryzyka płynnościowe, ryzyka kontaktów z uczestnikami systemów rozliczeń oraz ryzyka związane z dostawcami, którzy dostarczają usługi niezbędne dla zachowania ciągłości działania – dodał Jurkiewicz.

W Zakładzie Ubezpieczeń Społecznych podejście do ryzyka jest podobne. Agnieszka Gębicka zaznaczyła, że w przypadku ryzyk wynikających z RODO ważna była zmiana perspektywy – to nie organizacja jest kluczowa, tylko prawa osób, których dane ryzyko dotyczy. Co więcej, naruszenie ochrony danych osobowych obejmuje nie tylko klientów, ale i pracowników. Zmiana myślenia i wytłumaczenie tego procesu w samej organizacji może być trudnym zadaniem.

Ważną kwestią jest tu patrzenie na ryzyko pod kątem incydentów bądź naruszeń ochrony danych osobowych, co pokazuje, które obszary muszą być bardziej zaopiekowane i zabezpieczone mechanizmami kontrolnymi. Obojętnie, czy dotyczy to aplikacji, projektu czy kontaktu z dostawcami – podkreśliła Gębicka.

Jak przekonać pracowników, że zarządzanie ryzykiem w organizacji jest ważne?

Następnie nasi rozmówcy przeszli do problemu pracowników, którzy nie zdają sobie sprawy z ważności zarządzania ryzykiem. Okazuje się, że sami właściciele ryzyk mogą nie wskazywać ryzyk, ponieważ nie są przekonani co do tzw. wartości dodanej zarządzania ryzykiem. Jak zaangażować pracowników w proces?

Adam Grys wskazał, że kluczowa jest tu komunikacja i dotarcie do osób na wszystkich szczeblach organizacji. Dobrym sposobem są tu szkolenia, w tym szkolenia dla nowych osób, cykliczne dla wszystkich pracowników oraz szkolenia dla kierowników. Można budować świadomość poprzez warsztaty i inne atrakcyjne formy spotkań, które zaangażują uczestników. Podkreślił, że bez świadomości, czym jest ryzyko, jakie ma konsekwencje i na czym polega właścicielstwo ryzyka, ciężko mówić o skutecznym systemie zarządzania ryzykiem.

Często takie spotkania zaczyna się od prostych dyskusji i przykładów, aby pokazać, w jaki sposób unikanie tematu może prowadzić do danych konsekwencji. Analizujemy konkretny problem, czyli mówimy o zagrożeniu, wskazujemy, jakie są ryzyka i staramy się je nazwać – dodał Grys.

Ciekawą sytuację opisał Arkadiusz Jurkiewicz. Otóż w jego organizacji przeprowadzono grę sztabową, podczas której przedstawiono jeden scenariusz. Uczestnicy stwierdzili, że dana sytuacja jest nieprawdopodobna i nie może się wydarzyć, a jak już, to ze względu na inną strukturę i plany działania, może mieć niski wpływ na organizację. Tymczasem w zarządzaniu ryzykiem przedstawia się sytuacje nieprawdopodobne, bo inaczej mielibyśmy do czynienia z zarządzaniem awaryjnym, a nie prewencyjnym. Chodzi o to, aby zmienić sposób myślenia i zmusić do działania, bez względu na brak wiary w pojawienie się danej sytuacji.

Wydawałoby się, że przekonać nieprzekonanych o przydatności analizy ryzyka w przypadku ochrony danych osobowych będzie łatwiej ze względu na to, że jest to podyktowane prawem. Jak się okazuje, nawet jeśli organizacja dysponuje odpowiednimi procedurami oraz środkami organizacyjnymi i technicznymi, mogą pojawić się wątpliwości co do wskazanych przez IOD ryzyk. Jak temu zaradzić? Agnieszka Gębicka zaleca, by sięgnąć po decyzje organów nadzorczych lub poprosić o pomoc firmę doradczą. Firma doradcza przyjrzy się z zewnątrz i wskaże nie tylko przeszkody, ale też rozwiązania. Ma też niezbędne narzędzia i sposoby, aby przekonać o ryzyku i wskazać najlepsze metody zabezpieczające.

Co więcej, dobrze, aby osoba w organizacji odpowiedzialna za obszar ryzyka sama wskazywała nie tylko problemy, ale też rozwiązania, aby nie być postrzeganą jako „hamulcowa” tylko jako osoba odpowiedzialna i pomocna. Do tego potrzebna jest świadomość i dojrzałość organizacyjna, którą buduje się komunikacją i współpracą między pracownikami.

Kto jest odpowiedzialny za ryzyko w organizacji?

Adam Grys wskazał na jeszcze jeden problem. Jednym z mitów jest, że to zespół zarządzania ryzykiem lub sam menadżer obszaru ryzyka jest jednocześnie właścicielem ryzyk. Tymczasem nawet jeśli dostarczymy narzędzia i zbudujemy system, który w systematyczny sposób pozwoli analizować i oceniać ryzyko, bez wskazania konkretnego właściciela procesu (osoby) i określenia jego roli zarządzanie ryzykiem nie będzie działać. To z kolei doprowadzi do rozproszenia odpowiedzialności w organizacji. Tu ważna jest tzw. wycena ryzyka (opłacalność) i wskazanie właścicielowi, że czas włożony w budowanie ERM to dobra inwestycja, która pozwoli unikać incydentów i sprawniej radzić sobie w sytuacji podbramkowej.

Reasumując, w ramach zarządzania ryzykiem należy stworzyć zespół i jasno określić role i odpowiedzialności uczestników procesów, zarówno rolę inspektora, kontrolerów, jak i osób od zarządzania ryzykiem. Role te nie powinny budzić żadnych wątpliwości. Kluczowe jest tu budowanie relacji oraz świadomości, ponieważ wtedy pracownicy zrozumieją zagrożenia i sami będą wychodzić z inicjatywami.

Podsumowanie debaty

Na koniec debaty nasi eksperci powiedzieli, z czego najbardziej są dumni w swojej pracy. Wspólnym punktem było tu zaangażowanie pracowników i współpraca na różnych szczeblach organizacji. Jak to osiągnąć? Tutaj eksperci wskazali, że było to możliwe dzięki zbudowaniu świadomości i dojrzałości organizacyjnej. Pracownicy zrozumieli, że jedno z pozoru niezwiązane z danym obszarem ryzyko może wpłynąć na inny dział, np. zagrożenie w strukturze IT może wpłynąć na obszar księgowy.

Ważne jest przekonanie kierownictwa i samych pracowników, że zarządzanie ryzykiem wymaga ciągłego doskonalenia – nie tylko pod kątem nowych regulacji, ale też na bazie doświadczeń (swoich i innych) oraz większej specjalizacji. Ciągle pojawiają się nowe elementy, które należy odpowiednio zabezpieczyć, przez co pracownicy mogą czuć się przytłoczeni lub niechętni. Należy przełamywać ten opór i wskazywać, z czego to wynika, jaki ma wpływ na organizację i jej pracę. Jest to na tyle ważne, że często opór przed zmianami jest w rejestrze ryzyk definiowane jako właśnie ryzyko.

Najważniejsze wnioski z debaty:

  • Podejście do ryzyka i jego rozumienie zależy od działalności i specyfiki organizacji.
  • Budowę systemu ERM należy zacząć od zbudowania relacji, bo to przyspiesza cały proces.
  • Należy jasno zdefiniować zasady zarządzania ryzykiem w organizacji i zaangażować osoby ze wszystkich szczebli organizacji.
  • Bardzo ważna jest komunikacja i podkreślenie roli właściciela ryzyk.
  • Priorytetem jest budowanie świadomości wśród wszystkich uczestników procesu, w czym pomogą regularne szkolenia i warsztaty.
  • System ERM powinien być ciągle rozwijany i udoskonalany.

Obejrzyj nagranie:

Przeczytaj inne newsy

DEBATA

Liderów ERM

RYZYKOWNA GRA