Il Project Risk Management

Il Project Risk Management è un insieme di processi di gestione, identificazione, analisi, risposta, monitoraggio e controllo dei rischi di un progetto il cui scopo è quello di incrementare la probabilità e/o l’impatto di eventi positivi, e di ridurre la probabilità e/o l’impatto di eventi negativi su uno specifico progetto (PMI, 2009)[1]. 

Si tratta di un processo continuo che richiede una costante attenzione e la capacità di adattarsi rapidamente ai cambiamenti del contesto e delle circostanze e prevede una ripetuta successione di due attività principali: l’analisi del rischio e la gestione del rischio.

La prima attività, l’analisi del rischio, viene eseguita in pochi giorni dal Project Manager con l’ausilio di un analista e porta alla definizione del livello di rischio globale del progetto/processo. Inoltre, permette di valutarne l’accettabilità, di proporre strategie di trattamento del rischio e di stimare il livello che può essere raggiunto con esse.

La seconda attività, la gestione del rischio, viene eseguita nell’intervallo tra due analisi dal Project Manager e dai suoi collaboratori. Implica la messa in pratica delle strategie di trattamento del rischio, la raccolta di informazioni che permettono una migliore stima della probabilità, la gestione e l’approfondimento delle issues e l’investigazione continua del contesto (che può portare all’eventuale identificazione di nuovi rischi).

Il metodo Italferr prevede che il Project Manager (PM) non deleghi ad altri il ruolo di Risk Manager in quanto la gestione del rischio è così strettamente legata al raggiungimento degli obiettivi da rendere impossibile separare le due attività.

Il Project Manager deve fornire tutti i dati di contesto e stimare le criticità che verranno combinate nell’ambito dell’analisi. Inoltre, stima la probabilità di tutti gli scenari potenzialmente rischiosi e, se necessario, prende decisioni in base ai risultati dell’analisi di rischio.

Tuttavia, è raro che il Project Manager abbia la competenza per effettuare le analisi di rischio in modo adeguato e, in ogni caso, non ha mai il tempo necessario per farlo. Pertanto, l’analisi deve essere effettuata da un analista esperto, che sia in grado di far tesoro dell’esperienza maturata sui diversi progetti per generare valore sul progetto in analisi.

L’analisi di rischio richiede conoscenze specialistiche delle teorie del rischio e di tecniche avanzate, nonché esperienza nell’affrontare i rischi di un ampio portafoglio di progetti. Inoltre, l’analista deve avere l’autonomia necessaria per dissentire col Project Manager, se necessario. Tuttavia, gli analisti qualificati sono pochi e devono essere utilizzati su più progetti possibile.

In generale, è meglio evitare di fare il Risk Management piuttosto che ottenere analisi inaffidabili e capaci di indurre decisori a scelte errate. Per questo motivo, è importante che l’analisi di rischio sia effettuata da un professionista qualificato.

Il problema dell’Analisi di rischio: necessaria, potente, efficace e dispendiosa

Le metodologie di Project Management permettono di gestire la realizzazione di opere per mezzo di una sequenza di:

  • progetti e pianificazioni corretti;
  • una esecuzione accurata;
  • attività di controllo in grado di gestire adeguatamente le non conformità.

Questo quadro metodologico funziona bene fin quando è possibile ignorare la complessità del contesto.

I limiti di tempo, costi e risorse entro i quali bisogna raggiungere un obiettivo, generano la necessità di garantire una ragionevole affidabilità, e quindi predicibilità, della sequenza di attività che compone il progetto stesso.

Questa esigenza di affidabilità è frustrata dal fatto che le opere non possono essere realizzate in un’area asettica e protetta dagli influssi esterni.

A differenza di quanto vorremmo che accadesse (e cioè che un processo di progetto sviluppato a valle di un chiaro input del Cliente generi un output preciso e prevedibile), nel mondo reale il Cliente fornisce un input, il Team di Commessa implementa il processo, il contesto genera tutta una serie di input addizionali e tutti questi input influenzano il processo ed il suo output.

Cosa sono questi input? Si tratta di eventi, fuori dal nostro campo visivo o dal nostro controllo, che impattano sulla nostra produzione.

Gli eventi di cui parliamo hanno cause efficienti chiamate “fattori”[2] che sono di due tipi:

  • gli stakeholder, persone o organizzazioni che portano avanti una loro agenda e agiscono con coscienza e volontà;
  • altri fattori ambientali, economici, culturali, tecnologici, legali che sono “stati di cose” che impattano sulla nostra produzione.

Figura 1 – Impatto di Fattori e Stakeholder sul processo produttivo

Quindi, il contesto in cui si realizza un progetto è un “sistema” e cioè un tutto organico in evoluzione composto da elementi (fattori e stakeholder) che interagiscono tra di loro. Con questa prospettiva, anche il Team di Commessa ed il progetto nel suo insieme sono elementi del contesto.

I risultati finali di un’attività di progetto saranno quindi sempre generati dalla combinazione di tre addendi:

  1. il pianificato;
  2. gli imprevisti accaduti e noti;
  3. l’impatto di eventi possibili, non pianificati e non accaduti, oppure accaduti ma non rilevati, non conosciuti o non compresi sufficientemente da definirne precisamente l’impatto sugli obiettivi (che però è possibile).

I primi due addendi sono normalmente noti mentre, per quanto riguarda il terzo addendo (e cioè l’impatto dei rischi) è necessario fornire al Project Manager informazioni utili alla gestione dei rischi (o Risk Management) che è una componente fondamentale della gestione del processo produttivo a lui affidato.

Il livello di rischio globale (ovvero l’unico rischio che conta)

Coerentemente con il PMBoK del PMI, il metodo di Italferr considera due tipologie di rischio:

  1. il rischio individuale di progetto definito come un evento incerto o una condizione incerta che, se si verifica, ha un impatto positivo o negativo su uno o più obiettivi del progetto;
  2. il rischio globale del progetto definito come l’effetto dell’incertezza sul progetto nel suo complesso, che è generata da tutte le fonti di incertezza compresi i rischi individuali. Rappresenta l’esposizione degli stakeholder alle implicazioni delle variazioni nei risultati del progetto (sia positivi che negativi).

L’identificazione e l’analisi dei rischi individuali è un processo fondamentale per qualunque processo di risk management ma, a meno di aver a che fare con Project Manager particolarmente inesperti, raramente è in grado di generare valore significativo nell’ambito di una attività di Project Management in quanto fornisce informazioni su singoli eventi, peraltro nemmeno sicuri, che hanno sicuramente una priorità inferiore rispetto a problematiche già conclamate.

Infine, non permette di dire se il progetto si chiuderà nei tempi e nei costi previsti. 

Se non si è in grado di effettuare una efficace analisi del Livello di Rischio Globale e se non è esplicitamente richiesto dal Cliente, dal Contratto o da norme cogenti, raramente sarà il caso di mettere in piedi un processo di Project Risk Management.

Il Livello di Rischio Globale, invece, è la risultante dei potenziali di rischio apportati da tutti gli scenari compatibili con il progetto ed il contesto su un particolare obiettivo. Una corretta valutazione del Livello di Rischio Globale permette di qualificare la probabilità di raggiungimento di quel particolare obiettivo.

L’obiettivo per le analisi è la generazione di profili di rischio. Il profilo di rischio è un grafico che permette al PM di decidere l’eventuale necessità di azioni utili a tenere sotto controllo il progetto. Questa decisione avviene sulla base della correlazione tra i possibili scostamenti dal risultato atteso e la probabilità che lo scostamento effettivamente ottenuto sia inferiore.

Figura 2 Profilo di Rischio

Tra le altre cose, un profilo di rischio permette di capire qual è il migliore risultato credibile, qual è il peggiore risultato credibile e qual è la probabilità che si raggiunga o si superi una soglia di risultato massima o minima (per esempio che si vada in penale o, al contrario, che si vada in utile).

Nel profilo di rischio sono riportati i seguenti intervalli:

  • l’intervallo blu – rappresentativo dei risultati attesi;
  • l’intervallo con barra vuota rossa – rappresentativo dei risultati da attendersi a valle dell’accadimento di eventi indesiderati che peggiorano il contesto;
  • l’intervallo con barra vuota verde – rappresentativo dei risultati da attendersi a valle dell’accadimento di eventi inattesi che migliorano il contesto.

Il raggruppamento dei tre intervalli è definito in genere “sigaretta”.

Questi intervalli sono confrontati con delle soglie di tollerabilità (rappresentate dalle fasce inferiori del grafico, codificate per colore), per valutare il possibile comportamento del progetto rispetto ai target prefissati.

Figura 3 – La cosiddetta “sigaretta”

Questo è il “rischio che conta” perché cambia le carte in tavola. L’esistenza di un’alta probabilità che l’intero progetto vada in ritardo, o costi di più, o raggiunga un livello qualitativo/funzionale insufficiente, è una issue[3] abbastanza importante da cambiare la pianificazione e mobilitare risorse per la mitigazione.

L’esistenza di un’alta probabilità di avere un ritorno economico o reputazionale superiore alle attese, è una issue abbastanza importante da cambiare la pianificazione e mobilitare risorse per perseguire quella opportunità.

Se focalizzate sul rischio globale del progetto, le Analisi di Rischio sono molto più utili perché permettono di pre-vedere (e cioè capire in anticipo il trend del progetto) ed agire con un buon margine di anticipo rispetto al momento in cui un eventuale danno si concretizza.

Il problema delle 300 ore

A valle di una importante attività di ottimizzazione ed automazione, è stato possibile mettere a punto un metodo che permette di tracciare due profili di rischio (cioè un profilo dei tempi ed uno dei costi) in circa 300 ore.

Abbiamo preso atto del “problema delle 300 ore” si presenta quando abbiamo calcolato che, per un portafoglio come il nostro (di 140 progetti), sarebbero necessarie ben 42.000 ore per eseguire il Risk Management su tutti i progetti.

Tuttavia, per far fronte a questa esigenza, sarebbero state necessarie 26 risorse esperte in Risk Management e pochissime società di ingegneria possono permettersi di mantenere un ufficio di Risk Management così riccamente staffato, considerando che gli analisti esperti sono una merce rara.

La soluzione per affrontare questo problema è quella di selezionare accuratamente i progetti sui quali effettuare il Risk Management, in modo da massimizzare l’efficacia di questa attività e concentrare le risorse disponibili sui progetti più critici.

Quando si tratta di gestire il rischio in un progetto di ingegneria, una delle domande più importanti da porsi è: quando è il momento giusto per effettuare l’analisi di rischio?

In generale, l’analisi di rischio è obbligatoria quando il rischio è alto, ma può essere uno spreco di risorse quando il rischio è basso.

Tuttavia, investire 300 ore di lavoro per decidere se è necessario fare Risk Management può risultare inefficace.

La scelta banale di effettuare l’analisi di rischio solo sui progetti ad alto costo non tiene conto del fatto che, quando si progetta una rete di trasporti, anche i progetti a costo basso possono avere impatti significativi sul budget, sulla qualità e sulla pianificazione. Inoltre, l’impatto reputazionale di un singolo fallimento può essere sproporzionato rispetto al reale danno causato sulla rete dal ritardo nella messa in linea del singolo asset.

In conclusione, il Project Risk Management è una pratica che dovrebbe essere adottata su ogni progetto, ma deve essere eseguita in modo mirato ed efficiente per massimizzare il valore aggiunto che essa può apportare.

Per questo motivo, è importante adottare un Modello di Analisi di Rischio ad Immediato Output che consenta di ottenere una risposta rapida e precisa sulla necessità di effettuare l’analisi di rischio su un determinato progetto.

Modelli di Analisi di Rischio ad Immediato Output

La disponibilità di un Modello di Analisi di Rischio ad Immediato Output (Project MARIO) offre una soluzione semplice ed economica per la gestione dei rischi. Grazie a questo strumento, il Project Engineer (PE), il Project Manager o uno dei loro collaboratori possono eseguire l’analisi di rischio in modo autonomo e veloce.

Il Modello di Analisi di Rischio ad Immediato Output si basa su valutazioni qualitative che possono essere effettuate sulla base delle informazioni già disponibili, evitando così la necessità di investire in ricerche e analisi costose. Questo modello è stato progettato per essere di facile utilizzo, in modo che anche i meno esperti possano utilizzarlo con facilità. In questo modo, il MARIO consente di implementare la gestione dei rischi in modo più efficiente e replicabile su molti progetti, garantendo una maggiore sicurezza e affidabilità dei risultati.

Project MARIO è uno strumento che consente di generare in modo speditivo un indice di rischio per il progetto in esame. Basato su un foglio MS Excel, il Modello di Analisi di Rischio ad Immediato Output parte da una valutazione qualitativa di 15 scenari di rischio scelti in modo oculato sulla base di analisi complete già effettuate. Si tratta di scenari generici ma realistici, individuati sulla base delle principali criticità emerse in passato su progetti analoghi. Tali scenari sono correlati a problematiche facili da rilevare o prevedere sul progetto e la loro valutazione richiede solo una semplice verifica della loro presenza o assenza.

Grazie a una serie di simulazioni automatiche, Project MARIO aggrega i risultati in un indice fornito come output. Tutto il processo richiede meno di 30 minuti, permettendo di valutare in modo rapido e semplice se sia necessario procedere con un’analisi di rischio più approfondita.

L’applicazione di Project MARIO fornisce informazioni sulla complessità della commessa, indipendentemente dagli obiettivi specifici della stessa, fornendo un indice numerico affidabile e di facile interpretazione. Il Modello di Analisi di Rischio ad Immediato Output non richiede che l’utente definisca gli obiettivi specifici della commessa in analisi, ma si concentra unicamente sulla possibilità che si creino alcune dinamiche capaci di portarla fuori controllo. In questo modo, Project MARIO fornisce un indice di complessità che, dopo una fase di testing sui progetti che hanno ricevuto un’analisi completa, ha mostrato una correlazione soddisfacente con il livello di rischio successivamente stimato; tale indice può quindi essere utilizzato per valutare la necessità di applicare un successivo processo di Project Risk Management ai progetti così analizzati.

La lettura dell’indice permette di posizionare i progetti in una tra queste tre zone:

  • la “Zona Verde” per un indice minore di 50, in cui in genere non è necessario il Project Risk Management;
  • la “Zona Grigia” per un indice tra 50 e 100, in cui lo strumento non fornisce informazioni sufficienti per determinare la necessità di applicare il Project Risk Management;
  • la “Zona Rossa” per un indice superiore a 100, in cui generalmente è necessario applicare il Project Risk Management.

Grazie a questo approccio indipendente dagli obiettivi delle commesse, il Modello di Analisi di Rischio ad Immediato Output rappresenta uno strumento versatile ed efficace per pianificare la gestione dei rischi, in grado di fornire un’analisi rapida e affidabile della complessità della commessa e di consentire decisioni informate sulla necessità di ulteriori analisi di rischio.


[1] Project Management Institute (PMI), 2009: Practice Standard for Project Risk Management.

[2] Questi fattori sono la chiave delle analisi di contesto e di rischio in quanto, mentre gli eventi sono futuri, potenziali e non ancora accaduti, questi fattori sono esistenti e presenti nel contesto nel momento dell’analisi e possono essere studiati, rilevati e misurati.

[3] Il rischio è la possibilità che un evento negativo accada e causi danni o perdite. Le issue, invece, sono problemi o questioni che sono già accaduti o stanno accadendo e che devono essere risolti. In altre parole, i rischi sono eventi futuri che potrebbero accadere, mentre le issue sono eventi presenti o già accaduti che hanno avuto o stanno avendo un impatto negativo.

Per esempio, un rischio potrebbe essere la possibilità che un’inondazione distrugga un’area industriale, mentre un’issue potrebbe essere un’inondazione che ha già distrutto l’area industriale e ora deve essere riparata e ripristinata.

In generale, la gestione dei rischi consiste nell’identificare, valutare e gestire i rischi potenziali, mentre la gestione delle issue consiste nell’identificare, risolvere e monitorare i problemi attuali.

Condividi:

  • GUIDO MASTROBUONO

    Laurea in ingegneria Civile nel 1996. Nel 1997 presta servizio come Vigile del Fuoco, Volontario Ausiliario. Nel 1998 entra in D’Appolonia S.p.A.. Da maggio 2000 a novembre 2003, opera a Copenhagen come “Civil Works Expert” ed “Central Hazard Log Manager” nel Chief Safety Manager Team della metropolitana di Copenaghen (Danimarca). Da aprile 2004 entra in ITALFERR S.p.A. e matura diverse esperienze. Dapprima opera nell’Unità Organizzativa Safety & Security e poi come focal point per l’adattamento dell’Analisi del Valore alla realtà ferroviaria. Successivamente gli viene affidata la responsabilità della struttura che si occupa di innovazione nei prodotti e nelle metodologie di lavoro ed in un secondo tempo la responsabilità dell’attività di Value Engineering. Dopo queste esperienze riceve l’incarico di formare un settore dedicato al Risk Management divenendo di fatto il focal point della Direzione Tecnica di ITALFERR per l’analisi di rischio aziendale (ERM). Da aprile 2018 è il Risk Officer di Italferr.

  • ALESSANDRO PIETRO SAULLO

    Laurea magistrale in ingegneria Gestionale nel 2008. Nel 2008 entra in Capgemini. Dal 2009 al 2012, entra nella struttura di Standard Metodologie e Value Engineering di Italferr S.p.A.. Dopo un’attività di ricerca con l’Università di Roma La Sapienza, dal 2014 al 2015 partecipa per ANAS International Enterprise S.p.A. al progetto di realizzazione in Libia dell'Autostrada Ras Ejdyer-Emssad, in veste di IT manager. Dal 2016 al 2017 assume l’incarico di Quality Manager per la Carlo De Giorgi S.r.l. Da aprile 2017 rientra in ITALFERR S.p.A., dapprima nella struttura di Controllo Computi, e dal 2019 nel Risk Office. Dal 2019 è il Lead Risk Analyst di Italferr.