Il Management dei Rischi

Introduzione

Incertezza e rischio sono presenti nell’operazione di ogni impresa e di ogni progetto, qualunque sia il settore di attività considerato. Dobbiamo però premettere che incertezza e rischio non hanno lo stesso significato. Il rischio, infatti, al contrario dell’incertezza è, in qualche misura, identificabile, prevedibile e misurabile. Se l’incertezza può essere considerata un rischio soggettivo, la nozione di rischio è decisamente oggettiva: il rischio infatti esiste anche se il soggetto su cui potrebbe ripercuotersi non è in grado di avvertirlo, per una sua impreparazione o per uno scarso senso di previdenza. Questo ci porta a rilevare che la gestione del rischio è fortemente influenzata da fattori umani, sia quando parliamo dell’attitudine dell’individuo (da “avversa al rischio” a “ricercatrice del rischio”) che del comportamento di un gruppo (da quello del team di un progetto a quello dell’organizzazione di una impresa).

Ma prima di procedere all’analisi dei rischi, c’è un altro concetto fondamentale da chiarire e cioè: qual è la differenza tra rischio e pericolo? In realtà, anche se i due termini vengono spesso confusi, la differenza è fondamentale: il pericolo è la proprietà intrinseca di un determinato fattore potenzialmente in grado di causare danni, mentre il rischio è la probabilità che un evento – in grado di produrre dei danni per effetto di una fonte di pericolo – effettivamente si verifichi. Entra quindi in gioco il fattore probabilità, concetto che è fondamentale nella gestione di qualunque rischio, sia tecnologico che economico.

I rischi sono dunque degli eventi che ancora non esistono e che in effetti potrebbero non verificarsi mai: ciò li rende diversi dai fatti effettivamente accaduti nel passato o che si verificano attualmente. Se gli eventi passati e presenti possono essere studiati e misurati, quelli futuri possono essere immaginati e stimati. Un rischio dunque è legato ad un evento potenziale: se l’evento effettivamente si verifica, può costituire un problema. L’obiettivo del management dei rischi è dunque quello di intervenire prima che un rischio diventi un problema. Nella nostra analisi ci riferiremo prevalentemente ad un progetto che, peraltro, non è altro che un’impresa con un orizzonte temporale ben delimitato.

Se qualcosa può andare storto…

La più famosa legge esistente, vale a dire la Legge di Murphy, nella sua forma originale, stabilisce che: “Whatever can go wrong, will go wrong”. Che sia così, sembra confermato dalla nostra esperienza quotidiana. Il fatto è che, quando qualcosa in un Progetto va male inaspettatamente, ciò è spesso causa di perdite economiche, ritardi nel programma e impatto nella qualità del prodotto.

E dunque, poiché iniziative esenti da rischi non esistono, è chiaro che intraprendere un’iniziativa comporta la necessità di individuare i rischi ad essa legati e non fuggire da essi, e quindi anche la necessità di dotarci di un metodo che ci permetta di gestire i rischi dei nostri progetti e per evitare che diventino dei problemi o, quantomeno, che lo diventino inaspettatamente.

Il rischio è dunque una componente ineliminabile nella gestione di un progetto e rappresenta un fattore congenito in ogni attività economica. Le situazioni ambientali in cui imprese e progetti operano, sono spesso soggette a modifiche difficilmente prevedibili; ciò incrementa il numero dei possibili eventi negativi e le probabilità che essi si verifichino, si inserisce nei punti deboli delle strategie operative, e crea disorientamento e talvolta angoscia, anche nei manager più esperti.

L’approccio mentale

Il management dei rischi è tuttora una disciplina a bassa priorità nella cultura dei Project Manager: il rischio viene considerato una attività extra, insita nel proprio lavoro, meno importante del lavoro stesso, che può essere trascurata di fronte alle priorità del progetto. Il rischio viene poi talvolta associato ad una persona o ad una organizzazione, e sembra scomparire quando quella persona, o quella organizzazione, non è nelle vicinanze. Ciò è anche dovuto al fatto che la nostra preparazione manageriale è in genere orientata in senso positivo (del tipo: mi programmo le attività da svolgere e le eseguo secondo il programma). L’identificazione dei rischi richiede invece una forma di pessimismo o di “mentalità negativa”, che si riflette nel porsi delle domande (del tipo: il cliente otterrà le autorizzazioni? il processo è consolidato? il fornitore davvero consegnerà in tempo? il subcontractor locale che mi impongono è affidabile? ecc..).

Il management dei rischi richiede quindi uno sforzo mentale che comporta l’accettare il principio che i nostri programmi, le nostre strategie e le nostre convinzioni possano essere sbagliate o che possano doversi adattare ad eventi esterni, e convincersi della necessità di un’analisi di ciò che può andare male e dall’esame di ciò che si può fare fin d’ora in modo da poter considerare accettabili le conseguenze dell’evento qualora esso si verifichi.

Il concetto alla base del Risk Management è quindi che i rischi vengano identificati, valutati, anche in termini quantitativi, ed opportunamente gestiti – e possibilmente ridotti – lungo tutto lo sviluppo del progetto. Pertanto, il Risk Management deve accompagnare la scelta delle strategie di un progetto (ma ciò vale anche, e come, nel caso della partecipazione ad una gara) e del relativo piano di esecuzione. Da notare che il management dei rischi non va confuso con l’attività di gestione del rischio quando questo si è materializzato. Quest’ultima è una modalità reattiva (Crisis Management) che affronta i problemi solo quando si sono verificati, mentre il management dei rischi – basato sulla identificazione dei rischi e lo studio di come gestirli – è una modalità di prevenzione.

E’ interessante anche notare come, nelle prime fasi di un progetto, la probabilità del verificarsi di eventi negativi sia più elevata, ma il loro eventuale impatto economico è solitamente limitato; viceversa, procedendo verso le fasi finali, ci si può aspettare una minore frequenza di eventi negativi, ma il loro impatto sul progetto, sia in termini di costo che di ritardo sul programma, sarà in generale più elevato. (Fig.1 ).

Fig.1 Probabilità e gravità di un evento negativo nel ciclo di vita del progetto

Tutto ciò conferma l’opportunità di una preventiva identificazione dei rischi e di uno studio di come gestirli, mitigandone le conseguenze nel caso si verifichino. E allora, come si gestiscono i rischi?

Le fasi del management dei rischi

L’attività di gestione dei rischi è divisa in due fasi distinte:

  • l’identificazione e la classificazione dei rischi basata su una valutazione quantitativa, o “ indice di rischio” (Risk Assessment);
  • il controllo, o monitoraggio, dei rischi (Risk Management), basato su azioni di prevenzione, mitigazione o trasferimento del rischio.

La fase di Risk Assessment comprende dunque a sua volta due attività successive:

  • L’individuazione dei rischi (identification);
  • L’analisi, la quantificazione e la classificazione di ciascun rischio (analysis and evaluation).

La fase di controllo, o monitoraggio, dei rischi consiste nella preparazione di una strategia di come affrontare il rischio, di come monitorarne gli sviluppi, ed un procedimento di rivalutazione del rischio lungo lo svolgimento del Progetto.

L’identificazione dei rischi

Il primo step nel processo di risk management consiste dunque nell’individuazione e nell’analisi dei potenziali rischi. Si tratta di un’attività che va iniziata durante le prime fasi della vita di un progetto e, nel caso di impianti industriali, durante gli studi di fattibiità economica: basti pensare alla rilevanza che in questa fase hanno i risultati dello studio di impatto ambientale.

Le principali tecniche di individuazione dei rischi sono

  • Il “brainstorming workshop” o “ sessione di analisi dei rischi”;
  • La tecnica Delphi;
  • La “SWOT analysis” o “analisi dei punti di forza e di debolezza”;
  • Le interviste.

Il brainstorming workshop è costituito da un team di rappresentanti di tutte le discipline coinvolte nel progetto (leaders): è preceduto dall’identificazione di un certo numero di fattori di rischio (seeds) da parte dei leaders, fattori che, durante la sessione, vengono esaminati dai partecipanti alla sessione. La lista viene quindi completata dai partecipanti con l’inserimento di ogni altra voce di rischio potenziale. La tecnica del brainstorming ha in realtà degli oppositori: secondo questi ultimi, infatti, gli individui producono un maggior numero di idee lavorando da soli piuttosto che in gruppo, dato che le dinamiche di gruppo inibiscono la generazione di idee originali.

La tecnica Delphi (che evidentemente prende il nome dal celebre “oracolo”) si basa sulla partecipazione anonima di un gruppo di esperti: un moderatore distribuisce un questionario indirizzato a sviluppare delle considerazioni su possibili rischi e le risposte vengono sintetizzate e quindi tutte riproposte agli esperti per ulteriori valutazioni, fino a convergenza delle conclusioni. L’anonimato permette di evitare ogni influenza gerarchica sulle conclusioni.

La SWAT analysis si basa sull’individuazione e l’elencazione dei punti di forza (Strenghts), di debolezza (Weakness), delle opportunità (Opportunities), e dei pericoli (Threats). A sua volta, l’elenco può essere sviluppato in brainstorming oppure mediante la tecnica Delphi. È un metodo utile per ampliare la gamma dei rischi da prendere in considerazione.

Il metodo delle interviste è sicuramente meno rigoroso, ma talvolta dà risultati sorprendenti. Si basa sulla raccolta di opinioni, informazioni e idee attraverso interviste faccia a faccia, o al telefono, ai partecipanti al progetto, a degli stakeholders o ad esperti nei vari settori. Le interviste rappresentano una fonte di raccolta di dati utili proprio all’individuazione di molti rischi nascosti o visibili solo da angolazioni particolari.

In tabella 1 è riportato, a titolo di esempio, un elenco tipico di rischi da valutare connessi al processo di emissione di una offerta e, successivamente, di firma di un Contratto per un progetto di caratteristiche non abituali.

  • Clausole contrattuali;
  • Complessità del progetto;
  • Referenze del cliente;
  • Aspetti politici, geografici, etici della località dell’impianto;
  • Novità della tecnologia;
  • Lesson learned (esperienze) relative a casi analoghi similari;
  • Complessità delle apparecchiature principali previste nell’impianto;
  • Esistenza di fornitori qualificati;
  • Disponibilità subcontractors;
  • Lingua utilizzata.

Tab.1 Elenco tipico di rischi da valutare nella preparazione di una offerta e prima della firma del Contratto

L’analisi e la classificazione dei rischi

Una volta individuati i rischi, lo stesso team che ha effettuato questa operazione procede con lo step successivo (attenzione: siamo sempre all’interno del risk assessment ) cioè con la valutazione dei singoli rischi sulla base di parametri predefiniti (risk ranking). Ciò si può fare con diverse modalità, ed, in particolare mediante:

  • la classificazione in categorie;
  • la valutazione dell’indice di rischio.

Il metodo della classificazione in categorie è piuttosto semplice: al team viene richiesto di classificare il rischio in 3 (o più) categorie, ad es.:

  • Categoria 1: rischio probabile e serio (eventualmente da affrontare e risolvere prima di procedere con il progetto);
  • Categoria 2: rischio possibile, da considerare con attenzione;
  • Categoria 3: rischio limitato (monitorarne l’evoluzione).

Il metodo di valutazione dell’indice di rischio può essere sviluppato in diverse maniere, comunque basate su di un procedimento simile a quello adottato nell’Analisi delle avarie (Failure Mode and Effect Analysis), molto comune soprattutto nella manutenzione predittiva delle macchine. Il team valuta l’indice di rischio IR come prodotto di 3 componenti, tutti espressi in scala da 1 a 10:

IR = I x G x D

dove:

  • I è l’indice di frequenza (cioè la probabilità di accadimento);
  • G è l’indice di gravità dell’evento;
  • D è la difficoltà di individuazione e di monitoraggio.

Il team, inoltre, fissa il valore accettabile di IR (ad es.: 50). Da notare che, nei testi statunitensi, l’indice di rischio assume la forma:

RPN = O x S x D

dove :

  • RPN sta per Risk Probability Number;
  • O sta per Probability of Occurrence;
  • S sta per Severity of the effect;
  • D sta per Detection Capability.

Nei casi più complessi, la valutazione dell’indice di rischio si può avvalere di analisi quantitative del tipo “albero dei guasti” (fault tree analysis) oppure di simulazioni (what – if analysis) adatte a stimare l’impatto sul progetto del verificarsi dell’evento durante le varie fasi del progetto stesso. Il team può poi quantificare con maggiore accuratezza gli effetti dei rischi a indice più elevato mediante metodi di analisi probabilistica, quale ad esempio l’analisi “Monte Carlo”, che si basa sulla valutazione della combinazione delle differenti cause di un fenomeno. L’analisi Monte Carlo è un metodo che viene utilizzato per trovare le soluzioni di problemi matematici che contengono molte variabili e che non possono essere risolti facilmente, neanche con il calcolo integrale. L’efficienza del metodo Monte Carlo aumenta rispetto agli altri metodi quando la complessità del problema è elevata e quando gli eventi che potrebbero originare il verificarsi dell’evento sono particolarmente numerosi. In analogia alle analisi che riguardano la sicurezza di esercizio, è possibile classificare il livello di un rischio mediante una matrice che tiene conto della probabilità che l’evento si verifichi (indice di frequenza) e della gravità delle conseguenze (indice di gravità) ( Fig.2 ).

Fig. 2 La matrice probabilità/ gravità

Tra i rischi accettabili e quelli non accettabili è poi possibile individuare un’area intermedia nota come ALARP (As Low as Reasonably Acceptable): ciò significa che i rischi che cadono in quest’area vanno ridotti per quanto è ragionevolmente conveniente. (Fig.3)

Fig.3 L’area ALARP

Il registro dei rischi

Prima di passare alla fase di controllo, i rischi individuati, vengono riportati, assieme alla classificazione o alla valutazione dell’indice di rischio, in un elenco (risk log), dove saranno indicati :

  • La descrizione e le cause del rischio;
  • La categoria o l’indice di rischio;
  • La probabilità di verifica;
  • La gravità del rischio e l’impatto sul progetto;
  • Il quadro temporale dell’evento, ad es. la fase del progetto durante la quale l’evento stesso potrebbe verificarsi;
  • La capacità, al momento, di identificare i contorni del rischio (detection capability).

E’ opportuno che il team di progetto revisioni periodicamente il registro aggiornandolo, in modo che i rischi che diventano più probabili o più gravi siano più opportunamente gestiti mentre quelli a minore probabilità siano rimossi.

Il controllo dei rischi

Il controllo – o monitoraggio – dei rischi consiste nella preparazione di un programma per affrontare il rischio, per monitorarne gli sviluppi, per attuare il piano, procedendo alla rivalutazione del rischio lungo lo svolgimento del Progetto. L’obiettivo del controllo dei rischi è quello di far rientrare ogni singolo rischio in un livello di accettabilità. Le azioni programmate per il controllo di ciascun rischio devono essere:

  • adeguate all’importanza del rischio;
  • ragionevoli in termini di costo;
  • tempestive;
  • realistiche nel contesto del progetto;
  • concordate con tutte le parti interessate;
  • assegnate, come controllo, ad un unico coordinatore.

Le strategie di controllo dei rischi si basano su una o più possibili diverse modalità (strategie), ad es:

  • Prevenzione del rischio (avoid);
  • Mitigazione del rischio (mitigate);
  • Trasferimento del rischio (transfer);
  • Accettazione del rischio (accept).

Prevenire il rischio significa accettarlo, ma anche effettuare le azioni che possano ridurre le probabilità che l’evento si verifichi e comunque fare quanto è possibile per evitare che l’evento si verifichi. Per un Contractor, la maniera più comune di cautelarsi dai rischi è quella di inserire, durante una gara, nel prezzo di offerta, delle contigencies. Le contingencies sono dunque un accantonamento previsto per coprire i costi derivati dal verificarsi di eventi negativi, previsti o non previsti, durante l’esecuzione del progetto. In altri termini, nelle spese previste per una certa attività viene aggiunta un’ulteriore somma per coprire i costi nel caso si verifichi un certo rischio. Se poi questo non si verifica, la contingency accantonata diventa un margine alla fine del progetto. Tuttavia, un Contractor non può mai esagerare con le contingencies poiché rischia di perdere la gara!

Mitigare un rischio significa:

  • Preparare un piano di azioni da attuare in caso l’evento si verifichi;
  • Entrare in associazione (Joint Venture) con una Società o con un appaltatore locale;
  • Dedicare una persona a gestire tutti gli aspetti di uno specifico rischio;
  • Vendere a termine di quote di incassi in valuta estera, ecc.

Il trasferimento di un rischio si può realizzare:

  • subappaltando una fornitura complessa od un’intera unità di un impianto ad una Società specializzata nel settore;
  • assegnando alcune attività ad una società esterna che abbia una specifica competenza ed esperienza, assieme alla responsabilità della gestione;
  • stipulando un’assicurazione, ecc.

Attenzione: il trasferimento di un rischio comporta di solito un costo (ad es: il pagamento di un premio) e non elimina il rischio!

E infine, l’accettazione del rischio: essa comporta che, nel caso di rischio a impatto e probabilità limitate, si possa decidere di accettare il rischio senza attuare azioni specifiche. In questo caso però, occorre monitorare il rischio durante la vita del progetto per verificare che probabilità e conseguenze non stiano aumentando.

Il review nel corso del progetto

Il controllo, o monitoraggio, dei rischi è un processo che, almeno nei progetti di maggiori dimensioni, si estende per tutta la vita del progetto verificando periodicamente:

  • se le assunzioni iniziali siano ancora valide;
  • se il rischio ha subito modifiche rispetto al suo stato originario (trend analysis) e se, quindi, è opportuno un cambiamento di strategia;
  • se si stanno rispettando le corrette procedure di gestione del rischio;
  • se le contingencies in termini di costi e di tempi debbono essere aggiornate.

Il review si effettua mediante :

  • regolari sessioni di rivalutazione (reassessment ) dei rischi;
  • audit di situazioni o attività specifiche;
  • analisi dell’andamento dei parametri che possono influire sul verificarsi dell’evento (trend analysis);
  • misurazioni di performances tecniche di attività legate ai principali rischi.

A seguito del review può essere decisa :

  • la modifica delle strategie o la scelta di strategie alternative;
  • l’adozione di ulteriori contingencies o l’aggiornamento del piano di azioni (fall back plan) previsto nel caso l’evento si verifichi;
  • la decisione di procedere con azioni correttive.

Conclusioni

Ne elenchiamo sinteticamente solo 2:

  1. Alla fine del progetto i risultati devono diventare regole da attuare nei futuri progetti (lesson learnt);
  2. Il Project Manager deve per ogni progetto poter disporre – o mettere in essere – un sistema in grado di identificare, valutare e monitorare i rischi del suo progetto, permettendogli così di dedicare la sua attenzione agli aspetti fondamentali del project management e cioè il rispetto del programma, del budget e delle performances del progetto.

A cura di: Giorgio Zerboni

Profilo Autore

L’ing. Giorgio Zerboni ha sviluppato la sua carriera professionale presso Società di ingegneria, operanti in campo internazionale, quale Project Manager di impianti di processo. E’ autore di numerose pubblicazioni di impiantistica e Project Management su riviste specializzate del settore. E’ incaricato dell’insegnamento di “Sicurezza degli impianti chimici” presso l’Università Campus Biomedico di Roma.

Condividi sui Social Network:

Articoli simili