Le molteplici definizioni di rischio

Non esiste una unica definizione del concetto di rischio: l’uso della terminologia del rischio si è esteso a più discipline con varie interpretazioni concettuali, che a volte sembrano non correlate. La finanza, la medicina e l’ingegneria ha una propria comprensione ed interpretazione del significato di “rischio”.

Ciò dipende dalla base epistemologica, ossia dalle teorie e metodi utilizzati per acquisire conoscenza, all’interno di quella disciplina. Pertanto, il modo in cui si comprende, interpreta e comunica il rischio dipende dalla disciplina di riferimento.

Il Project Management Institute (PMI) introduce due tipologie di rischio:

  1. il rischio individuale di progetto definito come un evento incerto o una condizione incerta che, se si verifica, ha un impatto positivo o negativo su uno o più obiettivi del progetto;
  2. ed il rischio globale del progetto definito come l’effetto dell’incertezza sul progetto nel suo complesso, generata da tutte le fonti di incertezza compresi i rischi individuali, che rappresenta l’esposizione degli stakeholders alle implicazioni delle variazioni nei risultati del progetto (sia positivi che negativi).

La definizione del PMI appare in qualche modo divergente da quella adottata nel mondo ISO che dedica esplicitamente al rischio la norma ISO 31000 ed afferma che il «Rischio è l’effetto dell’incertezza sugli obiettivi» di un processo, un progetto, una società.

A differenza di altre norme, la norma ISO non sembra concentrarsi tanto su eventi (in genere potenzialmente dannosi) quanto sul fatto che il grado di raggiungimento degli obiettivi dipende dalla presenza (o dall’assenza) di alcune informazioni nonché dalla nostra capacità di interpretarle.

In un certo senso, la norma ISO sembra affermare che un’analisi di rischio diventa un’analisi dell’affidabilità di ciò che si pensa di conoscere e di quanto (e come) le «nostre illusioni e/o delusioni» si possano riflettere sui risultati del nostro lavoro. 

Difficoltà nella creazione di valore aggiunto

Il concetto di rischio individuale di progetto è il più facile da assimilare e, per questo motivo, capita spesso che, in prima istanza, le organizzazioni si apprestino inizialmente a  mettere a punto un processo mirato alla individuazione delle principali minacce/opportunità che, in genere, viene eseguito a valle della analisi di contesto e prevedeva un approccio sistematico e mirato ad identificare tutte le possibili criticità dell’appalto e genera la prima bozza del Risk Register che è una tabella che descrive e caratterizza tutti i rischi individuati.

La successiva analisi e ponderazione dei rischi viene basata sull’assegnazione di una probabilità e di un impatto che individuavano una posizione del rischio nella matrice, a cui corrispondeva un livello del rischio preventivamente definito: alto, medio, o basso.

Il Risk Register viene quindi trasmesso al Project Manager presupponendo che, sulla base dei risultati dell’analisi, avrebbe deciso quali rischi sarebbero stati mitigati (generalmente i rischi critici, con maggiore prodotto di impatto e probabilità) e quali sarebbero stati monitorati (generalmente i rischi non critici) sulla base di considerazioni di carattere economico, di opportunità e di propensione al rischio[1].

L’esperienza ha però mostrato che è difficile che la sola analisi dei rischi individuali crei valore aggiunto in quanto l’identificazione dei rischi normalmente segue le idee del PM, così come l’assessment. Inoltre, le azioni di mitigazione sono scelte tra quelle già approvate e finanziate dal PM.

È importante considerare che i rischi sono eventi che potrebbero accadere in futuro e non necessariamente si verificheranno. Di conseguenza, essi hanno sempre una priorità inferiore rispetto ai problemi già esistenti e concretizzati. Inoltre, il livello di rischio massimo per singolo evento non può essere imposto dall’alto, ma dipende dal progetto e deve essere flessibile e deciso dal PM. In definitiva, in un mondo pieno di problemi aperti, un singolo rischio non ha un’importanza tale da giustificare un cambio di programma o un significativo dirottamento delle risorse.

Inoltre, la rappresentazione dell’impatto dell’incertezza sugli obiettivi di un progetto come se fosse la somma degli impatti di molteplici eventi indipendenti e disaccoppiati esaspera la gravità di alcuni problemi teorici ed alcune difficoltà che caratterizzano l’analisi dei rischi, come l’inevitabile incompletezza della identificazione e l’inaffidabilità degli assessment.

I rischi sono infiniti, come la fantasia di coloro che li identificano e dipendono da molte cose (dal contesto, dal progetto, dal cliente, dal Project Manager, dal numero dei rischi e dall’ottimismo o pessimismo di chi effettua l’assessment).

L’assessment è una previsione del futuro, ma gli uomini non possono predire il futuro.

Inoltre, l’impatto e la probabilità dei rischi dipendono dall’accadimento degli altri rischi e i rischi non si sommano, ma si combinano con correlazioni non sempre dirette e mai lineari.

Questi problemi fanno sì che la semplice valutazione dei singoli rischi sia quasi sempre insufficiente alla definizione di efficaci ed efficienti strategie di Risk Management.

Rischio Globale di Progetto

I problemi emersi nel tentativo di gestire separatamente i rischi individuali possono essere risolti focalizzando il lavoro sul raggiungimento degli obiettivi globali del progetto.

Livello di rischio globale

Il Livello di Rischio Globale è la risultante dei potenziali di rischio apportati da tutti gli scenari compatibili con il progetto ed il contesto su un particolare obiettivo. Una corretta valutazione del livello di rischio globale permette di qualificare la probabilità di raggiungimento di quel particolare obiettivo.

Il rischio globale si basa simulando l’accadimento dei diversi eventi identificati sulla base di probabilità, impatto e correlazione (cioè tendenza a sovrapporsi, escludersi, amplificarsi o smorzarsi) e stimando la probabilità di raggiungimento di quel particolare obiettivo.

L’applicazione del metodo di simulazione può essere semplice e, da un punto di vista informatico, richiede di utilizzare semplici fogli Excel. La concezione della metodologia deve essere però «tailor made» e cioè studiata in ragione dell’analisi specifica da un analista qualificato che lavori in stretta collaborazione con il Project Manager.

Questa operazione non richiede molto tempo, però richiede esperienza.

Per ogni obiettivo, si segue un processo preciso per valutare il livello di rischio:

  1. si prendono in considerazione i rischi presenti nel registro di rischio;
  2. le valutazioni di probabilità e impatto vengono rappresentate utilizzando distribuzioni statistiche equivalenti;
  3. attraverso l’utilizzo di funzioni RND (Random Number Generator), si valuta la possibilità che ciascun evento si verifichi e l’impatto che avrebbe;
  4. i risultati dei singoli rischi vengono combinati per calcolare l’impatto globale;
  5. questo processo viene ripetuto circa 6000 volte per avere una valutazione più precisa e affidabile del livello di rischio globale.

Profili di rischio

L’obiettivo per le analisi è la generazione di profili di rischio che sono grafici che permettono al PM di decidere l’eventuale necessità di azioni utili a tenere sotto controllo il progetto.

I profili di rischio sono grafici che associano i possibili scostamenti dal risultato atteso con la probabilità che lo scostamento effettivamente ottenuto sia inferiore.

Figura 1  – Profilo di rischio

Tra le altre cose, un profilo di rischio ci permette di capire qual è il migliore risultato credibile, qual è il peggiore risultato credibile, qual è la probabilità che si raggiunga o si superi una soglia di risultato massima o minima (per esempio che si vada in penale o, al contrario, che si vada in utile).

Questo è il “rischio che conta” perché cambia le carte in tavola. L’esistenza di un’alta probabilità che l’intero progetto vada in ritardo, o costi di più, o raggiunga un livello qualitativo/funzionale insufficiente, è una issue[2] abbastanza importante da cambiare la pianificazione e mobilitare risorse per la mitigazione.

L’esistenza di un’alta probabilità di avere un ritorno economico o reputazionale superiore alle attese, è una issue abbastanza importante da cambiare la pianificazione e mobilitare risorse per perseguire quella opportunità.

Se focalizzate sul rischio globale del progetto, le Analisi di Rischio sono molto più utili perché permettono di pre-vedere (e cioè capire in anticipo il trend del progetto) ed agire con un buon margine di anticipo rispetto al momento in cui un eventuale danno si concretizza.

Modifica del profilo di rischio globale

In generale, il PM può modificare il profilo di rischio del progetto cambiando le attività pianificate. In particolare, ci sono tre opzioni principali a disposizione del PM per ottenere una modifica del profilo di rischio:

  1. mettere in pratica azioni di mitigazione (protezione o prevenzione) per ridurre la probabilità o l’impatto dei rischi identificati;
  2. decidere di perseguire opportunità, utilizzando la migliore conoscenza del contesto per identificare opzioni progettuali o gestionali migliori rispetto a quelle originariamente pianificate e ottenere risultati migliori di quelli previsti;
  3. aspettare che il profilo cambi da solo, senza effettuare alcuna azione.

Le azioni di mitigazione possono influire sui fattori e gli stakeholder del progetto, rendendoli meno inclini a creare problemi. Le analisi di rischio possono indicare su quali fattori e stakeholder sia opportuno agire e quali categorie di scenari contribuiscono maggiormente al profilo di rischio. Le azioni di mitigazione implicano costi immediati, ma possono portare benefici futuri. Il perseguimento di opportunità implica la decisione di utilizzare la migliore conoscenza del contesto per identificare opzioni migliori di quelle originariamente pianificate, ottenere la modifica della pianificazione da parte di tutte le parti interessate ed effettuare le attività alternative per ottenere risultati migliori di quelli previsti.

È importante notare che le azioni mitiganti implicano un costo immediato, mentre le opportunità no. Inoltre, l’approvazione delle opportunità genera una modifica immediata del profilo di rischio, mentre le azioni richiedono tempo per essere messe in atto. D’altra parte, non è sempre possibile perseguire opportunità, poiché ci possono essere situazioni in cui nessuno è disposto a cambiare idea.

In alcuni casi, può essere opportuno adottare una strategia di “vigile attesa”, ovvero decidere di non fare nulla. Questo può essere il caso quando l’incertezza è dovuta all’assenza di informazioni che verranno acquisite più tardi nel progetto e non c’è nulla che si possa fare per anticiparle. In questi casi, è importante non dimenticare l’esistenza del rischio e fissare una data precisa per ripetere l’analisi completa in futuro.

Le decisioni prese a seguito di un’analisi dei rischi devono essere formalizzate in un piano d’azione, noto come Action Plan. Questo è un documento ufficiale, firmato dal Project Manager (PM), che contiene gli impegni precisi riguardo:

  1. le azioni mitiganti che verranno intraprese per ridurre o mitigare i rischi identificati;
  2. le opportunità che si decide di perseguire per migliorare il progetto;
  3. il momento in cui verrà ripetuta l’analisi dei rischi per valutare l’efficacia delle azioni intraprese e per identificare eventuali nuovi rischi.

Il piano d’azione è un documento importante perché permette di monitorare e gestire i rischi in modo efficace, garantendo che le decisioni prese vengano messe in atto e che le azioni intraprese siano efficaci nel mitigare tutti i rischi identificati.

Conclusioni

In conclusione, è importante riconoscere l’importanza di adottare un approccio olistico nella gestione del rischio nei progetti. La focalizzazione sul rischio globale di progetto emerge come una strategia essenziale per affrontare in maniera efficace la complessità e l’interdipendenza dei rischi in un contesto di progetto.

Attraverso l’uso di metodologie di simulazione e la creazione di profili di rischio, è possibile ottenere una visione più accurata e realistica dei rischi globali, superando le limitazioni di un’analisi basata esclusivamente su rischi individuali. Questo approccio consente ai Project Manager di anticipare e gestire meglio sia le minacce che le opportunità, contribuendo significativamente alla resilienza e al successo del progetto.

Per raggiungere questo obiettivo, è fondamentale un’analisi approfondita e personalizzata che tenga conto di tutti gli scenari di rischio possibili e delle loro interazioni. La capacità di modificare attivamente il profilo di rischio di un progetto attraverso azioni di mitigazione o l’identificazione di opportunità strategiche diventa un elemento chiave nella gestione proattiva dei progetti.

In definitiva, l’adozione di una visione globale del rischio, che considera tutti i fattori di incertezza e le loro possibili interazioni, si rivela essere non solo un approccio avanzato, ma una necessità per gestire efficacemente i progetti nell’attuale scenario di mercato, dove la complessità e l’incertezza sono sempre più la norma. Con questa mentalità, le organizzazioni possono migliorare significativamente le loro possibilità di successo e garantire un valore aggiunto sostanziale a tutti gli stakeholder coinvolti.


[1] Secondo prassi, tale elaborazione era effettuata con un forte supporto della struttura di cui fa parte lo scrivente e di altri esperti della direzione aziendale.

[2] Il rischio è la possibilità che un evento negativo accada e causi danni o perdite. Le issue, invece, sono problemi o questioni che sono già accaduti o stanno accadendo e che devono essere risolti. In altre parole, i rischi sono eventi futuri che potrebbero accadere, mentre le issue sono eventi presenti o già accaduti che hanno avuto o stanno avendo un impatto negativo.

Per esempio, un rischio potrebbe essere la possibilità che un’inondazione distrugga un’area industriale, mentre una issue potrebbe essere un’inondazione che ha già distrutto l’area industriale e ora deve essere riparata e ripristinata.

In generale, la gestione dei rischi consiste nell’identificare, valutare e gestire i rischi potenziali, mentre la gestione delle issue consiste nell’identificare, risolvere e monitorare i problemi attuali.

Condividi:

  • GUIDO MASTROBUONO

    Laurea in ingegneria Civile nel 1996. Nel 1997 presta servizio come Vigile del Fuoco, Volontario Ausiliario. Nel 1998 entra in D’Appolonia S.p.A.. Da maggio 2000 a novembre 2003, opera a Copenhagen come “Civil Works Expert” ed “Central Hazard Log Manager” nel Chief Safety Manager Team della metropolitana di Copenaghen (Danimarca). Da aprile 2004 entra in ITALFERR S.p.A. e matura diverse esperienze. Dapprima opera nell’Unità Organizzativa Safety & Security e poi come focal point per l’adattamento dell’Analisi del Valore alla realtà ferroviaria. Successivamente gli viene affidata la responsabilità della struttura che si occupa di innovazione nei prodotti e nelle metodologie di lavoro ed in un secondo tempo la responsabilità dell’attività di Value Engineering. Dopo queste esperienze riceve l’incarico di formare un settore dedicato al Risk Management divenendo di fatto il focal point della Direzione Tecnica di ITALFERR per l’analisi di rischio aziendale (ERM). Da aprile 2018 è il Risk Officer di Italferr.

  • ALESSANDRO PIETRO SAULLO

    Laurea magistrale in ingegneria Gestionale nel 2008. Nel 2008 entra in Capgemini. Dal 2009 al 2012, entra nella struttura di Standard Metodologie e Value Engineering di Italferr S.p.A.. Dopo un’attività di ricerca con l’Università di Roma La Sapienza, dal 2014 al 2015 partecipa per ANAS International Enterprise S.p.A. al progetto di realizzazione in Libia dell'Autostrada Ras Ejdyer-Emssad, in veste di IT manager. Dal 2016 al 2017 assume l’incarico di Quality Manager per la Carlo De Giorgi S.r.l. Da aprile 2017 rientra in ITALFERR S.p.A., dapprima nella struttura di Controllo Computi, e dal 2019 nel Risk Office. Dal 2019 è il Lead Risk Analyst di Italferr.