Incertezza e rischio sono presenti nell’operazione di ogni impresa e di ogni progetto, qualunque sia il settore di attività considerato. Dobbiamo però premettere che incertezza e rischio non hanno lo stesso significato. Il rischio, infatti, al contrario dell’incertezza è, in qualche misura, identificabile, prevedibile e misurabile. Se l’incertezza può essere considerata un rischio soggettivo, la nozione di rischio è decisamente oggettiva: il rischio infatti esiste anche se il soggetto su cui potrebbe ripercuotersi non è in grado di avvertirlo, per una sua impreparazione o per uno scarso senso di previdenza. Questo ci porta a rilevare che la gestione del rischio è fortemente influenzata da fattori umani, sia quando parliamo dell’attitudine dell’individuo (da “avversa al rischio” a “ricercatrice del rischio”) che del comportamento di un gruppo (da quello del team di un progetto a quello dell’organizzazione di una impresa).
Ma prima di procedere all’analisi dei rischi, c’è un altro concetto fondamentale da chiarire e cioè: qual è la differenza tra rischio e pericolo? In realtà, anche se i due termini vengono spesso confusi, la differenza è fondamentale: il pericolo è la proprietà intrinseca di un determinato fattore potenzialmente in grado di causare danni, mentre il rischio è la probabilità che un evento – in grado di produrre dei danni per effetto di una fonte di pericolo – effettivamente si verifichi. Entra quindi in gioco il fattore probabilità, concetto che è fondamentale nella gestione di qualunque rischio, sia tecnologico che economico.
I rischi sono dunque degli eventi che ancora non esistono e che in effetti potrebbero non verificarsi mai: ciò li rende diversi dai fatti effettivamente accaduti nel passato o che si verificano attualmente. Se gli eventi passati e presenti possono essere studiati e misurati, quelli futuri possono essere immaginati e stimati. Un rischio dunque è legato ad un evento potenziale: se l’evento effettivamente si verifica, può costituire un problema. L’obiettivo del management dei rischi è dunque quello di intervenire prima che un rischio diventi un problema. Nella nostra analisi ci riferiremo prevalentemente ad un progetto che, peraltro, non è altro che un’impresa con un orizzonte temporale ben delimitato.
Se qualcosa può andare storto…
La più famosa legge esistente, vale a dire la Legge di Murphy, nella sua forma originale, stabilisce che: “Whatever can go wrong, will go wrong”. Che sia così, sembra confermato dalla nostra esperienza quotidiana. Il fatto è che, quando qualcosa in un Progetto va male inaspettatamente, ciò è spesso causa di perdite economiche, ritardi nel programma e impatto nella qualità del prodotto.
E dunque, poiché iniziative esenti da rischi non esistono, è chiaro che intraprendere un’iniziativa comporta la necessità di individuare i rischi ad essa legati e non fuggire da essi, e quindi anche la necessità di dotarci di un metodo che ci permetta di gestire i rischi dei nostri progetti e per evitare che diventino dei problemi o, quantomeno, che lo diventino inaspettatamente.
Il rischio è dunque una componente ineliminabile nella gestione di un progetto e rappresenta un fattore congenito in ogni attività economica. Le situazioni ambientali in cui imprese e progetti operano, sono spesso soggette a modifiche difficilmente prevedibili; ciò incrementa il numero dei possibili eventi negativi e le probabilità che essi si verifichino, si inserisce nei punti deboli delle strategie operative, e crea disorientamento e talvolta angoscia, anche nei manager più esperti.
Il management dei rischi è tuttora una disciplina a bassa priorità nella cultura dei Project Manager: il rischio viene considerato una attività extra, insita nel proprio lavoro, meno importante del lavoro stesso, che può essere trascurata di fronte alle priorità del progetto. Il rischio viene poi talvolta associato ad una persona o ad una organizzazione, e sembra scomparire quando quella persona, o quella organizzazione, non è nelle vicinanze. Ciò è anche dovuto al fatto che la nostra preparazione manageriale è in genere orientata in senso positivo (del tipo: mi programmo le attività da svolgere e le eseguo secondo il programma). L’identificazione dei rischi richiede invece una forma di pessimismo o di “mentalità negativa”, che si riflette nel porsi delle domande (del tipo: il cliente otterrà le autorizzazioni? il processo è consolidato? il fornitore davvero consegnerà in tempo? il subcontractor locale che mi impongono è affidabile? ecc..).
Il management dei rischi richiede quindi uno sforzo mentale che comporta l’accettare il principio che i nostri programmi, le nostre strategie e le nostre convinzioni possano essere sbagliate o che possano doversi adattare ad eventi esterni, e convincersi della necessità di un’analisi di ciò che può andare male e dall’esame di ciò che si può fare fin d’ora in modo da poter considerare accettabili le conseguenze dell’evento qualora esso si verifichi.
Il concetto alla base del Risk Management è quindi che i rischi vengano identificati, valutati, anche in termini quantitativi, ed opportunamente gestiti – e possibilmente ridotti – lungo tutto lo sviluppo del progetto. Pertanto, il Risk Management deve accompagnare la scelta delle strategie di un progetto (ma ciò vale anche, e come, nel caso della partecipazione ad una gara) e del relativo piano di esecuzione. Da notare che il management dei rischi non va confuso con l’attività di gestione del rischio quando questo si è materializzato. Quest’ultima è una modalità reattiva (Crisis Management) che affronta i problemi solo quando si sono verificati, mentre il management dei rischi – basato sulla identificazione dei rischi e lo studio di come gestirli – è una modalità di prevenzione.
E’ interessante anche notare come, nelle prime fasi di un progetto, la probabilità del verificarsi di eventi negativi sia più elevata, ma il loro eventuale impatto economico è solitamente limitato; viceversa, procedendo verso le fasi finali, ci si può aspettare una minore frequenza di eventi negativi, ma il loro impatto sul progetto, sia in termini di costo che di ritardo sul programma, sarà in generale più elevato. (Fig.1 ).
Tutto ciò conferma l’opportunità di una preventiva identificazione dei rischi e di uno studio di come gestirli, mitigandone le conseguenze nel caso si verifichino. E allora, come si gestiscono i rischi?
L’attività di gestione dei rischi è divisa in due fasi distinte:
La fase di Risk Assessment comprende dunque a sua volta due attività successive:
La fase di controllo, o monitoraggio, dei rischi consiste nella preparazione di una strategia di come affrontare il rischio, di come monitorarne gli sviluppi, ed un procedimento di rivalutazione del rischio lungo lo svolgimento del Progetto.
Il primo step nel processo di risk management consiste dunque nell’individuazione e nell’analisi dei potenziali rischi. Si tratta di un’attività che va iniziata durante le prime fasi della vita di un progetto e, nel caso di impianti industriali, durante gli studi di fattibiità economica: basti pensare alla rilevanza che in questa fase hanno i risultati dello studio di impatto ambientale.
Le principali tecniche di individuazione dei rischi sono
Il brainstorming workshop è costituito da un team di rappresentanti di tutte le discipline coinvolte nel progetto (leaders): è preceduto dall’identificazione di un certo numero di fattori di rischio (seeds) da parte dei leaders, fattori che, durante la sessione, vengono esaminati dai partecipanti alla sessione. La lista viene quindi completata dai partecipanti con l’inserimento di ogni altra voce di rischio potenziale. La tecnica del brainstorming ha in realtà degli oppositori: secondo questi ultimi, infatti, gli individui producono un maggior numero di idee lavorando da soli piuttosto che in gruppo, dato che le dinamiche di gruppo inibiscono la generazione di idee originali.
La tecnica Delphi (che evidentemente prende il nome dal celebre “oracolo”) si basa sulla partecipazione anonima di un gruppo di esperti: un moderatore distribuisce un questionario indirizzato a sviluppare delle considerazioni su possibili rischi e le risposte vengono sintetizzate e quindi tutte riproposte agli esperti per ulteriori valutazioni, fino a convergenza delle conclusioni. L’anonimato permette di evitare ogni influenza gerarchica sulle conclusioni.
La SWAT analysis si basa sull’individuazione e l’elencazione dei punti di forza (Strenghts), di debolezza (Weakness), delle opportunità (Opportunities), e dei pericoli (Threats). A sua volta, l’elenco può essere sviluppato in brainstorming oppure mediante la tecnica Delphi. È un metodo utile per ampliare la gamma dei rischi da prendere in considerazione.
Il metodo delle interviste è sicuramente meno rigoroso, ma talvolta dà risultati sorprendenti. Si basa sulla raccolta di opinioni, informazioni e idee attraverso interviste faccia a faccia, o al telefono, ai partecipanti al progetto, a degli stakeholders o ad esperti nei vari settori. Le interviste rappresentano una fonte di raccolta di dati utili proprio all’individuazione di molti rischi nascosti o visibili solo da angolazioni particolari.
In tabella 1 è riportato, a titolo di esempio, un elenco tipico di rischi da valutare connessi al processo di emissione di una offerta e, successivamente, di firma di un Contratto per un progetto di caratteristiche non abituali.
Tab.1 Elenco tipico di rischi da valutare nella preparazione di una offerta e prima della firma del Contratto
Una volta individuati i rischi, lo stesso team che ha effettuato questa operazione procede con lo step successivo (attenzione: siamo sempre all’interno del risk assessment ) cioè con la valutazione dei singoli rischi sulla base di parametri predefiniti (risk ranking). Ciò si può fare con diverse modalità, ed, in particolare mediante:
Il metodo della classificazione in categorie è piuttosto semplice: al team viene richiesto di classificare il rischio in 3 (o più) categorie, ad es.:
Il metodo di valutazione dell’indice di rischio può essere sviluppato in diverse maniere, comunque basate su di un procedimento simile a quello adottato nell’Analisi delle avarie (Failure Mode and Effect Analysis), molto comune soprattutto nella manutenzione predittiva delle macchine. Il team valuta l’indice di rischio IR come prodotto di 3 componenti, tutti espressi in scala da 1 a 10:
IR = I x G x D
dove:
Il team, inoltre, fissa il valore accettabile di IR (ad es.: 50). Da notare che, nei testi statunitensi, l’indice di rischio assume la forma:
RPN = O x S x D
dove :
Nei casi più complessi, la valutazione dell’indice di rischio si può avvalere di analisi quantitative del tipo “albero dei guasti” (fault tree analysis) oppure di simulazioni (what – if analysis) adatte a stimare l’impatto sul progetto del verificarsi dell’evento durante le varie fasi del progetto stesso. Il team può poi quantificare con maggiore accuratezza gli effetti dei rischi a indice più elevato mediante metodi di analisi probabilistica, quale ad esempio l’analisi “Monte Carlo”, che si basa sulla valutazione della combinazione delle differenti cause di un fenomeno. L’analisi Monte Carlo è un metodo che viene utilizzato per trovare le soluzioni di problemi matematici che contengono molte variabili e che non possono essere risolti facilmente, neanche con il calcolo integrale. L’efficienza del metodo Monte Carlo aumenta rispetto agli altri metodi quando la complessità del problema è elevata e quando gli eventi che potrebbero originare il verificarsi dell’evento sono particolarmente numerosi. In analogia alle analisi che riguardano la sicurezza di esercizio, è possibile classificare il livello di un rischio mediante una matrice che tiene conto della probabilità che l’evento si verifichi (indice di frequenza) e della gravità delle conseguenze (indice di gravità) ( Fig.2 ).
Tra i rischi accettabili e quelli non accettabili è poi possibile individuare un’area intermedia nota come ALARP (As Low as Reasonably Acceptable): ciò significa che i rischi che cadono in quest’area vanno ridotti per quanto è ragionevolmente conveniente. (Fig.3)
Prima di passare alla fase di controllo, i rischi individuati, vengono riportati, assieme alla classificazione o alla valutazione dell’indice di rischio, in un elenco (risk log), dove saranno indicati :
E’ opportuno che il team di progetto revisioni periodicamente il registro aggiornandolo, in modo che i rischi che diventano più probabili o più gravi siano più opportunamente gestiti mentre quelli a minore probabilità siano rimossi.
Il controllo – o monitoraggio – dei rischi consiste nella preparazione di un programma per affrontare il rischio, per monitorarne gli sviluppi, per attuare il piano, procedendo alla rivalutazione del rischio lungo lo svolgimento del Progetto. L’obiettivo del controllo dei rischi è quello di far rientrare ogni singolo rischio in un livello di accettabilità. Le azioni programmate per il controllo di ciascun rischio devono essere:
Le strategie di controllo dei rischi si basano su una o più possibili diverse modalità (strategie), ad es:
Prevenire il rischio significa accettarlo, ma anche effettuare le azioni che possano ridurre le probabilità che l’evento si verifichi e comunque fare quanto è possibile per evitare che l’evento si verifichi. Per un Contractor, la maniera più comune di cautelarsi dai rischi è quella di inserire, durante una gara, nel prezzo di offerta, delle contigencies. Le contingencies sono dunque un accantonamento previsto per coprire i costi derivati dal verificarsi di eventi negativi, previsti o non previsti, durante l’esecuzione del progetto. In altri termini, nelle spese previste per una certa attività viene aggiunta un’ulteriore somma per coprire i costi nel caso si verifichi un certo rischio. Se poi questo non si verifica, la contingency accantonata diventa un margine alla fine del progetto. Tuttavia, un Contractor non può mai esagerare con le contingencies poiché rischia di perdere la gara!
Mitigare un rischio significa:
Il trasferimento di un rischio si può realizzare:
Attenzione: il trasferimento di un rischio comporta di solito un costo (ad es: il pagamento di un premio) e non elimina il rischio!
E infine, l’accettazione del rischio: essa comporta che, nel caso di rischio a impatto e probabilità limitate, si possa decidere di accettare il rischio senza attuare azioni specifiche. In questo caso però, occorre monitorare il rischio durante la vita del progetto per verificare che probabilità e conseguenze non stiano aumentando.
Il controllo, o monitoraggio, dei rischi è un processo che, almeno nei progetti di maggiori dimensioni, si estende per tutta la vita del progetto verificando periodicamente:
Il review si effettua mediante :
A seguito del review può essere decisa :
Ne elenchiamo sinteticamente solo 2:
A cura di: Giorgio Zerboni
Le donne che si occupano di cybersecurity hanno un insieme distinto di competenze che possono…
“L’aereo è il mezzo più sicuro che esiste: è quello che fa meno feriti” Luciano…
Quando si parla di cybersecurity, la domanda più frequente è: come iniziare a impostare una strategia di…
A Sidney una piccola folla auspica l'utilizzo del gas per uccidere gli ebrei. In Germania,…
I profondi cambiamenti nel mondo della progettazione e produzione di macchine e macchinari, integrati sempre…
Il Parlamento Europeo approva ad aprile 2023 il Nuovo Regolamento Macchine. Ciò significa che, in…