Większość członków rad nadzorczych nie ma skutecznego nadzoru nad ryzykami płynącymi z transformacji cyfrowej, co potwierdza badanie EY Global Board Risk Survey

Dynamiczny rozwój technologii sprawił, że aspekty związane z implementacją nowych rozwiązań oraz wynikające z nich możliwe zagrożenia dołączyły na stałe do listy zadań rad nadzorczych. To właśnie świadomość ryzyk odgrywa obecnie kluczową rolę w budowaniu odporności organizacji. Tymczasem, jak pokazują wyniki badania EY Global Board Risk Survey, zaledwie 31% członków rad nadzorczych przyznaje, że ich nadzór nad ryzykiem wynikającym z transformacji cyfrowej jest bardzo skuteczny, a 40% twierdzi że rozumie największe wirtualne zagrożenia.

Według badania EY – Global Board Risk Survey – rośnie liczba czynników ryzyka, których obawia się kierownictwo firm. Do sytuacji geopolitycznej i niedoborów w łańcuchu dostaw dołączyły aspekty związane z cyfrowymi rozwiązaniami wykorzystywanymi przez przedsiębiorstwa. Ważną rolę do odegrania mają liderzy, którzy powinni wspierać organizacje w budowaniu odporności na potencjalne trudności. Tymczasem tylko co trzeci członek rad nadzorczych (31%) przyznał, że skutecznie trzyma pieczę nad tym, aby równoważyć szybkość wdrażania nowych technologii z ekspozycją na ryzyko. Dodatkowo 19% ankietowanych uważa, że ich nadzór jest umiarkowanie skuteczny.

Osoby piastujące najwyższe funkcje w strukturach organizacji wiedzą, że ich zadaniem nie jest bycie ekspertami od wszystkiego. Są świadomi swojej roli oraz ograniczeń kompetencyjnych, co przekłada się na wyniki badania EY. Zaledwie 34% respondentów jest zadowolonych z poziomu przeszkolenia w zakresie technologii i tematów cyfrowych, przy czym twierdząco odpowiedziało 48% przedstawicieli firm, które są najbardziej świadome ryzyk i zaledwie 20% osób z grona organizacji zidentyfikowanych jako mniej odporne na zakłócenia. A im większa wiedza na temat nowoczesnych rozwiązań, tym łatwiej podejmować właściwe decyzje dotyczące kierunku rozwoju firmy.

 

Transformacji cyfrowej nie da się przeprowadzić wyrywkowo, skupiając się tylko na wybranych aspektach, dlatego tak ważna jest rozległa znajomość tego tematu. Dopiero całościowe spojrzenie na dostępne rozwiązania oraz cele, jakie stawia przed sobą organizacja, pozwala dobrać takie narzędzia, które będą najskuteczniejsze. Ale to nie wszystko. Zarządy muszą być także świadome zarówno korzyści, jak i ryzyk płynących z implementacji każdej technologii, aby ją odpowiednio wykorzystać. To właśnie osoby stojące na czele firm powinny wyznaczać kierunki zmian i skutecznie korzystać z dobrodziejstw digitalizacji, która wesprze ich w budowaniu odporności na ryzyka  – zauważa Radosław Frańczak, Partner EY Polska, Lider obszaru Technology Consulting.

 

Nowe wyzwania na horyzoncie

Rozwój technologii przełożył się również na wzrost cyfrowych zagrożeń, które wymagają od rad nadzorczych odmiennego podejścia. Obszarem szczególnej uwagi jest obecnie cyberbezpieczeństwo, które w badaniu EY awansowało z piątego miejsca do pierwszej trójki. Wzrost inwestycji w digitalizację i rozkwit pracy zdalnej w czasie pandemii częściowo wyjaśniają ten wynik. Z drugiej strony rewolucja cyfrowa wystawia firmy na coraz częstsze  cyberataki, którym bardzo trudno zapobiegać. Zaledwie 40% członków rad nadzorczych jest przekonanych, że rozumieją największe wirtualne zagrożenia, przed którymi stoi ich organizacja.

Kolejnym wyzwaniem dla rad nadzorczych jest bycie na bieżąco z wszelkimi nowymi regulacjami, które dotyczą ich biznesu. Jedną z ważniejszych zmian jest Dyrektywa NIS2, która ma za zadanie podwyższać poziom cyberbezpieczeństwa w krajach Unii Europejskiej. Weszła ona w życie 16 stycznia 2023 r. i od tego czasu państwa członkowskie mają 21 miesięcy na wprowadzenie jej postanowień do prawa krajowego. Dyrektywa NIS2 w przypadku przedsiębiorców wprowadza rozbudowane w stosunku do poprzedniej dyrektywy NIS, wymogi w zakresie bezpieczeństwa i raportowania incydentów, a także bardziej rygorystyczne środki nadzoru ze strony krajowych organów. NIS2 ustanawia również szereg wymagań, które odnoszą się bezpośrednio do kierownictwa organizacji. Pracownicy odpowiedzialni za bezpieczeństwo będą musieli odegrać jeszcze istotniejszą rolę w firmie, nadzorując wdrażanie nowych obowiązków. Jednak osoby odpowiedzialne za inne obszary w organizacji również będą musiały być świadome swojej roli w procesie zapewniania cyfrowej odporności organizacji. Naruszenia w tym obszarze mogą prowadzić do pociągnięcia kierownictwa firmy do odpowiedzialności prawnej.

 

Aby dobrze przygotować swoją organizację na zmiany, członkowie zarządów powinni zwracać uwagę na treść krajowych strategii cyberbezpieczeństwa oraz proces implementowania dyrektywy do krajowego porządku prawnego. Jednym z najważniejszych elementów dyrektywy NIS2 są normy dotyczące oceny bezpieczeństwa łańcucha dostaw. Kluczowe i ważne podmioty będą zobowiązane wprowadzić odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w ramach zapewnienia bezpieczeństwa łańcucha dostaw. Zarządom firm w Polsce pozostało niewiele czasu, aby przygotować się na te zmiany, a tym samym wzmocnić odporność na biznesowe zakłócenia – tłumaczy Justyna Wilczyńska-Baraniak, Partnerka EY, Liderka Zespołu Prawa Własności Intelektualnej, Technologii, Danych Osobowych w Kancelarii EY Law.

Global Board Risk Survey to badanie porównawcze przeprowadzane przez EY wśród 500 członków rad nadzorczych na całym świecie stojących na czele organizacji o przychodach przekraczających 1 miliard dolarów. Spostrzeżenia biznesowych liderów zostały zebrane z pomocą badań ilościowych i wywiadów indywidualnych, które przeprowadzono pod koniec 2022 i na początku 2023 roku. Raport pokazuje, w jaki sposób wiodący liderzy biznesu nadzorują zarządzanie ryzykiem korporacyjnym i jakie działania podejmują, aby realizować cele transformacyjne.