Newsroom

Lider ERM > Newsroom > Debata Liderów ERM: Jak wdrażać i promować skuteczne podejście do Ryzyka w przedsiębiorstwie? Podsumowanie dyskusji

Debata Liderów ERM: Kultura Zarządzania Ryzykiem: Jak wdrażać i promować skuteczne podejście do Ryzyka w przedsiębiorstwie? Podsumowanie dyskusji.

W kwietniu 2023 roku spotkaliśmy się z Liderami ERM podczas debaty „Ryzykowna Gra: Jak zdobyć przewagę dzięki zarządzaniu ryzykiem?”. Nasi goście podzielili się swoim doświadczeniem i wiedzą o tym, jak dobrze zaprojektować, zarządzać i doskonalić system ERM. Oto podsumowanie i wnioski z drugiego panelu dyskusyjnego pt. „Kultura Zarządzania Ryzykiem: Jak wdrażać i promować skuteczne podejście do ryzyka w przedsiębiorstwie”.

Debata Liderów ERM to jedyne takie wydarzenie w Polsce, na którym spotykają się eksperci-praktycy, aby podzielić się unikalną wiedzą, niedostępną gdziekolwiek indziej. Nasi goście reprezentują różne sektory gospodarki oraz różne podejścia do zarządzania ryzykiem. Są to osoby, które brały udział w budowaniu innowacyjnych ERM w swoich organizacjach, za co zostały wyróżnione tytułem Lidera ERM. Kim są Liderzy ERM, dowiesz się tu: Liderzy ERM.

Debatę „Ryzykowna Gra: Jak zdobyć przewagę dzięki zarządzaniu ryzykiem?” podzieliśmy na trzy panele dyskusyjne trwające po 45 minut, podczas których eksperci wypowiadali się m.in. o tym, jak rozumieć i szacować ryzyko oraz jak budować świadome podejście do ryzyka w organizacji. Prowadzona była na żywo on-line przez wyznaczonego moderatora, a udział w niej był bezpłatny. Debata odbyła się 12 kwietnia 2023 roku.

Poniżej prezentujemy relację i wnioski z 2. panelu dyskusyjnego „Kultura Zarządzania Ryzykiem: Jak wdrażać i promować skuteczne podejście do ryzyka w przedsiębiorstwie”.

Poznaj ekspertów

W panelu dyskusyjnym udział wzięli:

Justyna Mizera – Ekspert ds. Zarządzania Ryzykiem i Zarządzania Procesowego w PFRON
Agnieszka Gębicka – audytor ISO 27001; Inspektor Danych Osobowych w ZUS, kieruje zespołem IOD w ZUS
Małgorzata Boroń – Dyrektor ds. Compliance i Zarządzania Ryzykiem w VRG
Tomasz Borkowski – moderator dyskusji

Wstęp

Zarządzanie ryzykiem jest tematem ważnym dla każdej organizacji, bez względu na jej działalność i wielkość. Dynamiczne zmiany zachodzące na świecie, w tym rozwój technologi, skutki pandemii czy zmiany polityczne i ustrojowe, wymuszają proaktywne podejście do ryzyka. Proaktywność ta odnosi się nie tylko do ciągłego doskonalenia systemu zarządzania ryzykiem, ale też do budowania odpowiedniej świadomości w organizacji. System ERM nie będzie funkcjonował bez skutecznego angażowania pracowników – głównie tych, którzy uczestniczą w procesie zarządzania ryzykiem, ale też z innych obszarów i szczebli. Dużą rolę odgrywa kultura organizacyjna, na którą składa się kilka elementów, z czego najważniejszy jest człowiek.

Podczas debaty wraz z gośćmi zastanawialiśmy się, jak skutecznie wdrażać i promować podejście oparte na ryzyku oraz jak budować i dbać o świadomość wśród pracowników; jak ich przekonać, że skuteczne zarządzanie ryzykiem dotyczy całego przedsiębiorstwa, a nie tylko jednej komórki organizacyjnej.

Jak uczyć pracowników podejścia do ryzyka? Jak ich angażować?

Po powitaniu przyszedł czas na pierwsze pytanie. Zapytaliśmy nasze ekspertki, co zrobić, by pracownicy uczestniczyli w procesie zarządzania ryzykiem. Jakie proponują sposoby, aby budować zaangażowanie i zachęcać pracowników do aktywnego działania?

Małgorzata Boroń wskazała, że ważne są tu trzy kwestie: budowanie świadomości, wsparcie dla właściciela ryzyka oraz szacunek. Przy czym budowanie świadomości wśród pracowników powinno się zaczynać od samego początku, od samego onboardingu po późniejsze szkolenia. W jej opinii należy podkreślać nie tylko, co to jest zarządzanie ryzykiem, ale po co zarządzamy ryzykiem i jak to robimy, dlatego duże znaczenie ma tu komunikacja o walorze edukacyjnym. Natomiast w przypadku wsparcia właściciela ryzyka istotne są spotkania i warsztaty, które ułatwiają identyfikację ryzyk występujących w jego obszarze. Dzięki temu wspólnie ocenia się te ryzyka i – jeśli jest taka potrzeba – buduje się programy optymalizacji.

– Ważne jest wdrożenie systemu, czyli narzędzia IT, które będzie wspierać zarządzanie ryzykiem, oraz świadczenie asysty w obsłudze tego oprogramowania.(…) Ważne jest to, aby była aktywna postawa ze strony oficera ryzyka – wskazana jest elastyczność, duże umiejętności komunikacyjne i organizacyjne, a także umiejętność współpracy – dodała Boroń.

Co najważniejsze, należy podchodzić z szacunkiem do działań związanych z zarządzaniem ryzykiem. W budowaniu tego szacunku pomoże transparentność i komunikacja.

Justyna Mizera zwróciła uwagę na jedno zagrożenie, mianowicie rozproszoną strukturę organizacji. Jej zdaniem punktem wyjścia do budowy aktywności jest stworzenie metodyki zarządzania ryzykiem i jak najwcześniejsze włączenie do prac osób, które będą pełnić wyznaczone role. Dzięki temu osoby (właściciele, opiekunowie ryzyk itd.) mają większe szanse poznać projekt, utożsamić się z nim i odpowiednio zaangażować. W rezultacie organizacja otrzymuje metodykę, która jest bardziej dostosowana do jej specyfiki.

– Kolejnym etapem przy wdrażaniu jest uświadamianie poprzez szkolenia, aby wszyscy byli zaznajomieni jak najwcześniej z tym, jak wygląda przyjęta metodyka i czego oczekujemy od każdego pracownika w ramach systemu zarządzania ryzykiem. Z drugiej strony osoby te muszą mieć wiedzę, w jakich sytuacjach i w jaki sposób kierować swoje pytania lub wątpliwości, zgłaszać pomysły co do udoskonaleń systemu. To się ściśle wiąże z rolą menadżera ryzyka i zespołem zarządzania ryzykiem – muszą to być odpowiednie osoby, które nie są anonimowe w firmie, towarzyszą i wspierają na każdym kroku właścicieli i opiekunów ryzyk – podkreśliła Mizera.

Agnieszka Gębicka dodała tu, że należy pamiętać, że zarządzanie ryzykiem nie stanowi odrębnej wyspy w organizacji; nie jest też rozwiązaniem krótkoterminowym. Jest za to procesem ciągłym, wymagającym ciągłego dostosowywania (chociażby do regulacji prawnych) i udoskonalania. Już samo osadzenie zarządzania ryzykiem w organizacji jest długim i skomplikowanym procesem – bez włączenia pracowników, w tym najwyższego kierownictwa, ERM nie będzie funkcjonować i nie będzie przynosić efektów.

Jaka powinna być rola najwyższego kierownictwa w zarządzaniu ryzykiem?

Następnie przeszliśmy do pytania, czy istnieje konieczność angażowania najwyższego kierownictwa w proces promowania i poszerzania świadomości co do zarządzania ryzykiem w organizacji. Tutaj nasze rozmówczynie były zgodne: rola kierownictwa jest bardzo ważna. Przy czym nie powinna sprowadzać się tylko do odbioru raportów, ale do aktywnego udziału. Zgodnie z zasadą, że przykład idzie z góry, cały proces powinien być promowany i wspierany odgórnie, ponieważ to wpływa na podejście pracowników na niższych szczeblach. Postawa zarządu decyduje o skuteczności zarządzania ryzykiem w organizacji.

Osoba odpowiedzialna za ryzyko powinna stale współpracować z kierownictwem z dwóch powodów: zarząd będzie mieć wiedzę o ryzykach występujących we wszystkich obszarach, nawet w tych mniejszych, a osoby zajmujące się ryzykiem zyskają wymagane wsparcie, chociażby w kontekście zapewnienia zasobów do np. analizy ryzyka. Musimy pamiętać, że w przypadku zarządzania ryzykiem może pojawić się potrzeba zakupu oprogramowania czy skorzystania z usług zewnętrznej firmy doradczej – bez wsparcia zarządu oraz budżetu nie będzie to możliwe.

– Jeśli zarząd nie będzie zaangażowany lub próbuje zepchnąć kwestie ryzyk na bok, to powstaje ryzyko, że nasze działania nie zostaną zaimplementowane w taki sposób, w jaki chcemy; nie da zysków w postaci zmniejszenia liczby incydentów lub naruszeń. Niemówienie o ryzyku nie jest zarządzaniem ryzykiem. Wsparcie i możliwość wypowiedzenia się o ryzyku przed zarządem lub wyższym kierownictwem jest ważne. Co więcej, ich też trzeba stale szkolić z ryzyka – podsumowała Agnieszka Gębicka.

Jakie trudności można napotkać podczas budowy świadomości o ryzyku wśród pracowników?

Nasze ekspertki wdrażały ERM w organizacjach, dlatego zapytaliśmy je, czy napotkały po drodze jakieś trudności i wyzwania. Szczególnie interesował nas temat pracowników i ich nastawienia co do wprowadzanych zmian. Okazuje się, że w każdym przypadku podstawowym problemem był brak świadomości, a konkretnie przekonanie i postawa, że temat „mnie nie dotyczy”. Tymczasem zarządzanie ryzykiem dotyczy każdego, nawet pracowników na najniższym szczeblu. Jednak to niejedyne trudności. Przy projektowaniu, wdrażaniu i rozwijaniu ERM można spotkać wiele barier o różnym charakterze i nasileniu. Justyna Mizera sklasyfikowała je kolejno jako bariery mentalne, bariery fizyczne i bariery techniczne.

– Jeśli chodzi o barierę mentalną, to wydaje mi się, że najsilniejsza będzie na samym początku, bo tu będzie dużo oporu i obaw, że pracownicy muszą nauczyć się czegoś nowego, znaleźć czas itd. Powracamy do tego, jak ważne są szkolenia: im większa jest świadomość, tym wyższa kultura zarządzania ryzykiem, a bariera mentalna niższa – dodała.

Na dalszym etapie mogą pojawić się obawy właścicieli ryzyk przed posiadaniem w portfelu ryzyk nieakceptowalnych. Mogą tu działać nawet na szkodę całego procesu zarządzania ryzykiem i np. obniżać wartość danego ryzyka. Powrócił tu temat roli kierownictwa, ponieważ ich zaangażowanie, otwartość i szacunek może przyczynić się do mniejszych obaw, a nawet mniejszego strachu przed posiadaniem ryzyk i przedstawieniem ich wyżej. Ważna jest też świadomość, że właściciele ryzyk (i inni pracownicy) mogą w każdej chwili uzyskać wsparcie menadżerów ryzyka, np. w sprawie analiz, ocen czy nawet organizacji warsztatów.

Barierę fizyczną i techniczną należy rozumieć w sposób dosłowny. Przykładem może być rozproszona lub rozbudowana struktura organizacyjna, co może utrudniać nie tylko wdrożenie ERM, ale całą komunikację. Tutaj dobrze korzystać z narzędzi, w tym on-line do komunikacji i zarządzania ryzykiem, które powinny być łatwe w nauce i dalszej obsłudze. Co warto podkreślić, zdaniem naszych rozmówczyń nic nie zastąpi tradycyjnych spotkań i warsztatów „twarzą w twarz”.

Na co zwracać uwagę w procesie aktywizowania pracowników?

Na koniec naszej debaty poruszyliśmy temat, czy są jakieś obszary lub działania, na które należy zwrócić szczególną uwagę przy projektowaniu i wdrożeniu ERM.

Z poprzedniej dyskusji wynikło, że przy budowaniu świadomości nacisk należy położyć przede wszystkim na korzyści, jakie niesie ze sobą zarządzanie ryzykiem. Należy również przedstawić zarządzanie ryzykiem jako rozwiązanie, a nie problem. Równie ważne jest wskazanie, że to nie jest obszar oderwany od innych – zarządzanie ryzykiem wpływa też na inne dziedziny i sfery zarządzania w organizacji. Dlatego tak ważne jest, aby po wdrożeniu ERM dalej nad nim pracować, rozwijać, dostosowywać i dalej aktywizować pracowników. Pytanie, jak to zrobić?

Tutaj wkracza podejście i rola menadżera ryzyka i jego zespołu, który powinien cały czas czuwać i stymulować aktywność pracowników i zarządu. Powinien wskazywać problem, rozwiązanie i potrzebę decyzyjności, a także dbać o swoją aktywność, bo to ona determinuje aktywność innych. Do tego potrzebna jest silna pozycja oraz dobry kontakt z zarządem, bo tylko wtedy będzie to dobrze funkcjonowało.

Ważny jest również inny aspekt, a mianowicie podejście małymi krokami, na co zwróciła uwagę Agnieszka Gębicka:

– Nie możemy robić wszystkiego od razu i na szybko; implementować tak ogromnego systemu, który będzie mocno sformalizowany, zautomatyzowany i skomplikowany.(…) Zalecam podejście mocno praktyczne i mocno wspierające. Takie podejście, które uwzględnia wsparcie najwyższego kierownictwa i zarządu, w tym pokazanie odgórnie, że zarządzanie ryzykiem daje nam korzyści. Często też pokazuję w organizacji, do jakich skutków prowadzi brak zarządzania ryzykiem, bo to można szybko zweryfikować na podstawie przykładów z rynku – w przypadku RODO mamy tego naprawdę dużo – podsumowała.

Podsumowanie debaty

Z przeprowadzonej dyskusji wyłonił się jeden temat przewodni, a mianowicie budowanie świadomości jest jednym z kluczowych budulców systemu zarządzania ryzykiem. Wiedza o tym, jak zarządza się ryzykiem w organizacji, czy jest metodyka i stosuje się ją w praktyce, pomaga budować sprawny i efektywny system. Należy też pamiętać, że im wyższa jest świadomość co do ryzyka, tym większa jest szansa na uniknięcie zagrożeń. Co więcej, zarządzanie ryzykiem wspiera również proces podejmowania decyzji strategicznych i biznesowych, zatem daje realne szanse nie tylko na budowanie odporności organizacji, ale też jej przewagi rynkowej.

Pracownik musi wiedzieć, jakie realne skutki przyniesie jego zaangażowanie w zarządzanie ryzykiem. Pomoże tu konsekwentna praca menadżera ryzyk, szkolenia i warsztaty, które pozwolą zaznajomić pracowników z procesem krok po kroku. Mocny nacisk należy położyć na komunikację, transparentność oraz wsparcie. W podkreśleniu ogromnej roli zarządzania ryzykiem pomogą międzynarodowe normy jak ISO 9001, 27001, 31000 oraz regulacje prawne jak RODO i NIS2.

Najważniejsze wnioski z debaty:

Kluczowa jest świadomość pracowników, co to jest ryzyko i jak nim zarządzać; jakie realne skutki przyniesie ich zaangażowanie.
Budowanie świadomości wymaga codziennej, konsekwentnej pracy, krok po kroku.
Budowę systemu ERM należy zacząć od zaangażowania pracowników z każdego szczebla organizacji.
Kierownictwo powinno być zaangażowane w proces zarządzania ryzykiem od samego początku.
Bardzo ważna jest komunikacja i wzajemny szacunek.
Właściciele ryzyk powinni otrzymywać realne wsparcie.
W przełamywaniu barier pomogą regularne szkolenia i warsztaty.
W budowaniu świadomości ryzyka i zagrożeń pomogą normy ISO i inne regulacje jak RODO, NIS2.

Obejrzyj nagranie:

Przeczytaj inne newsy

Newsroom

DEBATA

Liderów ERM

RYZYKOWNA GRA

Zobacz nagranie z debaty