Tak się tego nie powinno robić!
Firmy nie potrafią się szkolić w zakresie zarządzania ryzykiem
- Dobrze, że organizacje szkolą swoich pracowników. Niestety, wiele firm i instytucji nadal nie potrafi tego robić.
Wiedza jest podstawą rozwoju organizacji. Wiedza jest szczególnie ważna w prawidłowym rozwoju mechanizmów zarządzania ryzykiem. Im więcej osób (pracowników) jest świadomych ryzyka i ma przynajmniej podstawowe umiejętności w zakresie rozpoznawania, analizy i oceny ryzyka, tym lepiej dla organizacji. Ale trzeba to robić z głową, po głębszym przemyśleniu sprawy …
Natknęliśmy się w Internecie na następujące ogłoszenie. Ukazało się w październiku tego roku. Dane zamawiającego usługę usunęliśmy bo nie chodzi nam o wskazywanie palcem – możemy tylko zaznaczyć, że rzecz dotyczy znanej i szacownej instytucji.
Podsumujmy:
- Czas szkolenia to 6 godzin zegarowych z przerwami – powiedzmy trwającymi łącznie 30 minut, Daje to efektywny czas w wymiarze 5 i pół godziny – 330 minut.
- Średnie tempo czytania wynosi około 50 stron na godzinę przy lekturze nie wymagającej specjalnego zastanawiania się nad treścią. W przypadku tej tematyki to wydaje się nierealne.
- Standard ISO 31000:2018 to 16 stron a ISO 27005:2018 to 53 strony. Czyli – ledwie – płynne przeczytanie wymaga 120 minut. Pamiętajmy, że oba standardy opublikowane są w języku angielskim i łączny czas przeczytania i tłumaczenia podwoi się – mamy już 3 godziny: czyli 240 minut. Pozostaje 90 minut na wyciągnięcie wniosków i dostosowanie przekazanych treści do specyfiki i potrzeb podmiotu zamawiającego – nauczenie uczestników „prawidłowego zarządzania ryzykiem”. Tego nie da się zrobić w takim czasie.
Reasumując, to nie jest sensowne szkolenie, uczestnikom pozostanie w głowach ledwie kilka haseł bez praktycznej umiejętności zastosowania obu standardów.
Lepiej, taniej i efektywniej byłoby kupić oba standardy (przy czym ISO 31000 jest dostępne bezpłatnie na stronach ISO.org a ISO 27005 kosztuje 178 CHF czyli około 770 złotych. Lepiej było wydać te pieniądze na zakup, polecić jakiemuś własnemu pracownikowi znającemu język angielski (a specjaliści w zakresie IT mają już to w swoim CV) zrobienie tłumaczenia i/lub przygotowania stosownej publikacji (np. typu: guideline albo framework) i przeprowadzenie takiego szkolenia a raczej seminarium lub warsztatu.
Z ogłoszenia wynika, że zamawiający określił podstawowy cel szkolenia jako „zapoznanie uczestników z terminologią i definicjami”. A gdzie jakieś umiejętności? Nie da się w ciągu kilku godzin (maksymalnie dwóch – pomijając czas przeznaczony na definicje zapisane w rzeczonych standardach) nauczyć kogokolwiek „prawidłowego zarządzania ryzykiem”. No nie da się i już!
Nasze doświadczenia jednoznacznie wskazują, że takie „szkolenia” – o bardzo ogólnym, wstępnym charakterze – powinno się załatwiać własnymi siłami. Korzyści?
- Taniej, o wiele taniej
- Szkolenie ściśle dopasowane do działalności zamawiającego i aktualnej wiedzy uczestników
- Wiedza o potrzebach organizacji w zakresie zarządzania ryzykiem IS/IT zostaje w organizacji!
Czyli tam, gdzie powinna pozostać …
Jeżeli zaś potencjalni uczestnicy szkolenia znają język angielski (przynajmniej biernie) to należałoby najpierw zakupić standardy (przypominamy: 770 złotych polskich), polecić im – po kolei – zapoznanie się z treścią (1 dzień na 2 osoby) a następnie zebrać ich pytania. problemy i wątpliwości. Dopiero wówczas zorganizować WARSZTATY (a nie szkolenie) polegające na praktycznym zastosowaniu obu standardów w codziennym funkcjonowaniu organizacji.
Robienie szkolenia polegającego na przedstawianiu na kolejnych slajdach treści obu rzeczonych standardów (norm) nie ma najmniejszego sensu. Bo – de facto – tylko tyle zmieści się w czasie jednego dnia szkoleniowego – a dokładniej, w czasie 330 minut.
No ale cóż …