Quando si parla di gestione dei rischi è necessario fare una premessa: “non esiste obiettivo che possa essere raggiunto senza correre dei rischi.”
Questo vale per la gestione dei progetti, così come nella vita in generale.
Qualsiasi attività noi svolgiamo ci espone, in modo più o meno consapevole, a dei rischi. Quello di rischio è un concetto utilizzato di frequente nel linguaggio parlato, quante volte avrai ascoltato frasi del tipo “… questa strada è rischiosa” o “… questa scelta ci espone a rischi enormi” o ancora “… non possiamo permetterci di correre questo rischio”? Tantissime volte immagino. I rischi sono presenti in ogni attività ed in particolare in quelle che comportano delle scelte.
I progetti “innescano” il cambiamento ed il cambiamento porta con se incertezza
La gestione dei rischi di progetto è un qualcosa di molto delicato, che richiede metodo e grande esperienza. Non può essere improvvisata e va applicata durante tutto il ciclo di vita del progetto.
Ricorda che per loro natura i progetti “innescano” sempre il cambiamento, dato che hanno come obiettivo il rilascio di un servizio, un prodotto o un risultato che prima semplicemente non c’era. Quindi se non vuoi trovarti a combattere contro un nemico oscuro che ti azzererà budget e morale devi essere certo di avere nella tua personale cassetta degli attrezzi tutti gli strumenti necessari per gestire i rischi di progetto.
In questo post, senza entrare nei dettagli (almeno per il momento) di una disciplina complessa, ti parlerò dell’approccio generale che può essere utilizzato per gestire i rischi che possono influenzare il tuo progetto.
Ma andiamo dritti al punto: cosa si intende per rischio?
Ci sono diverse definizioni di rischio, più o meno strutturate. I principali standard di project management (PMBOK® 5a Edizione e PRINCE2), anche se con qualche piccola differenza, definiscono un rischio come:
“Un evento che, se si manifesta, può avere impatti sugli obiettivi del progetto, impatti che possono essere sia negativi che positivi.”
In sostanza durante il ciclo di vita del nostro progetto potremmo trovarci a gestire situazioni “eccezionali” per le quali sarà richiesto un utilizzo di risorse (umane, materiali, finanziarie) straordinarie. Queste risorse, a seconda dei casi, saranno utilizzate per fronteggiare le minacce (nel caso di impatti negativi sugli obiettivi di progetto) o massimizzare le opportunità (nel caso di impatti positivi sugli obiettivi di progetto).
Se sei il responsabile di un progetto relativo alla realizzazione di un nuovo resort a cinque stelle nell’area caraibica dovrai fare i conti con gli uragani (rischio negativo), che mediamente si manifestano tra giugno e novembre, ma che eccezionalmente presentano degli sconfinamenti sia in anticipo che in ritardo. Trascurare questo aspetto potrebbe costarti molto caro!
Allo stesso tempo, se sei il responsabile della realizzazione di un nuovo servizio web dovresti valutare la possibilità di dover gestire molti più accessi rispetto a quanto previsto (rischio positivo) e porre in essere tutte le azioni necessarie per massimizzare l’opportunità trasformando, ad esempio, contatti freddi in contatti caldi.
Ti faccio notare che la possibilità di dover gestire sia minacce che opportunità è una peculiarità dei progetti, dato che in altri contesti al concetto di rischio sono associate tipicamente solo le minacce, ossia:
“L’eventualità di subire un danno connessa a circostanze più o meno prevedibili (http://www.treccani.it/enciclopedia/rischio/).”
Quali sono gli attributi e le caratteristiche di un rischio?
Una gestione dei rischi strutturata prevede che a ciascun rischio vengano associati almeno tre attributi: CAUSA, EVENTO, EFFETTO.
Abbiamo detto inoltre che un rischio è un evento che “potrebbe” manifestarsi in futuro e “potrebbe” avere impatti sugli obiettivi di progetto. Questa considerazione introduce i due parametri più importanti che caratterizzano un rischio che sono la PROBABILITÁ DI OCCORRENZA, ossia la probabilità che l’evento si verifichi, e l’IMPATTO, ossia il potenziale impatto che il rischio può avere su uno o più obiettivi di progetto.
Dal punto di vista della loro identificazione è possibile definire i rischi come:
- rischi conosciuti: sono quelli che sono stati preventivamente identificati e analizzati. Per questi rischi è possibile adottare un approccio “proattivo” e definire tutte le azioni di risposta necessarie a mitigarne o esaltarne gli effetti a seconda che si tratti di minacce o opportunità
- rischi sconosciuti: sono quelli per i quali non è stata possibile un’identificazione preventiva. Questi rischi non possono essere gestiti proattivamente, ma, nel caso si verificassero, solo in modo reattivo.
Cos’è l’attitudine al rischio nelle organizzazioni?
Il livello di “cultura” alla gestione del rischio presente nelle organizzazioni è un aspetto fondamentale, che condiziona in modo non trascurabile l’azione gestionale del project manager. La tendenza al rischio da parte delle organizzazioni, e più in generale da parte di tutti gli stakeholder di progetto, dipende dall’attitudine al rischio che le caratterizza. L’attitudine al rischio può essere influenzata da diversi fattori, quali:
- la propensione al rischio (risk appetite): è il grado di incertezza che un’organizzazione è disposta ad accettare come anticipazione ad un possibile vantaggio. In altri termini, è il possibile impatto negativo (minacce), stabilito su tutto il portafoglio progetti, che l’organizzazione è disposta a sopportare in considerazione delle potenzialità di ritorno (benefici) legate alle attività “a rischio”
- la tolleranza al rischio (risk tollerance): il grado, l’ammontare o il volume di rischio che un’organizzazione può sostenere
- la soglia di riferimento (risk threshold): il livello di incertezza relativamente al quale l’organizzazione manifesta interesse al rischio; al di sotto di tale livello l’organizzazione accetterà il rischio, al di sopra di tale livello il rischio non verrà tollerato.
Tutti e tre i fattori sono fortemente influenzati dalla disponibilità di risorse dell’organizzazione. In termini generali, un’organizzazione solida dal punto di vista economico, finanziario e patrimoniale ha propensione, tolleranza e soglia maggiori. Allo stesso tempo, considerazioni legate alla strategia e alla gestione del portafoglio, potrebbero portare un’organizzazione ad avere attitudini al rischio differenti tra i vari progetti.
La gestione dei rischi di progetto
La gestione dei rischi non può prescindere dall’adozione di un processo strutturato.
Questo ti deve essere chiaro se ambisci a diventare un buon project manager. Ti dirò di più; nessun manager può definirsi tale se non ha una formazione almeno di base relativa alla gestione dei rischi. È un’area che va assolutamente presidiata.
Indipendentemente dal framework di riferimento, il processo di gestione è sempre articolato in una fase di identificazione dei rischi, un’analisi quali-quantitativa, una fase di sviluppo di azioni di risposta ed una fase di monitoraggio.
A seconda delle caratteristiche del progetto, in fase di pianificazione il project manager generalmente definisce come saranno condotte le attività di gestione dei rischi e stabilisce “chi dovrà essere informato riguardo cosa” (comunicazione).
Questi processi sono pensati per stimolare e dare risposta alle seguenti domande:
- Quali rischi potrebbero negativamente (minacce) o positivamente (opportunità) influenzare gli obiettivi di progetto? (Identificazione dei rischi)
- Quali sono i rischi più importanti e che richiedono maggiore attenzione? (Analisi qualitativa dei rischi)
- In termini probabilistici, quali sarebbero gli effetti che tali rischi avrebbero su costi e schedulazione? (Analisi quantitativa dei rischi)
- Cosa può essere fatto per mitigarne o esaltarne gli effetti? (Analisi delle risposte ai rischi)
- La nostra strategia di risposta sta funzionando? In quale stato si trova il progetto? (Monitoraggio)
- Chi deve essere informato e riguardo cosa? (Comunicazione)
Quale standard utilizzare?
Nel corso degli anni ho prevalentemente utilizzato il processo di gestione definito dal Project Management Institute (www.pmi.org), che personalmente trovo completo e versatile al tempo stesso, ma non ho trovato difficoltà ad applicare anche la metodologia definita dallo standard PRINCE2 e l’approccio Agile.
In termini generali, ricorda che un buon project manager deve essere sempre in grado di padroneggiare la metodologia selezionata, di norma proposta dall’organizzazione, ma non di rado imposta dallo sponsor e/o dal committente, e deve essere capace di adattare i processi alle caratteristiche del progetto, evitando laddove possibile inutili appesantimenti dell’azione gestionale.
Adesso, dato che ti ho citato i principali standard di mercato, ti riporto una breve panoramica dei processi di gestione definiti in ciascuno di essi, con la promessa di riprendere tutto con dovizia di particolari nei prossimi post.
Per questioni di sinteticità (non vorrei ti abbioccassi davanti al monitor …) non ti parlerò dell’approccio Agile, ma continua a seguirmi perché lo analizzeremo ampiamente in futuro.
Breve panoramica sul processo di gestione dei rischi definito dal PMBOK®
Nel PMBOK® 5a Edizione la “Gestione dei rischi” rappresenta una delle 10 aree di conoscenza, in essa cadono ben 6 processi articolati in modo da garantire la completa gestione dei rischi di progetto, dalla loro identificazione fino al monitoraggio e controllo dell’attuazione delle strategie di risposta.
I sei processi sono:
- Pianificazione della gestione dei rischi (Plan Risk Management)
- Identificazione dei rischi (Identify Risks)
- Analisi qualitativa dei rischi (Perform Qualitative Risk Analysis)
- Analisi quantitativa dei rischi (Perform Quantitative Risk Analysis)
- Pianificazione della risposta ai rischi (Plan Risk Responses)
- Monitoraggio e controllo dei rischi (Control Risks)
Pianificazione della gestione dei rischi
È il processo che stabilisce le modalità di gestione dei rischi per un progetto specifico. Tali modalità sono strettamente legate alle caratteristiche del progetto e all’importanza che esso riveste nel piano strategico dell’organizzazione. Appartiene al gruppo dei processi di pianificazione e genera come risultato (output del processo) il piano di gestione dei rischi.
Identificazione dei rischi
È il processo che identifica i rischi che potrebbero avere impatti sul progetto e ne documenta le caratteristiche. Sono diverse le tecniche utilizzate dal team di progetto per identificare i rischi (brainstorming, interviste, causa-effetto, analisi SWOT) ed il risultato del processo è la prima revisione del registro dei rischi (risk register). Questo documento sarà poi aggiornato durante tutto il ciclo di vita del progetto. Appartiene al gruppo dei processi di pianificazione.
Analisi qualitativa dei rischi
È il processo di assegnazione delle priorità ai rischi per ulteriori analisi o azioni tramite la valutazione e la combinazione della probabilità di accadimento e del relativo impatto. Uno degli strumenti più noti di questo processo è la matrice probabilità/impatto. Appartiene al gruppo dei processi di pianificazione e fornisce in uscita un aggiornamento del registro dei rischi con le nuove informazioni elaborate.
Analisi quantitativa dei rischi
È il processo che attraverso una serie di tecniche analitiche e statistiche consente di valutare nel dettaglio l’esposizione al rischio del progetto. Si tratta di “quantificare” numericamente gli effetti dei rischi identificati sugli obiettivi del progetto. Grazie a questo processo è possibile stimare il cosiddetto budget di contingency o riserva di contingency (contingency budget), ossia quella parte del budget di progetto destinata alla gestione dei rischi identificati e per i quali, a seguito di un’analisi approfondita, è stata individuata una strategie di risposta. Il budget di contingency consente quindi di sostenere i costi legati all’attuazione delle strategie di risposta qualora le minacce analizzate si presentino durante il ciclo di vita del progetto. Appartiene al gruppo dei processi di pianificazione.
Pianificazione della risposta ai rischi
È il processo che, in base ai risultati dell’analisi precedente, definisce una serie di azioni di risposta al rischio con l’obiettivo di ridurre le minacce dei rischi negativi e ad aumentare le opportunità connesse ai rischi positivi. I risultati ottenuti grazie a questo processo sono utilizzati per aggiornare il piano di progetto ed il registro dei rischi. Appartiene al gruppo dei processi di pianificazione.
Monitoraggio e controllo dei rischi
È il processo di implementazione dei piani di risposta ai rischi identificati, di monitoraggio dei rischi residui, di identificazione dei nuovi rischi e di valutazione dell’efficacia della gestione dei rischi durante l’intero ciclo di vita del progetto. È il processo che conferisce alla gestione dei rischi carattere di iteratività. Appartiene al gruppo dei processi di monitoraggio e controllo.
Breve panoramica sul processo di gestione dei rischi definito in PRINCE2®
La best practice M_o_R
Il Rischio è una delle 7 tematiche definite in PRINCE2®. L’approccio PRINCE2® alla gestione dei rischi è basato sulla pubblicazione OGC Management of Risk: Guidance for Practitioners, indicata sinteticamente con l’acronimo M_o_R, che di fatto rappresenta una best practice nell’ambito della gestione dei rischi.
M_o_R è basata su una serie di principi di carattere generale di cui i seguenti sono appropriati al contesto di progetto:
- Comprendere il contesto di progetto
- Coinvolgere gli stakeholder
- Stabilire gli obiettivi di progetto in modo chiaro ed inequivocabile
- Sviluppare l’approccio alla gestione dei rischi in funzione del contesto
- Riportare agli stakeholder le informazioni sullo stato dei rischi in modo regolare
- Definire in modo chiaro ruoli e responsabilità
- Supportare e favorire la diffusione della cultura alla gestione dei rischi all’interno dell’organizzazione
- <span “>Effettuare un monitoraggio continuo e prestare subito attenzione ai primi warning
- Gestire i rischi in modo iterativo, lungo tutto il ciclo di vita del progetto, migliorando continuamente
La procedura di gestione dei rischi
PRINCE2® raccomanda l’adozione di una procedura di gestione dei rischi articolata in 5 step:
- Individuare (Identify)
- Valutare (Assess)
- Pianificare (Plan)
- Implementare (Implement)
- Comunicare (Comunicate)
I primi quattro step sono sequenziali, il quinto viaggia invece in parallelo data la necessità di comunicare agli stakeholder i risultati parziali prima del completamente dell’intero processo di gestione. Tutti i passi previsti dalla procedura sono per loro natura iterativi e vanno ripetuti ogni volta che nuove informazioni sono rese disponibili.
Individuare
Questo step ha il duplice obiettivo di individuare contesto e rischi. Ti riporto di seguito un rapidissimo cenno alle due sottofasi.
Individuare il contesto
Lo scopo principale di questa fase è “identificare il contesto”, nel senso di ottenere le informazioni relative al progetto necessarie a conoscere ed elencare tutti gli obiettivi “a rischio” e formulare, di conseguenza, una strategia di gestione dei rischi (Risk Management Strategy). Ricorda che la strategia stabilisce “come” i rischi saranno gestiti per il progetto, pertanto dovrai definirla nella fase di avvio e revisionarla ad ogni stage, aggiornandola di volta in volta a seconda delle nuove informazioni che avrai. Nello sviluppo dell’approccio strategico dovrai inoltre considerare le policy stabilite dall’organizzazione (corporate risk management policy) e per il programma a cui il progetto appartiene (programme risk management policy).
Individuare i rischi
Lo scopo principale di questa fase è “identificare minacce ed opportunità” che potrebbero avere impatti sugli obiettivi di progetto. PRINCE2® raccomanda le seguenti azioni:
- Inserire le opportunità e le minacce nel registro dei rischi (risk register)
- Definire degli indicatori (warning indicator) per monitorare gli aspetti critici del progetto e fornire informazioni riguardo a potenziali sorgenti di rischio
- Comprendere il punto di vista degli stakeholder riguardo ai rischi riportati nel registro
PRINCE2® individua nei risk workshop (sessioni di gruppo specificamente pensate per individuare opportunità e minacce) uno dei modi più efficaci per identificare i rischi. Di solito queste sessioni sono coordinate da un facilitatore ed hanno come obiettivo l’individuazione ad ampio raggio dei possibili rischi e l’attribuzione di ciascun rischio ad un responsabile (risk owner).
Valutare
Anche questo step si scompone in due sottofasi: STIMA e VALUTAZIONE
La fase di stima (estimate) ha come scopo principale la conduzione di un assessment delle minacce ed opportunità, identificate durante la fase precedente, in termini di probabilità di accadimento e potenziale impatto sugli obiettivi di progetto. Esistono diverse tecniche per condurre una stima attendibile dei rischi di progetto, tra le più utilizzate cito:
- Analisi di Pareto
- Analisi (economica) del valore atteso
- Matrice (o griglia) probabilità/impatto
Nella fase di valutazione (evaluate) i rischi sono aggregati per avere un’indicazione chiara di quanto l’intero progetto “sia esposto a rischio” e se questo livello di rischio così determinato rientra nelle tolleranze stabilite dal Project Board. Se così non fosse potrebbe venire meno la cosiddetta continued business justification ed il progetto potrebbe terminare.
Pianificare
Lo scopo di questo step è di preparare specifiche azioni di risposta alle minacce e opportunità identificate, idealmente con l’obiettivo di rimuovere o ridurre al minimo le minacce e massimizzare le opportunità. In questa fase dovresti identificare e valutare attentamente diverse alternative per rispondere ai rischi (positivi e negativi) e dovresti sempre considerare il cosiddetto value for money, ossia la riposta al rischio deve essere sempre proporzionata al rischio stesso (…per difenderti non devi spendere più di quanto rischi!!).
Implementare
Lo scopo di questo step è di assicurare che le risposte ai rischi pianificate allo step precedente siano “attuate” e accuratamente “monitorate”. Nel caso i benefici scaturiti da tali risposte non fossero in linea con le attese sarà necessario intraprendere azioni correttive. Un aspetto importante di questa fase è assicurare che siano stati definiti in modo chiaro ed inequivocabile “ruoli e responsabilità” per la gestione dei rischi a supporto del project manager. Tipicamente basta individuare uno o più membri del team di progetto che si assumano la responsabilità “a tutto tondo” dei rischi, preoccupandosi del monitoraggio e dell’attivazione delle azioni di risposta. Tuttavia, PRINCE2® tiene separati i due aspetti ed individua due profili:
- Risk owner: colui che è responsabile della gestione, monitoraggio e controllo di tutti gli aspetti relativi ad un particolare rischio
- Risk actionee: colui che, coordinato dal Risk Owner, è responsabile di intraprendere le azioni di risposta relative ad un dato rischio
Comunicare
Come ti ho già accennato in precedenza, questo step è implementato in parallelo agli altri (che invece sono strettamente sequenziali) ed è condotto in modo continuo. Lo scopo principale è assicurare che tutte le informazioni relative alle minacce ed opportunità individuate siano note sia all’interno (team di progetto) che all’esterno (stakeholder) del progetto. PRINCE2® prevede diversi prodotti (management product) che possono essere utilizzati per la comunicazione dei rischi di progetto (Checkpoint report, Highlight report, End stage report, End project report, Lessons report).
Passo e chiudo …
In definitiva, anche se non ho approfondito una serie di peculiarità (e sarebbe stato comunque impossibile, questa è una disciplina che ha una letteratura sconfinata!!), è facile rendersi conto che le metodologie sono molto simili.
A costo di essere noioso, ti ribadisco l’importanza di questa disciplina che io ho imparato ad apprezzare (prima) e a padroneggiare (poi) sui progetti da me gestiti, sia in Italia che all’estero.
Diventare un buon Risk Manager, oltre che un apprezzato Project Manager, deve essere per TE un obiettivo da raggiungere al più presto, anche perché … se non sarai tu a scovare i rischi, stanne certo, prima o poi saranno loro a trovare te!!
Alla prossima!!
0 commenti
Trackback/Pingback