Następnie nasi rozmówcy przeszli do problemu pracowników, którzy nie zdają sobie sprawy z ważności zarządzania ryzykiem. Okazuje się, że sami właściciele ryzyk mogą nie wskazywać ryzyk, ponieważ nie są przekonani co do tzw. wartości dodanej zarządzania ryzykiem. Jak zaangażować pracowników w proces?

Adam Grys wskazał, że kluczowa jest tu komunikacja i dotarcie do osób na wszystkich szczeblach organizacji. Dobrym sposobem są tu szkolenia, w tym szkolenia dla nowych osób, cykliczne dla wszystkich pracowników oraz szkolenia dla kierowników. Można budować świadomość poprzez warsztaty i inne atrakcyjne formy spotkań, które zaangażują uczestników. Podkreślił, że bez świadomości, czym jest ryzyko, jakie ma konsekwencje i na czym polega właścicielstwo ryzyka, ciężko mówić o skutecznym systemie zarządzania ryzykiem.

– Często takie spotkania zaczyna się od prostych dyskusji i przykładów, aby pokazać, w jaki sposób unikanie tematu może prowadzić do danych konsekwencji. Analizujemy konkretny problem, czyli mówimy o zagrożeniu, wskazujemy, jakie są ryzyka i staramy się je nazwać – dodał Grys.

Ciekawą sytuację opisał Arkadiusz Jurkiewicz. Otóż w jego organizacji przeprowadzono grę sztabową, podczas której przedstawiono jeden scenariusz. Uczestnicy stwierdzili, że dana sytuacja jest nieprawdopodobna i nie może się wydarzyć, a jak już, to ze względu na inną strukturę i plany działania, może mieć niski wpływ na organizację. Tymczasem w zarządzaniu ryzykiem przedstawia się sytuacje nieprawdopodobne, bo inaczej mielibyśmy do czynienia z zarządzaniem awaryjnym, a nie prewencyjnym. Chodzi o to, aby zmienić sposób myślenia i zmusić do działania, bez względu na brak wiary w pojawienie się danej sytuacji.

Wydawałoby się, że przekonać nieprzekonanych o przydatności analizy ryzyka w przypadku ochrony danych osobowych będzie łatwiej ze względu na to, że jest to podyktowane prawem. Jak się okazuje, nawet jeśli organizacja dysponuje odpowiednimi procedurami oraz środkami organizacyjnymi i technicznymi, mogą pojawić się wątpliwości co do wskazanych przez IOD ryzyk. Jak temu zaradzić? Agnieszka Gębicka zaleca, by sięgnąć po decyzje organów nadzorczych lub poprosić o pomoc firmę doradczą. Firma doradcza przyjrzy się z zewnątrz i wskaże nie tylko przeszkody, ale też rozwiązania. Ma też niezbędne narzędzia i sposoby, aby przekonać o ryzyku i wskazać najlepsze metody zabezpieczające.

Co więcej, dobrze, aby osoba w organizacji odpowiedzialna za obszar ryzyka sama wskazywała nie tylko problemy, ale też rozwiązania, aby nie być postrzeganą jako „hamulcowa” tylko jako osoba odpowiedzialna i pomocna. Do tego potrzebna jest świadomość i dojrzałość organizacyjna, którą buduje się komunikacją i współpracą między pracownikami.

Adam Grys wskazał na jeszcze jeden problem. Jednym z mitów jest, że to zespół zarządzania ryzykiem lub sam menadżer obszaru ryzyka jest jednocześnie właścicielem ryzyk. Tymczasem nawet jeśli dostarczymy narzędzia i zbudujemy system, który w systematyczny sposób pozwoli analizować i oceniać ryzyko, bez wskazania konkretnego właściciela procesu (osoby) i określenia jego roli zarządzanie ryzykiem nie będzie działać. To z kolei doprowadzi do rozproszenia odpowiedzialności w organizacji. Tu ważna jest tzw. wycena ryzyka (opłacalność) i wskazanie właścicielowi, że czas włożony w budowanie ERM to dobra inwestycja, która pozwoli unikać incydentów i sprawniej radzić sobie w sytuacji podbramkowej.

Reasumując, w ramach zarządzania ryzykiem należy stworzyć zespół i jasno określić role i odpowiedzialności uczestników procesów, zarówno rolę inspektora, kontrolerów, jak i osób od zarządzania ryzykiem. Role te nie powinny budzić żadnych wątpliwości. Kluczowe jest tu budowanie relacji oraz świadomości, ponieważ wtedy pracownicy zrozumieją zagrożenia i sami będą wychodzić z inicjatywami.

Na koniec debaty nasi eksperci powiedzieli, z czego najbardziej są dumni w swojej pracy. Wspólnym punktem było tu zaangażowanie pracowników i współpraca na różnych szczeblach organizacji. Jak to osiągnąć? Tutaj eksperci wskazali, że było to możliwe dzięki zbudowaniu świadomości i dojrzałości organizacyjnej. Pracownicy zrozumieli, że jedno z pozoru niezwiązane z danym obszarem ryzyko może wpłynąć na inny dział, np. zagrożenie w strukturze IT może wpłynąć na obszar księgowy.

Ważne jest przekonanie kierownictwa i samych pracowników, że zarządzanie ryzykiem wymaga ciągłego doskonalenia – nie tylko pod kątem nowych regulacji, ale też na bazie doświadczeń (swoich i innych) oraz większej specjalizacji. Ciągle pojawiają się nowe elementy, które należy odpowiednio zabezpieczyć, przez co pracownicy mogą czuć się przytłoczeni lub niechętni. Należy przełamywać ten opór i wskazywać, z czego to wynika, jaki ma wpływ na organizację i jej pracę. Jest to na tyle ważne, że często opór przed zmianami jest w rejestrze ryzyk definiowane jako właśnie ryzyko.

• Podejście do ryzyka i jego rozumienie zależy od działalności i specyfiki organizacji.
• Budowę systemu ERM należy zacząć od zbudowania relacji, bo to przyspiesza cały proces.
• Należy jasno zdefiniować zasady zarządzania ryzykiem w organizacji i zaangażować osoby ze wszystkich szczebli organizacji.
• Bardzo ważna jest komunikacja i podkreślenie roli właściciela ryzyk.
• Priorytetem jest budowanie świadomości wśród wszystkich uczestników procesu, w czym pomogą regularne szkolenia i warsztaty.
• System ERM powinien być ciągle rozwijany i udoskonalany.