Iwona Gorzeń-Mitka
Streszczenie: Identyfikacja ryzyka będąca kluczowym elementem zarządzania ryzykiem jest jednocześnie elementem nastręczającym przedsiębiorstwom najwięcej problemów we wdrażaniu i prowadzeniu tego procesu. W artykule analizie poddano wyniki badań przeprowadzonych w zakresie identyfikacji ryzyka przez małe i średnie przedsiębiorstwa subregionu częstochowskiego.
Słowa kluczowe: ryzyko, identyfikacja ryzyka, zarządzanie ryzykiem, małe i średnie przedsiębiorstwa
Wstęp
Zarządzanie ryzykiem stało się obecnie integralnym elementem działań bizne-sowych podejmowanych przez przedsiębiorstwa. Mnogość czynników generują-cych ryzyko w trakcie prowadzenia działalności gospodarczej wpływa na istotność tego elementu w procesie zarządzania podmiotem. Kształtują one równocześnie warunki funkcjonowania zarówno podmiotów dużych, małych, jak i średnich (MSP). Zarządzanie ryzykiem staje się koniecznością, gdyż wraz z postępem glo-balizacji i integracji rynków powstają nowe rodzaje ryzyka. Podmioty sektora MSP wydają się być nawet bardziej narażone na oddziaływanie czynników ryzykow-nych z uwagi na mniejsze możliwości ich ograniczania w stosunku do podmiotów dużych. Należy jednak podkreślić, że zajście zdarzenia generującego ryzyko może mieć zarówno ujemny, jak i dodatni wpływ na przedsiębiorstwo.
Z uwagi, że teoria zarządzania jednoznacznie wskazuje, iż to małe firmy mogą więcej skorzystać na prowadzeniu transakcji zabezpieczających, podczas gdy w rzeczywistości ryzykiem zarządzają przede wszystkim firmy duże, w artykule podjęto próbę określenia postawy MSP w postrzeganiu i identyfikacji ryzyka.
Rozważania oparto na przeglądzie literatury z badanego zakresu oraz wynikach przeprowadzonych badań ankietowych.
Autorka stawia tezę, iż identyfikacja ryzyka, będąca kluczowym elementem procesu zarządzania ryzykiem, realizowana jest w małych i średnich przedsiębior-stwach intuicyjnie w oparciu o doświadczenia zarządzających.
1. Identyfikacja ryzyka - istotność problemu
Ryzyko rozumiane jest często jako możliwość niepowodzenia, a w szczególno-ści możliwość wystąpienia zdarzeń niezależnych od podmiotu działającego,
któ-rych nie może on dokładnie przewidzieć i którym nie może w pełni zapobiec, a które – przez zmniejszenie wyników - odbierają działaniu zupełnie lub częściowo cechy skuteczności, korzystności lub ekonomiczności.1 Takie podejście do inter-pretacji ryzyka nie uwzględnia wydźwięku pozytywnego pojęcia. Może ono być również sprawcą dodatnich niespodziewanych efektów podejmowanych działań biznesowych.
Zarządzanie ryzykiem korporacyjnym (enterprises risk management - ERM), którego jednym z etapów jest identyfikacja ryzyka, jest procesem realizowanym przez zarząd, kierownictwo oraz inny personel przedsiębiorstwa, uwzględnionym w strategii i całym przedsiębiorstwie, którego celem jest identyfikacja potencjal-nych zdarzeń, które mogą wywrzeć wpływ na przedsiębiorstwo, utrzymania ryzyka w ustalonych granicach oraz rozsądne zapewnienie realizacji celów przedsiębior-stwa2. Podstawowym celem tego procesu jest stworzenie kompleksowego obrazu wszystkich wewnętrznych, jak i zewnętrznych ryzyk oraz wypracowanie strategii zawierającej zachowania się wobec nich wszystkich. Strategia ta powinna ujmować strategie dla wszystkich komórek organizacyjnych firmy i być przyjęta na szczeblu wyższego kierownictwa3.
Identyfikacja ryzyka jest pierwszym krokiem na drodze do stworzenia profilu ryzyka każdej organizacji. Polega na ustaleniu potencjalnych zdarzeń wewnętrz-nych i zewnętrzwewnętrz-nych (źródeł) wpływających na realizację celów przedsiębiorstwa.
Obejmuje także rozróżnienie pomiędzy potencjalnymi zdarzeniami, które z nich reprezentują stratę, szansę lub oba te czynniki naraz. Szanse uwzględniane są w strategii kierownictwa i w procesie ustalania celów4. Należy podkreślić jednak, że głównym wyzwaniem z zakresu zarządzania ryzykiem nie jest obecnie wstępna identyfikacja i analiza ryzyka, ale raczej ciągły proces przeglądu i usprawniania procesu zarządzania ryzykiem.
Identyfikacja pozostaje jednak jego etapem kluczowym. Ponadto identyfikacja nowych ryzyk lub zmian w ryzyku jest sama w sobie uzależniona od komunikacji w przedsiębiorstwie. Dobra komunikacja ułatwia identyfikację zmian, które wpły-wają na profil ryzyka organizacji.
Szeroko dyskutowany i wyjaśniany na gruncie teoretycznym proces korpora-cyjnego zarządzania ryzykiem napotyka na wiele elementów trudnych podczas rea-lizacji go w praktyce. Rysunek 1 przedstawia krytyczne komponenty ERM w opi-nii przedsiębiorstw amerykańskich. Analiza wykresu wskazuje jednoznacznie, że efektywność procesów zarządzania ryzykiem korporacyjnym jest zagrożona na każdym etapie jego realizacji, poczynając od etapu identyfikacji i szacowania ry-zyka, a kończąc na jego kontroli (większość wyróżnionych elementów
1 I. Gorzeń-Mitka, Ryzyko w eksporcie, Wydawnictwo KeyText, Warszawa 2007, s. 15, za J. Ziele-niewski, S. Szczypiorski, Zasady organizacji i techniki handlu zagranicznego, PTE, Warszawa 1961, s. 38.
2 Enterprise Risk Management - Integrated Framework, The Committee of Sponsoring Organizations of the Treadway Commission, 2004, s. 23.
3 A. Korombel, Ryzyko w finansowaniu działalności inwestycyjnej metodą project finance, Difin, Warszawa 2007, s. 77.
4 Enterprise Risk Management - Integrated Framework …, s. 29.
zuje wskazanie na poziomie powyżej 70 proc.). Jedynie technologia ryzyka, obej-mująca zarówno techniczne, jak i technologiczne rozwiązania w zakresie obsługi procesu, nastręcza respondentom mniejszych problemów. Podkreślić należy, że przytoczone badania zostały przeprowadzone na grupie przedsiębiorstw amerykań-skich, których świadomość i praktyka w zakresie zarządzania ryzykiem są znacznie wyższe niż wśród podmiotów polskich.
Rys. 1. Krytyczne komponenty ERM w opinii przedsiębiorstw (w proc.) Źródło: Enterprise Risk Management in the United States, KPMG LPP, 2008, s. 6
Identyfikacja i oszacowanie ryzyka jest problemem dla ponad 90 proc. respon-dowanych podmiotów. Będąc jednocześnie pierwszym elementem procesu zarzą-dzania ryzykiem w sposób kluczowy wpływa na prawidłowy przebieg dalszych etapów. Stąd podjęta w dalszej części artykułu analiza dotycząca identyfikacji ry-zyka wydaje się być istotna z punktu widzenia efektywności procesu zarządzania ryzykiem. Pamiętając ponadto, że mikro-, małe i średnie przedsiębiorstwa stanowią w Polsce 99,8% ogólnej liczby przedsiębiorstw, zatrudniają 60% pracujących w sektorze przedsiębiorstw oraz mają 60% udział w przychodach sektora przedsię-biorstw, podjętą analizę należy uznać za uzasadnioną.
2. Identyfikacja ryzyka - wyniki badań empirycznych
Badania w zakresie zarządzania ryzykiem przedsiębiorstw zostały przeprowa-dzone w kwietniu 2008 r.5 Badania przeprowadzono metodą mieszaną, ankietowo--monograficzną. Podstawową techniką badawczą była procedura ankietyzacji.
Uzyskane informacje pochodzą od właścicieli oraz członków zarządu analizowa-nych przedsiębiorstw, kadry menedżerskiej. Do badania wyselekcjonowano 246
5 Materiał statystyczny do badań został zgromadzony na drodze badań częściowych realizowanych metodą doboru celowo-losowego zbiorowości statystycznej przedsiębiorstw subregionu częstochow-skiego prowadzących działalność eksportową.
0 10 20 30 40 50 60 70 80 90 100
Identyfikacja i oszacowanie ryzyka Przeoczenie ryzyka istotnego Raportowanie i monitorowanie ryzyka
Kwantyfikacja i agregacja ryzyka Kontrola i optymalizacja ryzyka
Technologia ryzyka
podmiotów sektora MSP, z których zgodę na udział w badaniu wyraziło 49. Anali-zą objęto 45 ankiet (4 podmioty przekazały kwestionariusze wypełnione niekom-pletnie)6. Mimo że mała liczba odpowiedzi wskazuje, że próba nie jest reprezenta-tywna, można jednak wyciągnąć z badania ogólne wnioski, gdyż celem było przeprowadzenie badania eksploracyjnego. Badaniu nadano taki charakter, oczeku-jąc niskiego poziomu zwrotu ze względu na ciągle znikome zainteresowanie tema-tem zarządzania ryzykiem.
Badanie wykazało, że ponad 90 proc. respondowanych podmiotów rozpatruje ryzyko jako możliwość wykorzystania go w celu osiągnięcia dodatkowych (niepla-nowanych) korzyści. Znajduje to odzwierciedlenie szczególnie w rocznym plano-waniu działalności oraz planoplano-waniu działalności inwestycyjnej (rys. 2).
Rys. 2. Powiązanie zarządzania ryzykiem z innymi procesami w przedsiębiorstwie (w proc.)
Źródło: Opracowanie własne na podstawie zgromadzonego materiału badawczego N = 45. Poszczególne kategorie nie sumują się do 100%. Przedsiębiorstwo mogło wskazać kilka z procesów
6 Ze względu na nielosowy dobór próby oraz jej liczebność wyniki i wnioski odnoszą się jedynie do przedsiębiorstw objętych badaniem.
77,27 77,27
63,64 63,64
45,45
40,91 40,91 36,36
31,82 31,82 27,27
0 10 20 30 40 50 60 70 80 90
[w %]
planowanie roczne;
planowanie inwestycji;
planowanie budżetu rocznego;
raportowanie wyników działalności;
planowanie wybranych obszarów działalności (np. tylko w obszarze eksportu);
audyt;
planowanie budżetu wybranych obszarów działalności;
raportowanie dla zarządu;
planowanie strategiczne (np. przez analizę SWOT);
raportowanie realizowanej inwestycji;
raportowanie dla podmiotów (instytucji) zewnętrznych
Prawie 80 proc. respondowanych dostrzega potrzebę uwzględniania aktywnego zarządzania ryzykiem w tych obszarach. Jednak już tylko 31 proc. badanych pod-miotów widzi potrzebę uwidaczniania ryzyka w raportowaniu realizacji inwestycji.
Podobny rozdźwięk widoczny jest w uwzględnianiu problemu ryzyka w planowa-niu operacyjnym i strategicznym. Gdy w przypadku planowania rocznego prawie 80 proc. podmiotów wskazało, iż ryzyko jest istotnym jego elementem, tak przy planowaniu strategicznym, długookresowym wykazuje to tylko 31 proc. podmio-tów. Pamiętając, że długookresowe postrzeganie problemu ryzyka może kształto-wać szanse wynikające z wystąpienia zdarzeń ryzykownych, uwzględnienie ich w strategii kierownictwa i w procesie ustalania celów wydaje się być istotnym czynnikiem kształtowania rozwoju firmy. Element ten jest jednak wyraźnie pomi-jany w budowaniu strategii badanych przedsiębiorstw (dwa z trzech badanych podmiotów nie widzi takiej potrzeby). Jak zaleca chociażby „Podręcznik wdroże-nia systemu zarządzawdroże-nia ryzykiem w administracji publicznej w Polsce”, identyfi-kację ryzyka należy wbudować do głównych procesów operacyjnych i kierowni-czych organizacji. Dzięki temu organizacja będzie dysponować aktualnym obrazem ryzyka, na które jest narażona, świadcząc usługi i realizując swoje cele.
Stwierdzenie to jest jak najbardziej prawdziwe nie tylko w jednostkach administra-cji publicznej, ale i w przedsiębiorstwach prywatnych.
Obszarem, który w opinii respondentów był najmniej łączony z ryzykiem, było raportowanie dla podmiotów (instytucji) zewnętrznych (27 proc. wskazań). Wydaje się jednak, że ten proces coraz częściej będzie wiązany z ryzykiem, gdyż coraz więcej instytucji zewnętrznych wymaga od podmiotów informacji na temat ich po-dejścia do problemu zarządzania ryzykiem.
Badane podmioty deklarowały prowadzenie wszechstronnej i systematycznej identyfikacji ryzyka wszystkich obszarów ich działalności (54 proc. badanych podmiotów). Wskazuje to, że nie tylko problem ryzyka jest dostrzegany w podej-mowaniu decyzji biznesowych, ale regularnie monitorowany. Wszechstronność identyfikacji znajduje wyraz w uwzględnianiu wielości źródeł ryzyka. Pomijając aspekt teoretyczny źródeł i uwarunkowań powstawania ryzyka, który autorka sze-roko omawia w książce7, w dalszej części analizie poddano wyniki przeprowadzo-nych badań w tym zakresie. Wskazania badaprzeprowadzo-nych podmiotów w tym obszarze pre-zentuje rysunek 3.
Spośród 12 zmiennych będących źródłami ryzyka w podmiotach gospodarczych za najistotniejsze respondenci uznali ryzyko finansowe (rozumiane szeroko i obej-mujące m.in. ryzyko utraty zaangażowanego kapitału, ryzyko oszustwa) - 77 proc.
wskazań. Drugim pod względem ważności było ryzyko utraty reputacji firmy - 72 proc. wskazań. Jako trzecie w kolejności wskazane zostało ryzyko utraty wykwali-fikowanej siły roboczej - 50 proc. wskazań. Ryzyka te należą do grupy ryzyka ope-racyjnego. Taka hierarchia źródeł ryzyka potwierdza sposób postrzegania go przez badaną grupę przedsiębiorstw (porównaj z wnioskami wynikającymi z analizy wy-kresu na rysunku 2). Jako generatory ryzyka o najniższym zagrożeniu uznano ry-zyko zgodności (9 proc.) oraz ryry-zyko przejęcia przez inny podmiot (4 proc).
7 I. Gorzeń-Mitka, Ryzyko w eksporcie …, s. 16 i dalsze.
Rys. 3. Źródła ryzyka uwzględniane w procesie identyfikacji ryzyka (w proc.) Źródło: Opracowanie własne na podstawie zgromadzonego materiału badawczego N = 45.
Poszczególne kategorie nie sumują się do 100%. Przedsiębiorstwo mogło wskazać kilka źródeł
Identyfikacja ryzyka w organizacji wymaga zastosowania odpowiednich narzę-dzi umożliwiających zdobycie wiedzy o jak najszerszym spektrum generatorów ry-zyka. Nie ma jednej, uniwersalnej metody identyfikacji ryry-zyka. Każda organizacja musi opracować własną metodę, biorąc pod uwagę swoje doświadczenie, wielkość i charakter organizacji. Jedna metoda nie wystarczy do identyfikacji wszystkich rodzajów ryzyka napotykanego przez organizację. Dlatego też konieczna jest kom-binacja metod, które umożliwią likwidację luk w procesie identyfikacji ryzyka. Ist-nieje paleta metod umożliwiających zgromadzenie informacji od prostych do bar-dzo zaawansowanych.
Tabela 1 przedstawia wyniki badań skonfrontowane z badaniem w zakresie praktyk zarządzania ryzykiem wśród przedsiębiorstw europejskich przeprowadzo-nym przez Federation of European Risk Management Associations (FERMA) w 2008 r. Zwracają uwagę znaczne różnice w stosowaniu poszczególnych narzędzi przez obie grupy podmiotów. Najczęściej przedsiębiorstwa subregionu często-chowskiego w identyfikowaniu ryzyka opierają się na własnych doświadczeniach - 95 proc. wskazań. Mimo że również w badaniu FERMA podmioty podkreśliły ich znaczenie, to ich wskazania były znacznie niższe - niewiele ponad 60 proc. Połowa respondentów subregionu częstochowskiego wskazała na istotność opinii eksper-tów w procesie wykrywania obszarów zagrożeń, w badaniu FERMA tylko co 3 podmiot. Europejskie podmioty jako drugą w kolejności wskazały burzę mózgów (61 proc. wskazań), podkreślając tym samym jej znaczenie nie tylko w procesie identyfikacji zdarzeń, ale w budowaniu kultury organizacji. Wysoki poziom
kultu-27,3 ryzyko zgodności (compliance risk)
nowe metody obsługi klienta technologia bezpieczeństwo (np. systemów
komputerowych)
ry organizacji, jak podkreślają badacze i praktycy zarządzania, jest warunkiem efektywności procesu zarządzania ryzykiem korporacyjnym przedsiębiorstwa.
Wśród podmiotów subregionu częstochowskiego stosowanie tej techniki wykazało co 3 przedsiębiorstwo.
Tabela 1. Narzędzia i techniki wykorzystywane w identyfikacji ryzyka (w proc.) Narzędzia i techniki wykorzystywane
w identyfikacji ryzyka
Wskazania respondentów subregionu częstochowskiego
Badanie FERMA 2008
wcześniejsze doświadczenia 95 62
opinie ekspertów 50 29
przegląd dokumentacji 41 39
analiza procesów 36 b.d.
sondaże/ankiety 32 b.d.
burza mózgów 27 61
wywiad/ dyskusja grup fokusowych 23 b.d.
analiza SWOT 18 b.d.
proste modelowanie 9 21
analiza scenariuszowa 9 23
Źródło: Opracowanie własne na podstawie zgromadzonego materiału badawczego N = 45. Poszcze-gólne kategorie nie sumują się do 100%. Przedsiębiorstwo mogło wskazać kilka metod.
FERMA European risk management benchmarking survey 2008, www.fermaasso.org, s. 42
Zwraca uwagę znaczna różnica w stosowaniu metod wymagających pewnego stopnia modelowania. Zarówno analiza scenariuszowa, jak i proste techniki mode-lowania wykorzystywane są tylko przez co 10 podmiot w regionie częstochow-skim, gdy w badaniu FERMA wykazało to co 5 przedsiębiorstwo. Może to być wynikiem braku wiedzy i umiejętności w tym zakresie i co za tym idzie niedoce-nianiem skuteczności tych technik. Oba badania podkreślają znaczenie wewnętrz-nych baz dawewnętrz-nych dotyczących zdarzeń z przeszłości, które były nośnikami ryzyka.
Powyższe rozważania w zakresie identyfikacji ryzyka wydają się być szczegól-nie istotne, wykazując praktyki w tym zakresie małych i średnich podmiotów w Polsce. Konfrontacja ich z praktyką przedsiębiorstw europejskich, których do-świadczenie w zakresie zarządzania ryzykiem jest większe, wydaje się być cenną wskazówką.
Zakończenie
Zarządzanie ryzykiem, a szczególnie obejmujące kompleksowe radzenie sobie z ryzykiem, nie może być traktowane jako jedna z możliwości, którą przedsiębior-stwo może wykorzystać w celu usprawnienia procesów decyzyjnych, ale staje się wymogiem coraz częściej obligatoryjnym lub pożądanym. Stąd profesjonalne po-dejście do wdrażania i integracji tego procesu z pozostałymi procesami przedsię-biorstwa wydaje się być koniecznością. Identyfikacja ryzyka generowanego na
różnych poziomach i obszarach działalności przedsiębiorstwa jest istotnym, klu-czowym elementem tego procesu, warunkującym jego efektywność. Jak wskazują przytoczone w artykule badania, identyfikacja ryzyka w małych i średnich przed-siębiorstwach nie jest już działaniem sporadycznym, jednak nadal w znacznym stopniu odbiegającym od praktyk europejskich. Wnioski wykazane w przytoczo-nych badaniach wydają się być cenną wskazówką dla przedsiębiorstw polskich. Jak podkreślano niejednokrotnie w toku wywodu, działania mające na celu zarządzanie ryzykiem na poziomie korporacyjnym muszą być wynikiem ukształtowanej świa-domości (kultury) co do jego wagi.
Autorka ma świadomość, iż powyższe opracowanie ma charakter informacyjny i zarysowujący szeroką problematykę nie tylko identyfikacji ryzyka i jego źródeł, ale również zarządzania ryzykiem (w szczególności w ujęciu kompleksowym).
Podkreślić należy jednak, iż zagadnienie to, mimo swojej złożoności, stało się obecnie istotnym elementem procesów decyzyjnych przedsiębiorstw.
Literatura
1. Enterprise Risk Management - Integrated Framework, The Committee of Sponsoring Organiza-tions of the Treadway Commission 2004.
2. Enterprise Risk Management in the United States, KPMG LPP 2008.
3. FERMA European risk management benchmarking survey 2008, www.fermaasso.org 4. Gorzeń-Mitka I., Ryzyko w eksporcie, Wydawnictwo KeyText, Warszawa 2007.
5. Korombel A., Ryzyko w finansowaniu działalności inwestycyjnej metodą project finance, Difin, Warszawa 2007.