dr Jerzy Podlewski
Jak MSP zarządzają ryzykiem?
Termin „ryzyko” wraz z rozwijaniem się kolejnych, globalnych kryzysów gospodarczych na dobre zagościł na stronach mediów i jest wymieniany w niezliczonych kontekstach. Epidemia koronawirusa, spowodowała zaś, że zarządzanie ryzykiem nabrało niespotykanego znaczenia.
Termin „ryzyko” wraz z rozwijaniem się kolejnych, globalnych kryzysów gospodarczych na dobre zagościł na stronach mediów i jest wymieniany w niezliczonych kontekstach. Epidemia koronawirusa, spowodowała zaś, że zarządzanie ryzykiem nabrało niespotykanego znaczenia.
Wśród zalewu informacji o kłopotach wielkich korporacji umyka fakt, że małe i średnie przedsiębiorstwa są coraz częściej narażone na oddziaływanie takich samych rodzajów ryzyka jak wielkie firmy. Przykładem mogą tu być nieudane operacje na opcjach walutowych wielu polskich MSP. A przecież możliwość zakupu tak ryzykownych i skomplikowanych instrumentów finansowych była wcześniej niedostępna dla mniejszych przedsiębiorstw. Podobny, stosunkowo nowy problem dotyczy „pandemicznych” zakłóceń w łańcuchach dostaw (supply chains). Nawet najmniejsze firmy importują różnorodne towary i półprodukty z Dalekiego Wschodu, napotykają więc na te same ryzyka co największe globalne korporacje.
Czas na zarządzanie ryzykiem (także w MSP)
W czasach kryzysu przedsiębiorcy i menadżerowi ze znacznie większą uwagą zaczęli spoglądać na stosunkowo nową dziedzinę, jaką jest zarządzania ryzykiem gospodarczym (ERM – Enterprise Risk Management). Wciąż jednak zakłada się, że metody kontroli ryzyka mogą być stosowane wyłącznie w dużych przedsiębiorstwach. Są bowiem skomplikowane, czasochłonne i kosztowne. Początkowo trudno jest wyobrazić sobie zabieganego właściciela małej firmy transportowej dokonującego analizy ryzyka, procedury kojarzonej przede wszystkim z bankowością? Jakie mu to przyniesie korzyści?
Tymczasem istnieją gotowe, łatwo dostępne i bezpłatne wzory systemów zarządzania ryzykiem dla małych i średnich przedsiębiorstw, jak chociażby zestaw narzędzi do zarządzania ryzykiem dla MSP, którego powstanie wsparła Europejska Agencja Zdrowia i Bezpieczeństwa w Pracy. Coraz częściej również rozwiązania w zakresie zarządzania ryzykiem gospodarczym są projektowane w ten sposób, aby po odpowiednim dostosowaniu mogłyby być łatwo wykorzystane zarówno przez duże, jak i małe przedsiębiorstwa. Tak jest w przypadku amerykańskiego standardu zarządzania ryzykiem COSO II, czy popularnego w Europie standardu ISO 31 000 „Zarzadzanie ryzykiem. Zasady i wytyczne”, który w 2012 uzyskał również status polskiej normy (PN)
Zarządzania ryzykiem w MSP przynosi szybko ewidentne korzyści dla organizacji:
- dostarcza sygnały ostrzegawcze przed zbliżającym się zagrożeniem (np. związane z koncentracją dostaw surowca od jednego dostawcy);
- redukuje czasu i kosztów poświęcany na „gaszenie pożarów”;
- ułatwia dostęp do kredytów bankowych (analiza ryzyka pokazuje bankowi, że firma jest zarządzana przez kompetentnego menadżera, który zabezpiecza pieniądze banku przed zagrożeniami i wykorzystuje szanse, żeby je skutecznie pomnożyć);
- pomaga w osiąganiu celów biznesowych.
Sam proces zarządzania ryzykiem gospodarczym w małej firmie powinien składać się z następujących etapów: identyfikacji i monitorowania ryzyka, szacowania jego wielkości oraz odpowiedzi na ryzyko. Nie powinien się nigdy kończyć, a posiadać charakter sprzężenia zwrotnego. Raz zidentyfikowane i zredukowane ryzyko nie znika, często zaś jak kameleon zmienia swoją postać i intensywność. Trzeba je więc stale obserwować.
Jak zdobyć business case?
Przed ambitnym przedsiębiorcą planującym zarządzać ryzykiem pojawiają się oczywiście pewne wyzwania. Jednym z nich jest przekonanie (siebie, wspólnika, pracowników), że czas i koszty poświęcone na zarządzanie ryzykiem mają sens. Najlepsze jest oczywiście przekonanie się na przykładzie, zdobycie „dowodu” (tzw. business case) słuszności prowadzonych działań. Można przekornie zauważyć, że brak takiego „dowodu” sam w sobie powinno świadczyć o skuteczności wprowadzonego zarządzania ryzykiem.
Niestety dzisiejsze, burzliwe czasy dostarczają dostatecznie dużo przykładów firm, dla których business case – z powodu braku odpowiedniej kontroli ryzyka zamienił się w przysłowiowy gwóźdź do trumny.
Kolejnym wyzwaniem przy wprowadzaniu zarządzania ryzykiem jest fakt, że choć menadżerowie małych i średnich przedsiębiorstw są z natury rzeczy specjalistami od podejmowania ryzyka, to o samym ryzyku wiedzą niewiele. A częściej je „czują”, (niejednokrotnie zresztą doskonale), niż rozumieją. Przykład opcji walutowych wskazuje jednak, że dzisiaj popularny „czuj” już niestety, nie wystarczy.
Wreszcie, bardzo ważne jest znalezienie równowagi między ponoszonymi kosztami zarządzania ryzykiem (bo takie oczywiście są) i jego efektami. Koszty zarządzania ryzykiem nie mogą przewyższać potencjalnych strat z tytułu oddziaływania ryzyka i/lub niewykorzystanych szans.
Pamiętajmy również, że zarządzanie ryzykiem to raczej „sztuka zarządzania” i podobnie jak nauki ekonomiczne nie jest nauką ścisłą. Wiele zagrożeń można analizować z wykorzystaniem metod ilościowych (np. liczba awarii, czy spłacalność kredytów), korzystając z metod statystycznych „przewidywać” przyszłość. Jednak ostatecznie, człowiek bywa istotą irracjonalną. Lecz ….i tę irracjonalność można i należy poddać, choćby jakościowej analizie!
Gdzie wypatrywać ryzyka?
Aby zarządzanie ryzykiem było efektywne, najlepiej będzie jeżeli mały przedsiębiorca skoncentruje się na analizie tych obszarów działalności, które są kluczowe dla osiągnięcia sukcesu. Firmie z sektora MSP można zaproponować analizę ryzyka w następujących obszarach: Klienci, Procesy (produkcji, świadczenia usług), Finanse, Ludzie. W ramach wymienionych obszarów obserwacji ryzyka przedsiębiorca powinien podjąć wysiłek bardziej szczegółowej jego identyfikacji.
Podstawowe obszary identyfikacji ryzyka w MSP
Proponowana systematyzacja ryzyka dotyczy zagadnień dobrze znanych każdemu właścicielowi małej bądź średniej firmy. Doświadczenie potwierdza również, że bliższa refleksja nad poszczególnymi obszarami ryzyka może przynieść nawet zasadnicze zmiany w myśleniu o prowadzonym biznesie.
Małe czy duże?
Na pierwszy rzut oka największą trudnością w analizie ryzyka podejmowanej przez małego przedsiębiorcę jest próba określenie jego wielkości. Często można spotkać się z zarzutem, że jest to próba przewidywania przyszłości. Z drugiej strony każdy przedsiębiorca nieustannie usiłuje przewidzieć przyszłość. To istota sukcesu w biznesie. Zarządzanie ryzykiem powoduje natomiast, że owo spojrzenie w przyszłości zostaje oparte na realistycznych przesłankach i nabiera charakteru skoordynowanego, celowego działania.
Obecnie istnieją bardzo wymyślne, matematyczne metody określania wielkości ryzyka, szczególnie finansowego, jednak w przypadku ryzyka gospodarczego, skuteczne są metody jakościowe oparte na analizie danych historycznych (np. umów, dokumentów księgowych) i tzw. samoocenie (jak sama nazwa wskazuje przedsiębiorca sam ocenia ryzyko w swojej firmie).
Podstawowe wymiary ryzyka, które powinien określić przedsiębiorca, to wielkość skutków oddziaływania i prawdopodobieństwo wystąpienia ryzyka. Najprostsza skala dla obu wielkości to: małe – średnie – duże skutki/ryzyko. Im bardziej szczegółowo – tym lepiej: prawdopodobieństwo można wyrazić w skali procentowej (0-100% ), a skutki jako znikome, mało dotkliwe, duże, katastrofalne. Skalę skutków można też odnieść do oczekiwanej straty finansowej (np. skutki znikome, gdy strata < 2 tys. zł itd. ).
Oszacowanie wymiarów ryzyka pozwoli również łatwo skonstruować Mapę Ryzyka firmy, która jest jednym z podstawowym narzędzi zarządzania ryzykiem. Narysowanie Mapy pozwoli łatwo dostrzec, które ryzyko w firmie jest największe (trzeba natychmiast zareagować), a które może jeszcze poczekać.
Co z Tym Ryzykiem ?
Z ryzykiem można postępować zasadniczo na następujące sposoby:
- unikanie (np. nie podpisujemy kontraktu niosącego wysokie ryzyko),
- usunięcie źródła ryzyka,
- zmianę następstw ryzyka,
- zmianę prawdopodobieństwa (np. szkolenia BHP),
- dzielenie się ryzykiem z inną stroną lub stronami (np. z ubezpieczycielem, partnerem handlowym w klauzulach umowy),
- akceptować (co jednak nie oznacza rezygnacji z jego identyfikacji i oszacowania; akceptacja ryzyka musi być świadoma i uzasadniona),
- podjęcie (zwiększenie!) ryzyka w celu osiągnięcia określonych korzyści biznesowych.
Aby zarządzanie ryzykiem było skuteczne, przyda się jednak trochę biurokracji. Konieczne jest precyzyjne określenie: kto, kiedy i jak ma zamiar postępować z ryzykiem. Comiesięczny przegląd prostej tabelki w Excelu, w rodzinnej firmie, przy kawie na zapleczu pozwoli zweryfikować początkowe oceny ryzyka. Zapewne również pomoże dopracować się katalogu ryzyka kluczowego dla spokojnego funkcjonowania i dalszego rozwoju firmy.
W zarządzaniu ryzykiem pomocne bywa również określenie apetytu na ryzyko. Które ryzyko jesteśmy gotowi podjąć, żeby zwiększyć sprzedaż? Otworzyć nowy oddział? Wprowadzić nowy wyrób? Uwaga jednak! To koncepcja rodem z sektora finansowego i aby ją skutecznie wykorzystać, trzeba posiadać znajomość bardzo zaawansowanych metod zarządznia ryzykiem.
W określeniu apetytu na ryzyko łatwo wykorzystać wspomnianą Mapę ryzyka. Na Mapie przedsiębiorca zaznaczył (zacieniowane pola), że będzie unikał ryzyka w jej „najciemniejszym” obszarze, a redukował bądź akceptował ryzyko zidentyfikowane w pozostałym obszarze. Kreskowana linia apetytu na ryzyko oddziela obydwa obszary. Ponieważ nie każdego ryzyka można (a nawet trzeba) unikać, z pewnością ryzyko zidentyfikowane w zacienionym obszarze będzie wymagało szczególnej uwagi przedsiębiorcy.
Wielkość apetytu na ryzyko powinna być jednym z podstawowym elementów strategii każdego przedsiębiorstwa. Jest pochodną wielu czynników wewnętrznych i zewnętrznych dla organizacji (np. sytuacja rynkowa). Dlatego apatyt na ryzyko powinien być poddawany okresowej, systematycznej analizie.
Mądry Polak przed szkodą
Analiza spektakularnych często przypadków katastrof przedsiębiorstw pokazuje, że ich przyczyną było oddziaływanie ryzyka, które można było niejednokrotnie łatwo a nawet, niestety, bardzo łatwo kontrolować. Zawiniła niefrasobliwość i brak analizy.
Zarządzanie ryzykiem w przedsiębiorstwie, również małym i średnim nie musi być i nie jest drogie i nie wymaga zdobycia skomplikowanej wiedzy. Mądry przedsiębiorca przed i po szkodzie wydaje się dobrym motto zachęcającym dla jego zastosowania także w MSP.
O autorze:
dr Jerzy Podlewski
Ekspert i entuzjasta zarządzania ryzykiem biznesowym Enterprise Risk Management (ERM); posiada wieloletnie doświadczenie zawodowe jako manager i doradca w renomowanych firmach polskich i międzynarodowych; długoletni V-ce Prezes Stowarzyszenia POLRISK, Certyfikowany manager ryzyka, Certyfikowany Project Manager PRINCE2™; autor e-bestsellera księgarni empik „Zombie atakują! Zarządzanie ryzykiem po prostu”, e-booków, publikacji naukowych i prasowych; prowadzi stałą rubrykę „Ryzykonomia” w „Gazecie Ubezpieczeniowej”, gdzie publikuje artykuły na temat zarządzania ryzykiem; autor bloga, podcastu i newslettera www.ryzykonomia.pl.