Pojęcie High Uncertainty Avoidance (wysokie unikanie niepewności) zostało opracowane przez Geerta Hofstedego, holenderskiego socjologa i badacza kultury organizacyjnej. Hofstede stworzył model wymiarów kulturowych, który służy do porównywania kultur narodowych pod kątem ich wpływu na zachowania w organizacjach i społeczeństwach.
Wskaźnik Uncertainty Avoidance opisuje stopień, w jakim członkowie danej kultury czują się niekomfortowo w sytuacjach niepewnych, nieprzewidywalnych lub dwuznacznych. Kultury o wysokim poziomie unikania niepewności (jest ich wiele, a Polska się do nich zalicza, tabela na końcu artykułu) preferują jasne zasady, procedury i struktury, a ryzyko postrzegają jako coś, co należy ograniczyć lub wyeliminować. Z jednej stronny to dobrze, że działamy w celu zmniejszenia ryzyka, ale z drugiej strony lęk przed poniesieniem konsekwencji ryzyka powoduje, że dążymy do ukrywania istnienia ryzyk.
Kultura ryzyka jako bariera dla bezpieczeństwa cyfrowego
W Polsce zarządzanie ryzykiem – a co za tym idzie, także cyberbezpieczeństwo – nie przyjęło się tak, jak moglibyśmy tego oczekiwać w dobie rosnących zagrożeń cyfrowych. Choć świadomość ryzyka rośnie, działania prewencyjne pozostają w tyle. Źródła tego zjawiska nie tkwią wyłącznie w braku kompetencji czy zasobów, ale głęboko w naszej kulturze organizacyjnej i narodowej. Zachowawczość, hierarchiczność, unikanie niepewności – to cechy, które kształtują sposób, w jaki polskie firmy podchodzą do ryzyka.
Model kulturowy Geerta Hofstedego pozwala zrozumieć, dlaczego w Polsce ryzyko traktowane jest jako zagrożenie, a nie szansa. Wysoki poziom unikania niepewności sprawia, że preferujemy sztywne procedury i biurokrację, co utrudnia elastyczne reagowanie na incydenty bezpieczeństwa. Dystans władzy powoduje, że pracownicy boją się zgłaszać problemy, a odpowiedzialność za ryzyko jest scentralizowana. Indywidualizm z kolei prowadzi do paraliżu decyzyjnego – nikt nie chce być obarczony winą za porażkę. Wreszcie, krótkoterminowa orientacja i dziedzictwo PRL wzmacniają niechęć do strategicznego podejścia do ryzyka.
Strach przed incydentem – syndrom posłańca w praktyce
Jednym z przykładów jak destrukcyjne mechanizmy blokując drogę do cyberbezpieczeństwa jest strach przed zgłaszaniem incydentów. Pracownicy obawiają się, że zostaną obarczeni winą, że ich zgłoszenie zostanie zignorowane lub że naruszą hierarchię. W efekcie incydenty są ukrywane, a organizacje tracą szansę na szybką reakcję i naukę. To zjawisko, znane jako „syndrom posłańca”, jest szczególnie widoczne w kulturach o wysokim dystansie władzy – takich jak Polska.
DORA i NIS2 – regulacje, które wymagają zmiany podejścia
Wprowadzenie regulacji takich jak DORA (Digital Operational Resilience Act) i NIS2 (Network and Information Security Directive) wymusza na organizacjach – szczególnie w sektorach finansowym, energetycznym, zdrowotnym i transportowym – wdrożenie dojrzałych systemów zarządzania ryzykiem. Te przepisy nie tylko nakładają obowiązki, ale też wymagają zmiany mentalności: od reaktywnego do proaktywnego podejścia.
W sektorze finansowym, gdzie DORA ma bezpośrednie zastosowanie, instytucje muszą wykazać odporność operacyjną, co oznacza nie tylko reagowanie na incydenty, ale ich przewidywanie i zapobieganie. Tymczasem wiele organizacji nadal traktuje ryzyko jako coś, co należy „ubezpieczyć”, a nie zarządzać. W energetyce, gdzie NIS2 nakłada obowiązek raportowania incydentów, strach przed zgłaszaniem może prowadzić do ukrywania problemów, co z kolei zwiększa ryzyko systemowe. W ochronie zdrowia, gdzie błędy mogą kosztować życie, kultura unikania porażki blokuje otwartą i dostępną dla całej organizacji analizę ryzyka. Transport, jako sektor krytyczny, wymaga szybkiego reagowania – a to jest niemożliwe bez decentralizacji decyzji i zaufania do pracowników niższego szczebla.
Ku dojrzałości – zmiana zaczyna się od środka
Polska kultura ryzyka nie jest niezmienna. Już dziś widać pozytywne zmiany – szczególnie w sektorach nowoczesnych technologii i wśród młodych liderów. Przyszłość należy do organizacji, które potrafią zarządzać wyminą informacji i zarządzać niepewnością, a nie ją ignorować. Dwa przykłady firm zarządzających ryzykiem, referencyjnych dla sektorów podlegających pod DORA i NIS2.
British Insurance Company – sektor podlegający pod DORA
Firma przeszła transformację od defensywnej kultury ryzyka do kultury poznawczej, wdrażając systemy komunikacji ryzyka i redefiniując role w zarządzaniu. Zastosowano podejście systemowe, które zwiększyło świadomość i zaangażowanie pracowników.
Johnson & Johnson – sektor podlegający pod NIS2
Podczas kryzysu związanego z zatrutymi opakowaniami Tylenolu w 1982 roku, firma wykazała się odwagą w komunikowaniu ryzyka, natychmiast wycofując produkt z rynku, wdrażając nowe standardy bezpieczeństwa i transparentnie informując opinię publiczną. To klasyczny przykład zarządzania niepewnością z zachowaniem zaufania klientów.
Rozwiązanie: jedno źródło prawdy o ryzyku
Aby przełamać te bariery, nie wystarczy zmiana przepisów czy szkolenia. Potrzebna jest zmiana systemowa – zarówno technologiczna, jak i kulturowa, która powinna wpisywać się w podjętą strategię zarządzania ryzykiem. Kluczowym elementem tej zmiany może być wdrożenie aplikacji, która stanie się jednym źródłem prawdy o ryzyku w organizacji. Taka platforma powinna automatyzować ocenę ryzyka, jego szacowanie oraz planowanie działań zaradczych. Dzięki temu ryzyko przestaje być abstrakcyjnym zagrożeniem, a staje się mierzalnym, zarządzalnym elementem strategii.
Automatyzacja pozwala na obiektywizację procesu – decyzje nie są już zależne od indywidualnych obaw czy interpretacji, ale opierają się na danych. Transparentność systemu buduje zaufanie, a decentralizacja odpowiedzialności umożliwia szybsze reagowanie. Co najważniejsze, taka aplikacja może wspierać budowę dojrzałej kultury ryzyka, w której każdy członek organizacji rozumie swoją rolę i wpływ na bezpieczeństwo.
Wdrożenie jednego źródła prawdy o ryzyku to nie tylko technologia – to deklaracja zmiany. To krok w stronę kultury, w której ryzyko nie jest wrogiem, lecz partnerem w rozwoju. I choć droga do cyberbezpieczeństwa może być trudna, najważniejsze to nie blokować jej sobie samemu.
*Tabela porównująca kultury traktujące ryzyko jako zagrożenie oraz te, które widzą w nim szansę – na podstawie poziomu unikania niepewności (Uncertainty Avoidance Index, UAI) według Geerta Hofstedego:
| Kraj | UAI | Podejście do ryzyka | Charakterystyka kulturowa |
| Grecja | 112 | Zagrożenie | Najwyższy poziom unikania niepewności; silna potrzeba kontroli i formalizmu |
| Portugalia | 104 | Zagrożenie | Proceduralność, niechęć do zmian |
| Japonia | 92 | Zagrożenie | Rytuały, przygotowanie na każdą ewentualność, silna struktura |
| Polska | 93 | Zagrożenie | Hierarchiczność, awersja do ryzyka, formalizm, syndrom posłańca |
| Francja | > 80 | Zagrożenie | Silna potrzeba przewidywalności, formalne struktury |
| Hiszpania | > 80 | Zagrożenie | Unikanie niepewności, preferencja dla stabilności |
| Belgia | > 80 | Zagrożenie | Proceduralność, ostrożność |
| Korea Południowa | > 80 | Zagrożenie | Silna hierarchia, formalizm |
| Turcja | > 80 | Zagrożenie | Niechęć do nieprzewidywalnych sytuacji |
| Meksyk | > 80 | Zagrożenie | Wysoka potrzeba kontroli, formalizm |
| Singapur | 8 | Szansa | Bardzo wysoka tolerancja dla niepewności, elastyczność |
| Dania | 23 | Szansa | Otwartość na dialog, decentralizacja, innowacyjność |
| Szwecja | 29 | Szansa | Elastyczność, otwarta komunikacja, podejście „fail fast” |
| Nowa Zelandia | 49 | Szansa | Tolerancja dla ryzyka, pragmatyzm |
| Australia | 51 | Szansa | Otwartość na eksperymentowanie, decentralizacja decyzji |
| USA | 46 | Szansa | Innowacyjność, otwarta komunikacja, kultura uczenia się na błędach |
| Holandia | 53 | Szansa | Pragmatyzm, otwartość na zmiany, transparentne podejście do ryzyka |
