(di Paolo Cecchini, PMO Leader, Project Management Specialist, Risk Manager, PMO South Central Mediterranean at Ericsson)
24/11/2015
A conclusione dell’evento IEPPM organizzato in collaborazione con Ericsson, riceviamo e pubblichiamo l’articolo di Paolo Cecchini, PMO Leader, Project Management Specialist, Risk Manager, PMO South Central Mediterranean at Ericsson.
Project Risk Management Executive
“Trova i rischi di progetto prima che i rischi trovino te”
Svegliandovi e preparando il caffè questa mattina avete corso un rischio. Andando al lavoro a piedi, in macchina o in bicicletta avete corso un rischio. Se avete deciso di conservare i vostri soldi in un conto bancario o avete deciso di investirli in azioni avete corso un rischio. Se nel fine settimana avete deciso di comprare un biglietto della lotteria o di recarvi al casinò per tentare la fortuna avete corso un rischio. Il rischio è imprescindibilmente presente in ogni nostra attività, specialmente in quelle che richiedono una scelta. Adottare una corretta strategia di gestione dei rischi è sicuramente utile nella vita di tutti i giorni ma diventa fondamentale nella gestione dei progetti dove per garantire il successo degli stessi è necessario realizzare la transizione dalla gestione reattiva dei rischi alla gestione proattiva e predittiva.
Storia
Il rischio in quanto tale è noto fin dall’antichità, ma la sua gestione in qualche in qualche modo organizzata è iniziata dopo i grandi cambiamenti nei sistemi di numerazione matematica, la comprensione delle basi statistiche sulla probabilità e la crescita di popolarità del gioco d’azzardo e delle scommesse. Ma è solamente nel rinascimento che comincia ad apparire una gestione “scientifica” delle basi statistiche applicabili al gioco. Sebbene il sistema di numerazione arabo caratterizzato dalle cifre oggi universalmente utilizzate sia stato introdotto in Europa tra il 1000 ed il 1200 d.C., consentendo quindi calcoli che andavano oltre la semplice addizione e sottrazione, si è dovuto attendere il Rinascimento perché le dieci cifre da 0 a 9 rimpiazzassero stabilmente i numeri romani. È infatti nel Rinascimento che appare il primo studio probabilistico sul gioco (carte, dadi, scommesse) ad opera del matematico, medico, astrologo e filosofo italiano Girolamo Cardano. Lo studio sistematico del Risk Management è iniziato dopo la seconda guerra mondiale, trasformandosi nella moderna concezione dopo il 1955 ed evolvendosi a partire dal 1970 ad oggi sia in ambito finanziario che operativo.
La cultura della gestione del rischio
Una gestione efficace del rischio presuppone l’esistenza nell’organizzazione (a tutti i livelli, dal più basso al più alto) della relativa cultura. Tale cultura diffonde il messaggio che la gestione dei rischi deve essere, per ogni membro dell’organizzazione, parte integrante della vita di tutti i giorni. In altre parole lo scopo della cultura del rischio è di creare un ambiente in cui sia manager che operativi siano continuamente alla ricerca del rischio e delle relative risposte in maniera tale da utilizzare quanto appreso per attuare decisioni operative efficaci. Gli ostacoli che si incontrano nella creazione della cultura del rischio sono molteplici, a partire dai costi di gestione del rischio stesso. Possiamo ulteriormente elencare:
- tempistiche ristrette
- mancanza di fiducia nell’effettiva applicazione di politiche di risposta ai rischi
- timore di un’interpretazione negativa dei risultati del processo di identificazione dei rischi
Quasi sempre l’origine comune delle problematiche sopra elencate risiede nella mancanza di comprensione dei vantaggi di un’efficace gestione dei rischi da parte dei livelli direttivi. Ciò fa si che ci sia resistenza nell’assegnare risorse adeguate per le attività di gestione dei rischi e che in caso di limitata disponibilità delle risorse stesse (quasi sempre) il taglio avvenga in quest’area.
Riveste quindi particolare importanza per il project manager o il risk manager riuscire a creare un ambiente di progetto in cui tutti gli stakeholder principali siano consapevoli della rilevanza e dell’efficacia di una appropriata gestione dei rischi. Le azioni utili per la realizzazione di quanto sopra descritto sono molteplici e a titolo di esempio possiamo elencare le seguenti:
- ottenere l’appoggio ed il supporto dei livelli direttivi e decisionali
- avvalersi del supporto di un risk manager esperto
- qualora necessario fornire formazione specifica nell’ambito della gestione dei rischi
- mantenere un’adeguata e completa struttura di comunicazione delle informazioni sui rischi verso gli stakeholder appropriati ed assicurarsi che tale struttura funzioni a dovere
- adottare strumenti informativi/informatici adeguati per la gestione dei rischi
- creare una base di conoscenza storica sui rischi gestiti e farne uso appropriato per i progetti futuri.
Definizione e caratterizzazione del rischio
In termini progettuali, la definizione di rischio più comunemente utilizzata è quella ratificata dal Project Management Institute:
“Un rischio è un evento incerto che qualora si verifichi ha un impatto positivo o negativo su uno o più obiettivi del progetto quali ambito, costi, tempi o qualità”.
È importante sottolineare il fatto, quasi sempre trascurato almeno nella nostra cultura mediterranea, che con la parola rischio si indicano sia condizioni positive (opportunità) che negative (minacce). È infatti fondamentale in fase di identificazione dei rischi individuare sia eventi che potrebbero avere impatti negativi sul progetto sia eventi che potrebbero invece rappresentare opportunità per il progetto stesso.
In una gestione dei rischi ben strutturata ogni rischio identificato viene definito utilizzando un metalinguaggio che comprende almeno i seguenti tre attributi:
- causa
- evento
- effetto
Oltre alla definizione tramite metalinguaggio i due parametri più importanti che caratterizzano un rischio (positivo o negativo che sia) sono la probabilità che l’evento si verifichi e l’impatto che può avere su uno o più obiettivi di progetto. Come vedremo più avanti relativamente all’analisi qualitativa dei rischi è abitudine diffusa attribuire un valore simbolico al rischio moltiplicando la probabilità per l’impatto del rischio stesso.
Il processo di Risk Management
Un’efficace gestione dei rischi non può prescindere da un processo rigoroso e completamente definito. L’obiettivo principale della gestione dei rischi è quello di minimizzare la probabilità e l’impatto di quelli negativi e di massimizzare la probabilità e l’impatto di quelli positivi. Il Project Management Institute definisce per la gestione dei rischi una struttura composta da sei processi distinti:
- Plan Risk Management
- Identify Risks
- Perform Qualitative Risk Analysis
- Perform Quantitative Risk Analysis
- Plan Risk Responses
- Control Risks
In linea generale ogni processo ha una serie ben determinata di dati in ingresso (Input), un insieme di strumenti e tecniche di elaborazione dei dati stessi (Tools and Techniques) ed una serie di dati in uscita (Output) che costituiscono il risultato dell’elaborazione del processo stesso e possono fungere da dati in ingresso degli altri processi di gestione dei rischi. È importante sottolineare che l’intera serie di processi di gestione dei rischi viene ripetuta iterativamente durante tutto il ciclo di vita del progetto dato che lo svolgimento delle attività necessarie per realizzare il progetto stesso possono in ogni momento generare nuovi rischi.
Il rischio di progetto origina dall’incertezza insita in tutti i progetti; possiamo distinguere due macro categorie di rischi:
- rischi conosciuti: sono quelli che sono stati preventivamente identificati, analizzati e per i quali sono state definite delle azioni di risposta atte a mitigarne gli effetti (o ad esaltarli nel caso di opportunità)
- rischi sconosciuti: sono quelli per i quali non è stata possibile un’adeguata identificazione e pertanto non possono essere gestiti proattivamente ma solamente in maniera reattiva qualora si verifichino.
È importante accennare anche ad alcuni concetti che caratterizzano il rischio all’interno delle organizzazioni o generalmente nei confronti degli stakeholder:
- Risk attitude: il grado di rischio che le organizzazioni o gli stakeholder sono disposti ad accettare;
- Risk appetite: il grado di incertezza che un’entità è disposta ad accettare come anticipazione ad un possibile vantaggio;
- Risk tolerance: il grado, l’ammontare o il volume di rischio che un’organizzazione può sostenere;
- Risk threshold: il livello di incertezza relativamente al quale l’organizzazione o gli stakeholder manifestano interesse al rischio; al di sotto di tale livello l’organizzazione accetterà il rischio, al di sopra di tale livello il rischio non verrà tollerato.
Come già detto in precedenza l’efficacia dei processi di Risk Management è garantita solamente se l’intera organizzazione manifesta pienamente il riconoscimento di tale attività.
Plan Risk Management
È il processo che definisce come verranno eseguite le attività di gestione dei rischi per uno specifico progetto. Tale processo garantisce inoltre che le risorse impiegate siano commensurate all’importanza del progetto per l’organizzazione e con essa bilanciate. Una pianificazione chiara e meticolosa aumenta notevolmente la probabilità di successo dell’intera catena di gestione dei rischi. Ha come risultato la realizzazione del documento di Risk Management Plan.
Identify Risks
È il processo che identifica i rischi che potrebbero avere impatti sul progetto e ne documenta le caratteristiche. Le attività’ di questo processo consentono al team di progetto di conoscere in anticipo gli eventi di fronte ai quali presumibilmente si troveranno e di gestirli conseguentemente in maniera coerente e proattiva. Ha come risultato la prima revisione del risk register, un documento contenente tutte le informazioni rilevanti sui rischi identificati e che verrà costantemente aggiornato durante lo svolgimento dei processi successivi.
Perform Qualitative Risk Analysis
È il processo che tramite un’analisi qualitativa in termini di probabilità ed impatto di tutti i rischi identificati fornisce una prioritizzazione degli stessi allo scopo di ridurre il livello di incertezza sul progetto e di favorire la concentrazione del gruppo di lavoro sui rischi ad alta priorità. Tramite una serie di tecniche di analisi quantitativa basate principalmente su una valutazione ad alto livello di probabilità ed impatto (non in termini strettamente numerici ma con definizioni del tipo Alto – Medio – Basso), il processo fornisce in uscita un aggiornamento del risk register con le nuove informazioni elaborate.
Perform Quantitative Risk Analysis
È il processo che attraverso una serie di tecniche analitiche numeriche e statistiche consente di valutare nel dettaglio l’esposizione al rischio del progetto nella sua totalità. Fornisce inoltre un prezioso strumento di valutazione per coloro tra gli stakeholder che verranno chiamati a prendere decisioni strategiche sul progetto stesso. Le tecniche e gli strumenti utilizzati in questo tipo di analisi sono generalmente piuttosto complessi e quindi costosi in termini di risorse impiegate, ragion per cui, anche se i risultati ottenuti consentono di prevedere con approssimazione molto alta il futuro del progetto e la sua profittabilità, vengono impiegati solamente per i rischi considerati più importanti in termini progettuali ed aziendali.
Plan Risk Responses
È il processo che in base ai risultati dell’analisi precedente definisce e sviluppa una serie di azioni di risposta al rischio atte a ridurre le minacce dei rischi negativi e ad aumentare i benefici dei rischi positivi. È importante sottolineare che a dispetto del nome del processo le azioni definite non vengono svolte in risposta al rischio qualora questo si verifichi, ma vengono svolte in anticipo allo scopo di manipolare a favore del progetto le probabilità e gli impatti relativi. Le risposte ai rischi vengono definite in accordo alle seguenti strategie di gestione:
- rischi negativi:
- Avoid: il rischio viene evitato completamente introducendo variazioni, ad esempio nello scopo del progetto;
- Transfer: il rischio viene trasferito ad una terza parte trasferendone anche la responsabilità di gestione, ma non viene eliminato. Un caso tipico è la stipula di una polizza assicurativa;
- Mitigate: il team di progetto realizza delle azioni atte a ridurre la probabilità e/o l’impatto dei rischi negativi e ad aumentare quelle dei rischi positivi;
- Accept: il team di progetto decide di accettare il rischio qualora si verifichi; esistono due tipi di accettazione del rischio: passiva, in cui il team gestirà il rischio all’occorrenza e si limiterà a documentare l’accaduto, e attiva in cui il team prevede in precedenza un piano di azioni di contingenza da attuare al momento del verificarsi del rischio stesso;
- rischi positivi:
- Exploit: si mettono in pratica tutte le azioni necessarie a far sì che il rischio positivo diventi certezza in maniera tale da beneficiarne completamente;
- Enhance: si mettono in pratica le azioni necessarie per incrementare la probabilità e/o l’impatto del rischio positivo per diminuire l’incertezza che non si verifichi;
- Share: il rischio viene condiviso con una terza parte avente maggiori capacità di gestirlo in maniera tale da diminuire l’incertezza sul rischio stesso e beneficiare dei suoi effetti positivi;
- Accept: si beneficerà degli effetti del rischio positivo qualora si verifichi, ma nulla viene fatto per favorire l’evento.
Control Risks
È il processo tramite il quale si implementano i piani di risposta ai rischi definiti in precedenza, si verificano e tracciano i rischi identificati, si controllano i rischi residui e secondari, si identificano nuovi rischi e si valuta globalmente l’efficacia dell’intera struttura di gestione. È tramite questo processo che la gestione dei rischi assume il carattere di iteratività menzionato in precedenza.
Il Risk Management In Ericsson
La cultura del Project Management è fortemente radicata nella nostra azienda al punto da aver definito una propria metodologia (fortemente basata sulle linee guida promulgate dal Project Management Institute) globalmente adottata. Ne consegue quindi che il Risk Management abbia una rilevanza notevole anche in virtù del fatto che tutte le nostre soluzioni vengono rilasciate sotto forma di progetto per cui il successo dei progetti stessi è fondamentale per l’andamento dell’azienda. All’interno della metodologia di Project Management il Risk Management assume quindi un ruolo fondamentale, al punto che sono state varate una serie di iniziative per ottimizzarlo ed estenderlo. Tali iniziative spaziano dall’erogazione di formazione specifica, alla revisione delle procedure attualmente in essere, alla verifica di conformità degli strumenti esistenti o all’analisi di nuovi strumenti da introdurre nel processo. Forte enfasi è data all’introduzione delle procedure di gestione dei rischi fin dalle prime fasi di negoziazione dell’offerta con il cliente allo scopo di aumentare l’efficacia dell’identificazione dei rischi stessi e dello sviluppo delle relative strategie di risposta, con conseguente beneficio per i risultati del progetto stesso sia per il cliente finale che per il fornitore.
Quanto descritto in precedenza scalfisce solamente la superficie di una disciplina complessa ed appassionante al tempo stesso, ma di estrema rilevanza per il successo di una qualsiasi attività. Per brevità non sono state affrontate ad esempio le tematiche di comunicazione con gli stakeholder che nel caso dei rischi, vista la delicatezza dell’argomento, sono particolarmente complesse. La speranza è che questa introduzione abbia stimolato l’interesse generale e trasmesso il messaggio che possiamo disporre di strumenti per aumentare la prevedibilità leggermente più avanzati della sfera di cristallo.
