Identificazione dei rischi
La pianificazione del risk management di un progetto implica per prima cosa la definizione generica delle categorie di rischio: di tipo tecnico (inaffidabilità di una nuova tecnologia…), qualitativo (cambiamenti imprevisti negli standard industriali…), prestazionale (ambiziosità dei risultati attesi…), gestionale (allocazione delle risorse…), organizzativi (conflittualità fra vari reparti aziendali…), esterni (scioperi…), etc. A questo punto si passa a quella specifica, inerente il progetto, attraverso:
- analisi del piano di progetto
- raccolta di informazioni utili (interviste ad esperti, brainstorming, etc.),
- compilazione di check-list messe a punto in base a dati storici e analoghe esperienze
- verifica delle ipotesi e degli assunti di base del progetto
- tecniche specifiche (diagrammi di causa-effetto, flow-chart dei processi, diagrammi di influenza, etc.)
Analisi qualitativa dei rischi
Una volta identificati i rischi per i quali è necessaria una specifica azione, passeremo a definirne le priorità in base ai potenziali effetti che potrebbero avere sul piano di progetto.
Per fare questo, ottenendo così una lista dei rischi organizzata per ordine di importanza, prenderemo in esame:
- piano di gestione dei rischi
- lista dei rischi identificati
- stato globale del progetto e sua tipologia
- attendibilità dei dati raccolti
- “peso” (in termini di probabilità ed impatto) dei singoli rischi
- validità delle ipotesi utilizzate
Analisi quantitativa dei rischi
La lista ottenuta ci indica dove focalizzare la nostra attenzione e i nostri sforzi per poterli eventualmente fronteggiare, ma non dà nessuna indicazione sul “quanto” mettere in campo in termini di risorse economiche, umane e di tempo.
Inoltre, a questo punto va definita anche l’effettiva probabilità (in termini numerici) che avremo di raggiungere gli specifici obiettivi di progetto, sia un indicatore dell’esposizione verso i singoli rischi, che ci permetteranno di valorizzare le “riserve di contingenza” da prevedere ed accantonare. Gli strumenti che potremo usare sono molteplici:
- analisi di sensibilità, che consente di stabilire la relazione fra singolo rischio e obiettivo di progetto considerato;
- analisi decisionale “ad albero”, che aiuta a scegliere tra le varie alternative;
- simulazione, che usa modelli matematici (ad es. il metodo Monte Carlo) per calcolare il potenziale impatto delle “incertezze” sugli obiettivi di progetto.
Come risultato, la lista dei rischi sarà ora ordinata in funzione del loro impatto numerico rispetto agli obiettivi di progetto e sarà anche arricchita da una serie di previsioni probabilistiche sui possibili risultati numerici delle variabili connesse agli obiettivi di progetto (ad es. circa le date di completamento, i costi, etc.), con i relativi livelli di confidenza attribuibili a ciascuna previsione, per affinare le decisioni.
La risposta ai rischi
In questa fase svilupperemo le opzioni e determineremo le azioni in grado di ridurre ogni minaccia potenziale, identificando e assegnando ai componenti del team le specifiche responsabilità in relazione al tipo di risposta al rischio già concordata: concordata tra tutti e assegnata ad un unico responsabile per la sua gestione, deve avere costi congrui ed essere appropriata, tempificata e realistica.
Si possono adottare diverse strategie di gestione dei rischi, e ovviamente per ciascun rischio andrà selezionata quella più efficace:
- evitare il rischio, adeguandolo per eliminare la condizione rischiosa (evitare attività ad alto rischio, aggiungere risorse, rinunciare a un processo innovativo, utilizzare fornitori collaudati, etc.);
- trasferire il rischio, soprattuto se finanziario, spostandone le conseguenze a carico di una terza parte (stipulando polizze assicurative o impostando con il cliente un contratto a consumo);
- mitigare il rischio, riducendone le probabilità o le conseguenze (ad es. prevedendo più tempo per una certa attività critica, progettando un sistema con ridondanza delle parti critiche…);
- accettare il rischio, in maniera attiva (attuando comunque un piano contingente) o passiva (intervenendo solo nel momento in cui l’evento si manifesterà); la più diffusa modalità di accettazione di un rischio è prevedere una “riserva di contingenza” (ad es. su tempo, risorse, etc) da usare cioè solo se sarà necessario.
Otterremo così, alla fine del processo, un registro in cui descrivere rischi e aree di progetto impattate, il responsabile per ciascuno, i risultati dell’analisi specifica, la risposta e le azioni prestabilite, il livello previsto di rischio residuo dopo aver messo in atto la strategia identificata, il budget e i tempi relativi alla risposta al rischio, gli eventuali piani di contingenza e le riserve previste.
Monitorare i rischi
L’efficace controllo dei rischi è un processo continuo che attraversa tutto il ciclo di vita del progetto: bisogna infatti tenere traccia dei rischi identificati, monitorare quelli residui e identificarne di nuovi; garantire l’esecuzione del piano di risposta e valutarne l’effettiva efficacia; attivare rapidamente i piani di contingenza previsti in caso di necessità e, non ultimo, comunicare con tutti coloro che sono coinvolti per definire il grado di accettabilità globale del rischio progettuale.
Nello specifico, si valuterà se: le azioni di risposta ai rischi sono state eseguite come pianificato; tali azioni sono state efficaci come preventivato, o se bisogna identificarne di nuove; tutti i presupposti e gli assunti di base del progetto relativi ai rischi sono ancora validi; l’esposizione ai rischi non si è modificata; un evento-spia si è verificato indicando il concretizzarsi di un rischio; si stanno eseguendo le procedure corrette; sono in atto rischi non precedentemente identificati.
In questa fase la comunicazione è essenziale: si potrebbero dover attuare strategie alternative o addirittura ripianificare l’intero progetto, per cui ricordiamo, tra gli strumenti usati per tale scopo, le sessioni di verifica con auditor esterni, le project review periodiche, le analisi dell’EV (Earned Value) per determinare la situazione economica del progetto, le misurazioni delle performance tecniche e qualitative.
Non dimentichiamo, infine, il vecchio adagio: «errare è umano, perseverare è diabolico»: tutti gli aggiustamenti apportati al piano di gestione dei rischi o al progetto, in seguito all ‘ effettivo verificarsi o meno degli eventi identificati come rischiosi, andranno a confluire in un apposito database per la documentazione dei rischi a livello aziendale superiore (repository delle cosidette “lesson learned”), in modo da incrementare il serbatoio di conoscenze da cui si attingerà per i successivi progetti, e aggiornare così check-list e procedure di gestione dei rischi.