Pillole di Project Management 5th - Risk Management
Nel corso dei capitoli precedenti sono state esposte le metodologie e le tecniche universalmente applicate nelle fasi di pianificazione, rilevazione e controllo dell’iter progettuale. Tra queste, la maggiore enfasi è stata riservata a quelle che più specificamente sono finalizzate a supportare il P.M. nel suo duplice ruolo di coordinatore degli stakeholder coinvolti nel processo realizzativo e di gestore delle peculiari attività operative previste dal particolare ciclo produttivo.
L’azione di presidio svolta dal responsabile della conduzione del progetto non può (e non deve), tuttavia, limitarsi all’esercizio della pura e semplice supervisione tecnica, che, proprio in quanto tale, è sostanzialmente tesa a sovrintendere soltanto agli aspetti più propriamente esecutivi.
Giornata tecnica da Acque del Chiampo, 27 marzo 2024 | RUGIERO Pierpaolo
8 risk management
1. 1
GESTIONE DEI RISCHI
Nel corso dei capitoli precedenti sono state esposte le metodologie e le tecniche universalmente
applicate nelle fasi di pianificazione, rilevazione e controllo dell’iter progettuale. Tra queste, la
maggiore enfasi è stata riservata a quelle che più specificamente sono finalizzate a supportare il P.M.
nel suo duplice ruolo di coordinatore degli stakeholder coinvolti nel processo realizzativo e di gestore
delle peculiari attività operative previste dal particolare ciclo produttivo.
L’azione di presidio svolta dal responsabile della conduzione del progetto non può (e non deve),
tuttavia, limitarsi all’esercizio della pura e semplice supervisione tecnica, che, proprio in quanto tale,
è sostanzialmente tesa a sovrintendere soltanto agli aspetti più propriamente esecutivi.
Al fine di garantire il successo complessivo del progetto è indispensabile che il P.M. ricorra a un
approccio che risulti, di fatto, più globale: occorre, in altre parole, che il responsabile attivi tutta una
serie di funzionalità che, in senso lato, potemmo definire “gestionali” e ne assicuri nel contempo, la
reale e costante integrazione.
Il presidio compiuto ed efficace del ciclo operativo di un qualsiasi progetto complesso potrà, infatti,
essere assicurato soltanto a condizione di operare un’attenta ed efficiente gestione del “processo”
(Project Management), della “qualità” (Quality Management), del “rischio” (Risk Management) e
della “comunicazione” (Communication Management).
Queste quattro “aree di conoscenza” sono tra loro interconnesse da una serie di elementi che ne
influenzano e ne sostanziano le mutue dipendenze.
Ciascuna delle 4 aree, infatti, opera, con le altre, uno scambio di informazioni che facilita il processo
di affinamento e di continuo miglioramento del proprio (e del corrispettivo) processo organizzativo.
Così ad es., la fase di pianificazione iniziale, propria del P. Management, evidenziando le singole fasi
realizzative (e i relativi stakeholder coinvolti) consentirà al Risk Management di individuare più
facilmente le fonti di rischio significative, valutane l’impatto potenziale e stendere il conseguente Risk
Plan, mentre la fase di controllo svolta in corso d’opera fornirà feedback interessanti relativamente
alla reale consistenza degli eventi considerati e alla congruità delle azioni di contrasto attuate.
Il Risk Management, di conseguenza, segnalerà al P. Management gli eventi rischiosi di volta in volta
identificati e le modalità d’intervento da attivare nel caso, gli stessi, dovessero concretizzarsi in corso
d’opera.
Il Risk Management può fornire al Sistema Qualità aziendale utili riferimenti che consentano a
quest’ultimo di evidenziare i punti critici del processo produttivo sui quali dovrà essere appuntata la
massima attenzione e di definire il grado di accuratezza a cui spingere le operazioni di controllo della
qualità, in funzione delle specifiche tipologie di progetto (dimensioni, contesto organizzativo,
logistica di attuazione, ecc.) il Quality Management, come contropartita, fornirà al Risk Management
l’elenco delle criticità che più ricorrentemente interessano il processo produttivo, unitamente alle
2. linee guida e agli standard da applicare in sede di valutazione e dia quantificazione dei rischi di
progetto.
Da quanto fin qui esposto risulta evidente la necessità che il P.M. non limiti il proprio intervento a
quella che si definisce “conduzione tecnico-operativa” (ma sempre gestionale) delle attività
realizzative. Affinché il suo ruolo di presidio dell’iter progettuale possa considerarsi efficace,
efficiente e realmente esaustivo, la sua sfera di azione deve completarsi prevedendo la gestione di
tutte le aree di intervento detto prima. In particolare dovrà riservare la massima cura al Risk
Management, appuntando costantemente la propria attenzione su quegli eventi il concretizzarsi dei
quali potrebbero dar luogo a effetti anche decisivi sul risultato finale.
2
Presidio del ciclo operativo
3. Il Rischio, dunque, è un elemento intrinseco del progetto; anzi, più un progetto è innovativo, più è
rischioso. Poiché il successo di un progetto dipende in gran parte dalla sua novità, sape gestire il
rischio è una delle capacità più qualificanti del lavorare per progetti.
Il rischio deriva dunque dall’incertezza caratteristica dei progetti, ma non è necessariamente un
“Issue” (problema), ovvero un grave problema non risolvibile tramite un’attenta gestione ordinaria.
I rischi identificabili come minacce per il progetto possono essere accettati se adeguatamente
controbilanciati dalla ricompensa che deriva dal correre il rischio.
L’incertezza (positiva o negativa) è un elemento che accompagna tutte le nostre azioni. Tutte le
azioni intraprese con caratteristiche di “novità”, si sviluppano in un regime di incertezza e i progetti,
che sono appunto elementi con caratteristiche di unicità (opere prime) e con forti caratteristiche
innovative, non fanno eccezione.
In un regime vincolato, come appunto i progetti, in cui l’impegno si sviluppa in un contesto di risorse
scarse e con un occhio costante all’efficacia, non sembra ragionevole soltanto reagire alle incertezze,
ma sembra molto più appropriato attuare al riguardo comportamenti proattivi.
E’ necessario cioè, che le organizzazioni bilancino i rischi e le opportunità, pianificando attentamente
le contromisure per affrontare le incertezze attraverso un atteggiamento proattivo e l’utilizzo di
validi strumenti di Project Risk Management finalizzati a formulare risposte manageriali.
Portare avanti un progetto senza un’attenzione proattiva alla gestione del rischio è probabile andare
incontro a problemi legati alle minacce non gestite.
Utilizzare un atteggiamento reattivo vuol dir affrontare un rischio già accaduto (che quindi non si
chiama più rischio, bensì questione – Issue)
Le tecniche di Project management tende ad avvalersi di un approccio proattivo nonostante richieda
un maggior impegno di risorse, in quanto permette di prevenire piuttosto che correggere le criticità
derivanti da eventi indesiderati. L’approccio proattivo si concretizza di fatto nella prevenzione più
che nell’eliminazione totale del rischio.
La gestione dei rischi di progetto (Project Risk Management) consiste nel processo sistematico di
identificazione, analisi e risposta ai rischi di progetto. Comprende sia il massimizzare le probabilità e
le conseguenze di eventi positivi, sia il minimizzare le probabilità e le conseguenze di eventi avversi.
Un rischio è un evento o situazione incerta che, se si verifica, ha un effetto positivo o negativo su
uno o più obiettivi del progetto. (ambito, schedulazione, costi e qualità)
Gestire i rischi significa salvaguardare il progetto identificando, analizzando e rispondendo ai rischi
per tutta la durata del progetto stesso, con l’obiettivo di diminuire la probabilità e l’impatto di eventi
dannosi.
3
4. Gli obiettivi della gestione dei rischi di progetto sono quelli di aumentare la probabilità e l’impatto di
eventi positivi e ridurre la probabilità e l’impatto di eventi negativi nel progetto.
Il Rischio non deve essere visto solo nella sua eccezione negativa. Potremmo trovarci dinanzi a eventi
incerti che influenzano positivamente gli obiettivi del progetto. In questo caso parleremo di
“opportunità”. L’Opportunità è l’opposto di rischio.
DEF: Quindi in condizioni di incertezza, l’esistenza di eventi che possono impattare negativamente i
risultati del progetto è detto Rischio, quello di eventi che possono impattare positivamente è detta
Opportunità. Dunque la parola “incertezza” è la parola chiave del problema. Un fatto o questione
(Issue) non è un rischio.
Il rischio è funzione di due fattori: l’incertezza derivante dall’ambito in cui i opera a gestione del
rischio e le informazioni che l’organizzazione possiede sugli eventi incerti.
Le fonti di incertezza ambientali e informative determinano le cosiddette “aree di rischio”, definibili
come quei fattori non pienamente dipendenti dalle scelte progettuali, ovvero non controllabili
direttamente e quindi non completamente prevedibili, ma con un impatto rilevante sul progetto e le
sue prestazioni.
Attenzione a non confondere i rischi con le questioni (Issue): un rischio è incerto, mentre una
questione (Issue) è certa. Un rischio è un evento incerto, mentre un Issue è un problema o criticità
4
5. effettiva. Al rischio si risponde in modo proattivo (o preventivo), all’Issue si risponde in modo
reattivo.
Il PMBOK considera il rischio positivo (opportunità - Opportunity) in modo paritario e speculare al
rischio negativo (minaccia - Threat).
I rischi sono dunque dei potenziali abilitatori o disabilitatori delle capacità del progetto di raggiungere
i propri obiettivi.
5
Un Rischio è costituito da:
o Rischio negativo, anche detto minaccia (Threat) : probabilità di subire un danno;
o Rischio positivo, anche detto opportunità (Opportunity): probabilità di ottenere un
vantaggio;
Il Rischio è sempre nel futuro e si compone di due elementi fondanti:
o La Probabilità: l’evento o condizione è incerto;
o L’impatto: se l’evento o condizione si verifica, ne deriva certamente un vantaggio o svantaggio
in ordine a uno degli obiettivi del progetto, principalmente ambito, tempi, costi e qualità.
Dunque, impatto può significare capacità di realizzare maggiori prestazioni funzionali del
prodotto del progetto o incapacità a realizzare una o più delle funzionalità del prodotto del
progetto, allungamento o accorciamento della tempistica del progetto, superamento o
riduzione dei costi rispetto al piano di progetto, non raggiungimento degli standard qualitativi
definiti, o loro miglioramento.
Una corretta declinazione del rischio è:
o La causa: cioè una condizione, stato o fatto certo;
o L’evento: cioè in ragione della causa certa ha probabilità di verificarsi (incertezza);
o L’impatto: che si genera certamente su uno degli obiettivi del progetto se l’evento incerto si
verifica.
Altro fattore importante è il periodo atteso di manifestazione del rischio (cioè quando potrebbe
manifestarsi il rischio nel corso del progetto).
Il prodotto Probabilità x Impatto è detto “Stato del Rischio”, nell’ipotesi che probabilità e impatto
siano misurabili; è una valutazione probabilistica del valore del rischio. Ad es. se l’impatto = 100.000
€ mentre la probabilità che si verifichi l’evento è del 25% si ha che € 25.000,00 è il valore atteso della
variabile casuale ed è lo Stato del Rischio.
Se l’impatto è misurabile in €, il suo valore è detto “Importo a Rischio” (Amount at stake).
Di seguito un esempio di declinazione del rischio con causa, evento e impatto:
6. La gestione del rischio risulta inoltre, fortemente influenzata dalla presenza di fattori culturali (le
politiche o le abitudini aziendali) e di contesto, che nel loro complesso determinano la cosiddetta
attitudine al rischio di un soggetto individuale, di un gruppo o di un’organizzazione.
6
L’attitudine al rischio è il risultato della combinazione di tre fattori:
o La propensione (o appetito) al rischio (Risk Appetite): il livello di incertezza complessivo con
il quale si è disposti a convivere in vista di un probabile vantaggio;
o La tolleranza al rischio (Risk Tolerance): il livello di incertezza massimo complessivo con il
quale si è disposti a convivere;
o La soglia di rischio (Risk Threshold): il livello di incertezza o di impatto sopra il quale non si è
disposti a gestire la presenza di un’incertezza.
La combinazione di questi tre aspetti può generare diversi profili di attitudine al rischio. Per es. il
soggetto individuale, il gruppo, o l’organizzazione possono risultare focalizzati:
o Sulla non assunzione del rischio, cioè orientati alla protezione e alla sopravvivenza (Risk
Averse);
o Sull’assunzione di grandi quantità di rischio allo scopo di ottenere il massimo vantaggio (Risk
Seeker);
o Sull’assunzione di rischio nel breve termine allo scopo di ottenere vantaggi nel lungo termine
(Risk Neutral);
o Sulla consapevolezza del rischio, senza intraprendere alcuna azione di gestione (Risk
Tolerant);
7. Per il bene del progetto è importante che il Risk Management sia in linea con l’attitudine al rischio
dell’organizzazione operante (rappresentata dagli stakeholder) e che la gestione avvenga in un
regime di consapevolezza e trasparenza, attraverso l’adozione di processi efficaci durante l’intero
ciclo di vita del progetto.
7
9. 9
I PROCESSI DI PROJECT RISK MANAGEMENT
I processi di gestione dei rischi di progetto in accordo con il PMBOK sono i seguenti:
10. • Pianificare la gestione del rischio (Plan Risk Management): definire le linee guida e le regole
10
per le attività dei rischi del progetto;
• Identificare i rischi (Identify Risk): determinare i rischi (sia opportunità che minacce) e
documentare le loro caratteristiche;
• Eseguire l’analisi qualitativa dei rischi (Perform Qualitative Risk Analysis): assegnare un indice
qualitativo ai rischi identificati che consenta di individuare le priorità nella loro gestione;
• Eseguire l’analisi quantitativa dei rischi (Perform Quantitative Risk Analysis): analizzare
numericamente l’esposizione complessiva del progetto al rischio;
• Pianificare le risposte ai rischi (Plan Risk Response): sviluppare il piano delle azioni di risposta
ai rischi, necessarie per incrementare le opportunità e per ridurre le minacce del progetto;
• Controllare i rischi (Control Risk): valutare l’efficacia del piano di risposta ai rischi, rilevare lo
stato dei rischi, identificare nuovi rischi.
I processi sono iterativi e sovrapposti nel tempo. Fattore critico di successo è avviare la gestione
nelle fasi iniziali del progetto. Ad es. il processo di pianificazione dei rischi deve iniziare quando si
concepisce un progetto e deve essere completato nelle fasi iniziali della pianificazione del progetto.
Fasi del Project Risk Management
Ciascuna delle 6 fasi coinvolge soggetti diversi e utilizza tecniche specifiche. Inoltre è necessario che
ogni processo produca un output:
11. Una gestione sistematica dei rischi di progetto richiede che le responsabilità dei 6 processi sia
chiaramente suddivisa fra le figure professionali convolte nei progetti.
11
12. In particolare la responsabilità della pianificazione della gestione dei rischi, della loro analisi
qualitativa e della programmazione delle contromisure deve essere attribuita al P.M., mentre l’analisi
quantitativa ai manager funzionali e ai responsabili dei task di progetto. E’ opportuno invece che la
responsabilità del monitoraggio e controllo dei rischi sia suddivisa fra tutti i manager coinvolti nel
progetto. Nel caso esista un risk assessor aziendale che esercita compiti di controllo e validazione dei
rischi, allora è possibile assegnare l’intera responsabilità della gestione dei rischi al program manager.
12
PIANIFICARE LA GESTIONE DEI RISCHI
Il processo Plan Risk Management permette di decidere l’approccio alla gestione dei rischi definendo
regole per l’uso dei tools, scale, normalizzazioni, budget per la gestione del rischio, specifiche sulla
tolleranza al rischio degli stakeholder, regole per la contingency, le categorie di rischio adottate
nonché la matrice di probabilità-impatto, e quant’altro necessario per eseguire le attività di gestione
dei rischi del progetto.
Questo processo ha come obiettivo principale orientare la gestione del rischio in linea con l’attitudine
degli stakeholder.
13. Si tratta di un processo molto precoce, che dovrebbe essere eseguita nelle prime fasi del progetto,
con l’obiettivo di determinare un telaio di lavoro che risulti adeguato alla successiva gestione, alle
esigenze del progetto e alle risorse dipsonibili. In effetti, questo processo rappresenta molto bene
l’orientamento al Tailorng (cucitura su misura) che il PMBOK indica come principio generale per il
project management. Infatti, una gestione del rischio completa e approfondita, può richiedere
investimenti e risorse che non tutti i progetti possono permettersi, dunque l’accento è ancora una
volta sullìefficacia come parola d’ordine per l’esercizio del project management.
13
Cosa troviamo in INPUT.
Oltre a definire regole, procedure, ruoli e flusso di lavoro (Workflow) per l’esercizio del roject Risk
Management, questo processo genera indicazioni numeriche, scale e tabelle di normalizzazione che
risulteranno essere input importanti per molti dei processi dell’area.
Alcuni elementi utili per questo processo possono trovarsi nel Project Charter, che potrebbe
includere indicazioni sul livello di rischio accettabile nel progetto, oppure evidenziare la presenza di
ncertezze di rilievo.
Il proceso fa utilizzo del piano di gestione del progetto (Project Management Plan), che è il telaio
entro cui situare il processo di Risk Management. A un progetto complesso corrisponde di solito un
processo di gestione dei rischi articolato, mentre a un progetto semplice corrisponde un processo
semplificato.
Del Project Management Plan vengono tenuti in conto alcuni Management Plan, in particolare Cost,
Schedule e Communication Management Plan, che rappresentano le regole strutturali di governo
delle entità di progetti più importanti. Le regole di gestione del rischio dovranno in qualche modo
essere coerenti con tali piani; per es. il Communication Management Plan dovrà fornire indicazioni
circa il tipo di informazione relativa al rischio che dovrà essere generata.
Naturalmente il processo deve fare riferimento al registro degli stakeholder (Stakeholder Register),
quali soggetti di riferimento per adottare le regole di gestione dei rischi alle attitudini
dell’organizzazione.
I fattori ambientali aziendali.
Gli elementi di contesto (Enterprise Enviromental Factors) utili per le attività del processo Plan Risk
Management, possono essere la cultura e l’attitudine dell’organizzazione operante nei confronti del
rischio, ovveo gli atteggiamenti e le tolleranze al rischio che descrivono il ivello di rischio che
un’organizzazione può tollerare.
Gli asset dei processi organizzativi.
Il patrimonio tangibile dell’organizzazione operante (Organizational Process Assets) utile per le
attività del processo Plan Risk Management, può consistere in categorie di rischio, schemi
14. documentali (Templates), ruoli e responsabilità aziendali predefiniti e tutto quanto generato al
proposito da parte di un’eventuale funzione aziendale di Risk Management o da un Project
Management Office (PMO). A titolo ndicativo gli asset possono essere:
14
- Categorie di rischio;
- Definizioni comuni di concetti e termini;
- Formati di descrizione del rischio;
- Modelli di documenti standard;
- Ruoli e responsabilità;
- Livelli di autorità per i processi decisionali
- Leson learned
STRUMENTI E TECNICHE
Tra gli strumenti e tecniche troviamo:
o Le tecniche analitiche: utilizzate per comprendere e definire il contesto generale della
gestione dei rischi di progetto. Ad es. è possibile eseguire l’analisi del profilo di rischio di uno
stakeholder del progetto per valutarne e classificarne la propensione e la tolleranza al rischio.
Per una valutazione di alto livello dell’esposizione al rischio di progetto in base al contesto
generale si utilizzano alter tecniche, come le schede dei punteggi per il rischio strategico. In
base a tali valutazioni, il gruppo di progetto può allocare le risorse appropriate e concentrarsi
sulle attività di gestione del rischio.
o Il parere degli esperti: si dovrà cioè cercare il parere e l’esperienza di gruppi o individui con
formazione o conoscenze specializzate sull’argomento, quali:
- Alta dirigenza;
- Stakeholder di progetto;
- P.M. che hanno lavorato su progetti nella stessa area;
- Esperti in materia nell’area lavorativa o di progetto;
- Associazioni tecniche e professionali;
o Le riunioni: i gruppi di progetto organizzano riunioni di pianificazione per sviluppare i piano
di gestione dei rischi. I partecipanti a tali riunioni possono includere il P.M., membri
selezionati del gruppo di progetto e stakeholder, chiunque abbia la responsabilità di gestire
le attività di pianificazione e di esecuzione dei rischi e altre figure in base alle necessità.
In tali riunioni si definiscono dei piani di alto livello per svolgere attività di gestione dei rischi.
Si dovranno definire costi e attività di gestione dei rischi da includere rispettivamente nel
budget e nella schedulazione di progetto, metodi per l’applicazione delle riserve per
contingency relativi ai rischi, assegnare le responsabilità di gestione dei rischi (vedi tabella di
prima). Se non esistono già modelli di documento per questo processo, possono venire creati
direttamente nel corso di tali riunioni.
15. 15
Gli output di questa attività sono riassunti nel paino di gestione dei rischi.
Tra gli OUTPUT abbiamo:
o Il Piano di Gestione dei Rischi (Risk Management Plan): che è un documento che descrive
quali sono e come devono essere portate avanti le attività necessarie per identificare,
analizzare, pianificare e controllare i rischi di progetto.
Nel Piano possono essere inclusi:
- Metodologia – cioè approcci, processi, strumenti e dati sorgente da usarsi per gestire
i rischi durante il progetto;
- Ruoli e responsabilità: per le azioni del piano di gestione dei rischi;
- Budget: definizione del budget assegnato per la gestione dei rischi, da includere nella
baseline dei costi e stabilisce protocolli per le riserve per contingency e di gestione;
- Tempistica: (Timing) – definizione dell’intervallo di tempo per l’esecuzione dei
processi di gestione dei rischi durante il ciclo di vita del progetto, stabilisce i protocolli
per le riserve per contingency della schedulazione e definisce le attività di gestione dei
rischi da includere nella schedulazione di progetto;
- Categorie di rischio: (Risk Categories) – classificazioni per classi di appartenenza che
garantisce l’esaustività dei processi d’identificazione dei rischi (per es.: rischi tecnici,
rischi ambientali, rischi dell’organizzazione, rischi politici, rischi di project
management, ecc.). Una struttura di scomposizione dei rischi (RBS) aiuta il gruppo di
progetto ad analizzare le varie fonti da cui può derivare un rischio di progetto
attraverso esercitazioni di identificazione dei rischi.
16. Una Risk Breakdown Structure (Struttura di scomposizione di rischi) fornisce una vista di tutta
l’incertezza del progetto raggruppate per aree omogenee. Il raggruppamento più naturale è quello
per categorie, ma altri raggruppamenti possono essere generati, per es., per fornitore, per pacchetto
di WBS, per area geografica.
16
A volte per evitare confusioni con la Resource Breakdown Structure si utilizza l’acronimo RIBS.
- Scala della probabilità e dell’impatto dei rischi: una definizione preventiva dei diversi
livelli di probabilità e di impatto dei rischi per il progetto è fondamentale per avere
una qualità ed attendibilità dell’analisi dei rischi. Durante il processo Pianificare i
Rischi, le definizioni generiche di livelli di probabilità e impatto vengono personalizzate
per il singolo progetto per poi essere utilizzate nei processi successivi. Ad es.: un
esempio di impatti negativi che possono essere utilizzate nella valutazione degli
impatti dei rischi rispetto a 4 obiettivi di progetto:
17. Oppure, per trattare in modo omogeneo i rischi di progetto è necessario che vengano
definiti alcuni riferimenti di normalizzazione per la probabilità e l’impatto. Cioè occorre
determinare l’indice di Probabilità e l’indice di Impatto. Possiamo attribuire a questi
indici dei valori arbitrari, a patto di aver definito in modo chiaro i criteri di valutazione.
In genere si assegna a ciascun indice un valore compreso tra 1 e 3, dove 1 sta a indicare
che la probabilità che il rischio si verifichi è considerata “bassa” o è minore di un certo
valore percentuale (per es. 20%), mentre 3 indica che la probabilità che il rischio si
verifichi è considerata “alta” o è maggiore di un certo valore percentuale (per es. 50%).
La scala può essere più ampia 1-5; 1-10, … e così via. Le aziende stabiliscono i criteri di
valutazione per far sì che la stima della probabilità sia la meno soggettiva possibile.
Attenzione: un rischio con una probabilità tra il 90 e il 100% non è più un rischio, ma
una certezza e va gestito come tale.
Per l’indice di probabilità (che esprime la probabilità (P) che un certo evento si
verifichi), occorre definire un insieme di etichette e un corrispondente insieme di valori
numerici associati:
17
18. Nell’esempio le etiche sono “alta”, “media”, “bassa”, e i corrispettivi valori numerici
associati potrebbero essere 0,9 – 0,5 – 0,2; inoltre è necessario definire una metrica
che consenta di attribuire in modo strutturato e univoco l’etichetta (e corrispondente
valore numerico) all’incertezza che accompagna una condizione o evento. Per es.,
un’incertezza può essere valutata “alta” se ricade nel range 99%-64%, “media” se
ricade nel range 63%-25%, “bassa” e ricade nel range 24%-0.00001%.
Ad es. tipicamente la stima viene effettuata su quattro aree di rischio su cui dare
giudizi separati:
- Programma: grado di indeterminazione del programma;
- Forniture: disponibilità delle risorse materiali (attrezzature e impianti);
- Risorse: disponibilità delle risorse umane con adeguata esperienza e qualifica;
- Tecnica: maturità delle tecnologie e materiali impiegati;
Viene assegnata come probabilità di accadimento dell’evento la maggiore tra
quelle stimate per le 4 aree di rischio.
La tabella seguente può essere un semplice strumento di definizione dei criteri di
identificazione dei livelli di rischio per ciascuna delle quattro aree.
18
19. L’indice di impatto prova a dare una misura qualitativa delle conseguenze del rischio
a raggiungere un particolare risultato in termini di Tempi/Costi/Scopo. In genere
l’indice di Impatto utilizza gli stessi criteri 81-3, 1-5, ecc.….) dell’Indice di Probabilità.
Per esso occorre definire un insieme di etichette e un corrispondente insieme di valori
numerici associati:
19
20. Nell’esempio le etichette sono “grave”,“sostenibile”,“trascurabile” e i corrispondenti
valori numerici associati potrebbero essere 0,8 – 0,6 – 0,3; inoltre, è necessario
definire una metrica che consenta di attribuire in modo strutturato e univoco
l’etichetta (e corrispondente valore numerico) all’impatto che segue al verificarsi di
una condizione o evento incerto. Inqueto caso, poiché l’impatto è relativo agli obiettivi
del progetto, la metrica dipenderà dal tipo di obiettivo; per es., un impatto sui tempi
può essere valutato grave se è superiore a 3 mesi, sostenibile se ricade nel range 1-3
mesi, trascurabile se è inferiore a 1 mese.
A ciascuna delle etichette della scala di probabilità e della scala di impatto dei rischi
sono associati dei valori numerici (matrice fattori di rischio) che saranno utilizzati per
valutare unicamente i valore qualitativo di ciascun rischio e di conseguenza, per
prioritizzare i rischi identificati.
- Matrice di probabilità e impatto (Probability Impact Matrix): tabella di ricerca
utilizzata per assegnare le priorità ai rischi nel processo Perform Qualitative Risk
Analysis e per orientare la definizione della politica di risposte nel processo Plan Risk
Responses; esso definisce il fattore di rischio.
N.B. la scelta delle definizioni di probabilità ed impatto e la matrice probabilità/impatto, non hanno
una pura valenza descrittiva, ma devono riflettere l’orientamento degli stakeholder sul rischio di
progetto. Definire che l’impatto sul costo è grave se si supera di € 10.000 di extra costo, piuttosto
che di € 1.000, non può essere una scelta autonoma del P.M., ma deve tener conto di tutti i fattori
di contesto possibili, tra i primi l’orientamento degli stakeholder.
- Limiti di tolleranza ai rischi degli stakeholder (Revised Stakeholder Tolerance): questa
informazione, se esistente, viene revisionata e aggiornata nel processo pianificare la
gestione dei rischi;
- Formati di reporting: formato della documentazione dei risultati dei processi di
gestione dei rischi e della metodologia di analisi e di comunicazione a tutti gli
interessati; descrivono il contenuto ed il formato del registro dei rischi.
- Registrazione o Rilevamento (Tracking): definizione dei documenti e delle regole per
20
registrare il modo in cui si è eseguita la gestione dei rischi di progetto.
21. 21
IDENTIFICARE I RISCHI
E’ il processo per l’identificazione e la descrizione dei rischi di progetto.
Esso ha come obiettivo principale la scomposizione dell’incertezza di progetto in parti
documentate e gestibili.
22. L’Identificazione dei rischi può essere fatta dal team di progetto, dal team di Risk Management, da
esperti esterni o interni, dal cliente, dagli utenti del prodotto/servizio finale, o altri.
L’identificazione del rischio è un processo molto creativo e iterativo, in cui per ogni iterazione
possono esserci attori diversi (per es.: la 1° è del team, la 2° del cliente o degli stakeholder primari,
ecc., l’ultima da parte di persone completamente esterne al progetto).
Naturalmente la disponibilità del Piano di Project Management, a un livello di finitura adeguato,
semplifica e rende molto efficace questo processo; a ogni modo, è necessario che l’identificazione
dei rischi di progetto inizi precocemente, salvo poi raffinarsi e completarsi attraverso iterazioni
successive.
Soprattutto per quanto riguarda i rischi di natura esterna al progetto, è necessario che il processo
veda il coinvolgimento di esperti nei vari argomenti (SME – Subject Matter Expert) che possano
fornire una vista su fenomeni (per es. di tipo sociale e politico) di scarsa visibilità per il team. E’ anche
importante che il processo Identify Risk veda il coinvolgimento del team di progetto, per aumentare
il coinvolgimento nella gestione del rischio ed evitare che tali attività vengano vissute come una
sovrastruttura cui dedicare attenzione limitata.
Quindi l’individuazione del rischio consiste nella definizione delle possibili fonti di rischio e nella
conseguente individuazione degli specifici eventi (o cause) che ne possono determinare l’insorgere.
22
Un elenco delle possibili fonti di rischio può essere il seguente:
• Requisiti del prodotto da realizzare:
- Non sufficiente precisati in sede contrattuale;
- Alta probabilità di modifiche pretese dal committente in corso d’opera;
- Assenza di certezza circa la completa individuazione di tutti i semilavorati;
• Caratteristiche del prodotto da realizzare:
- Ricorso a tecnologie innovative o comunque poco note;
- Processo produttivo non sufficientemente collaudato;
- Presenza di fornitori scarsamente affidabili;
• Termini contrattuali;
- Assenza di clausole di revisione prezzi;
- Condizioni difficili per il trasporto di materiali on-site;
- Piano dei pagamenti strettamente correlato allo stato di avanzamento lavori;
- Prescrizioni legali;
- Accordi come Prime Contractor con impegni critici;
- Presenza di fidejussioni, garanzie;
- Impegni di manutenzione che coprono periodi pluriennali;
- Accordi che prevedono restrizioni al diritto di concorrenza;
- Assenza di accordi back to back con sub-fornitori;
23. 23
• Aspetti economici:
- Presenza di investimenti particolarmente onerosi;
- Probabile negatività del cash flow cumulativo;
- Contingency non previste nel progetto;
- Necessità di notevoli prefinanziamenti da parte di partners, subappaltatori;
- Necessità di approvvigionamenti particolarmente consistenti senza ordine scritto e
legalmente vincolante da parte del cliente;
• Preventivazione dei costi:
- Mancata previsione di rinnovi contrattuali;
- Scarsa conoscenza della contrattualistica locale;
- Prezzi delle materie prime in rapida evoluzione;
• Stima delle durate:
- Incertezza circa la reale disponibilità di attrezzature particolari;
- Impegni critici relativamente ai tempi di consegna;
- Incertezza circa la reale disponibilità di risorse umane con skill specificato;
- Imprevedibilità delle condizioni metereologiche;
- Difficoltà di ordine logistico;
• Aspetti di natura organizzativa:
- Skill non adeguati dei componenti del team di progetto;
- Limitatezza delle risorse per il controllo del progetto;
- Assenza di procedure di project management;
- Assenza di procedure di Change Management;
- Assenza di procedure di collaudo;
- Risorse difficilmente reperibili;
- Risorse umane part-time non sufficientemente dedicate;
- Alto turnover;
• Ambiguità della OBS:
- Imprecisa definizione dei ruoli;
- Attribuzione delle responsabilità non formalizzata e/o poco definita;
Tra tutte e possibili fonti di rischio è opportuno riferirsi soltanto a quelle principali, concentrando
l’attenzione esclusivamente su quelle che sono caratterizzate da:
- Un’alta probabilità di accadimento;
- Criticità potenziali di portata significativa;
- Dati di riferimento sufficientemente rappresentativi;
- Reali possibilità di esercizio delle azioni di contrasto (o di facilitazione).
Per ciascuna delle principali fonti di rischio occorre, poi, individuare le cause che potrebbero
generarle e gli effetti che potrebbero derivarne: la definizione degli elementi responsabili
24. dell’effettivo concretizzarsi della situazione rischiosa trova un valido supporto nel contesto dei
seguenti tre ambiti:
- Informazioni storiche aziendali: costitute dal complesso dei dati consuntivi, nel passato, a
fronte di realizzazioni di progetti ormai conclusi – Affinché le informazioni disponibili
presentino un accettabile livello qualitativo, è indispensabile che l’insieme dei dati elementari
peso a riferimento risulti “significativo”, sia tale cioè, da soddisfare le seguenti condizioni:
o La serie dei dati deve essere sufficientemente numerosa in modo da minimizzare la
24
componente casuale;
o I dati devono risultare tra loro indipendenti (nel senso che il verificarsi dell’uno non
presupponga necessariamente l’accadere dell’altro);
o I dati devono presentare una caratteristica di attualità (occorre cioè che siano
rappresentativi della realtà aziendale corrente);
- Team di progetto: contributo personale apportato dai componenti del team, direttamente
derivato dall’esperienza e dalle specifiche conoscenze vantate dal singolo interlocutore;
- Indicatori socio-economici: facilmente reperibili in ambiti altamente qualificati (istituti
universitari, società finanziarie, ricerche di marketing, ecc.), e di sempre più agevole accesso,
forniscono informazioni sia consuntive che previsionali su tematiche estremamente
diversificate.
Tra gli INPUT di tale processo abbiamo:
• Risk Management Plan: che detta le regole da seguire e contiene, tra l’altro le categorie di
rischio (Risk Categories) utili a identificare i rischi;
• Le stime di costo e di durata delle attività: la baseline dell’ambito (Scope Baseline), utili per
ricercare gli elementi di incertezza che sono alla base dei rischi; gli assunti di progetto si
trovano nella descrizione dell’ambito di progetto. La WBS è un input critico per identificare i
rischi poiché facilita una comprensione dei rischi potenziali a livello micro e macro.
Le revisioni della stima dei costi delle attività sono utili per identificare i rischi poiché
forniscono una valutazione quantitativa dei probabili costi per completare le attività
schedulate. La revisione può comportare delle proiezioni che indicano se la stima è sufficiente
o insufficiente per completare l’attività (e rappresentare quindi un rischio di progetto).
• Il registro degli Stakeholder (Stakeholder register): per localizzare coloro che possono
contribuire all’attività di identificazione;
• I Cost, Schedule, Quality e Human resource Management Plan: in quanto le regole ivi definite
possono aggravare (o migliorare) l’incertezza sulle relative dimensioni;
• I documento di progetto (Project Documents): ad es. i reticoli; Project charter, schedulazione
di progetto, registro delle questioni listo di controllo qualità, e altre….;
• Eventuali documenti contrattuali (Procurement Documents); la complessità ed il livello di
dettaglio dei documenti di approvvigionamento devono essere coerenti con il valore e con i
rischi associati all’approvvigionamento pianificato.
25. 25
• E quant’altro utile per leggere e derivare informazioni.
• Fattori ambientali ed aziendali: Elementi di contesto utili per le attività di processo:
informazioni pubblicate, inclusi database commerciali, studi accademici, liste di controllo
pubblicate, benchmarking, studi di settore, atteggiamenti nei confronti del rischio;
• Asset dei processi organizzativi: Il patrimonio tangibile dell’organizzazione operante utile per
le attività di processo: file documentazione di progetto, inclusi dati effettivi, controlli dei
processi di progetto e organizzativi, formati o modelli di descrizione del rischio, lesso learned.
Tutto quanto sopra rappresenta in definita la fase di definizione delle possibili fonti di rischio e nella
conseguente individuazione degli specifici eventi (o cause) che ne possono determinare l’insorgere.
E quindi n elenco delle possibili fonti di rischio nonché u elenco di cause che potrebbero generarle.
Tra gli Strumenti e Tecniche abbiamo:
• Revisione della Documentazione: necessità di rivedere tutta la documentazione di progetto
(inclusi i contratti) con una riconsiderazione specifica sulla qualità dei piani prodotti: se questa
è bassa può essere essa stessa sorgente di rischio.
• Tecniche di raccolta delle informazioni: (Information Gathering Techniques): sono metodi
che aiutano a creare la lista dei rischi del progetto; tra questi troviamo:
- L’analisi con liste di controllo (Checklist Analysis) si basa sull’utilizzo di schemi realizzati
con affermazioni alle quali il team di identificazione dei rischi deve rispondere con una
spunta. L’insieme delle spunte immesse dal team di analisi dei rischi viene preso in
carico da un algoritmo sottostante (a volte informatizzato), che genera una lista
proposta di rischi per il progetto.
Naturalmente le liste di controllo devono essere costruite e messe a punto
riutilizzando le conoscenze acquisite nell’esercizio storico dei progetti aziendali;
dunque si tratta di uno strumento di competenza tipica di un PMO.
A ogni modo, l’identificazione dei rischi con l’utilizzo di liste di controllo deve essere
possibilmente integrata con altre tecniche di identificazione.
- Analisi degli assunti: ogni progetto ed il relativo piano è concepito e sviluppato in base
a una serie di ipotesi, scenari o assunti. L’analisi degli assunti esplora la validità degli
assunti applicati al progetto. Identifica i rischi per il progetto derivanti da
inaccuratezza, instabilità, incoerenza o incompletezza degli assunti.
- L’analisi SWOT: è l’acronimo che sta per Strenghts, Weaknesses, Opporunities and
Threats, ovvero (punti di) forza, (punti di) debolezza, opportunità e minacce.
L’analisi SWOT è una tecnica di supporto all’analisi dei punti di forza e debolezza di
un’iniziativa o ingegnere di una situazione. Applicata al progetto, l’analisi SWOT si
compone tipicamente di 4 passi:
26. 1. Analisi dei punti di forza dell’azienda, rispetto a team e ai singoli componenti,
rispetto al progetto, rispetto al prodotto/servizio che si deve realizzare,
rispetto al cliente e in genere al contesto in cui si opera;
2. Analisi dei punti di debolezza. Rispetto al stesse variabili sopra riportate;
3. Identificazione delle opportunità (rischi positivi) a partire dai punti di forza
26
evidenziati;
4. Identificazione delle minacce (rischi negativi) a partire dai punti di forza
evidenziati;
27. - L’Analisi dei vincoli (Constraints Analysis): un’estensione della tecnica di base dell’analisi
degli assunti utile per facilitare l’identificazione delle opportunità (rischi positivi). Si listano
i vincoli che rappresentano ipotesi di negatività che gravano sul progetto; di ogni vincolo
si testa l’instabilità (il fatto che il vincolo in realtà non sia poi così stretto) e il possibile
impatto. Vincoli con alta instabilità e impatto significativo rappresentano incertezze che,
se avvengono, possono ridurre la possibilità del progetto di raggiungere i suoi obiettivi o
opportunità;
- Analisi dei campi di forza (Force Field Analysis): una tecnica sviluppata da Lewin, che si
basa sull’identificazione delle forze di impedimento e delle forze di spinta per il
cambiamento di una situazione. Nell’applicazione al project management, la situazione
coincide con un obiettivo del progetto e dunque le forze di impedimento più forti sono
chiaramene rischi, mentre le forze di spinta più forti sono opportunità;
- Pensiero futuro: analisi e descrizione di scenari futuri, molto usata nella pianificazione
strategica. Applicata ai macro scenari de progetto, consente l’identificazione di
opportunità e rischi;
- Gestione del valore: tecnica manageriale che tende a massimizzare il valore di un prodotto
con il minimo di risorse. Applicate al progetto, dove il prodotto è uno degli obiettivi di
progetto, consente di focalizzare l’attenzione sia sulle possibilità di miglioramento, sia su
quelle di minaccia;
- Hazard and Safety Assessment: tecniche specifiche focalizzate sull’identificazione del
pericolo, tra esse FMEA, FMECA, HAZOPS, HAZAN, HACCP. Tali tecniche, naturalmente
portate verso l’identificazione di minacce, possono anche essere utilizzate per le
opportunità.
27
• Tecniche di diagramma, che possono includere:
- Diagrammi di causa-effetto o Ishikawa (vedi di seguito);
28. - Diagrammi di flusso del sistema o del processo: mostrano in che modo i vari elementi
28
di un sistema sono interrelati e il meccanismo di casualità;
- Diagrammi d’influenza: rappresentazioni grafiche delle situazioni che mostrano le
influenze casuali, l’ordine temporale degli eventi e alte relazioni tra variabili e risultati.
• Parere degli esperti: i rischi possono essere identificati con esperienza rilevane di progetti o
aree di attività analoghe. Tali esperti devono essere identificati dal P.M. e invitati a
considerare tutti gli aspetti del progetto e suggerire i possibili rischi sulla base della loro
precedente esperienza e delle aree di competenza.
29. 29
Come OUTPUT di tale processo abbiamo:
• Il Registro dei Rischi: il processo di identificazione non solo deve determinare quali rischi
possono influire sul progetto, ma deve anche documentarne le caratteristiche. I rischi vanno
catalogati in un documento denominato Registro dei Rischi, guidati e seguiti fino alla
risoluzione. Il Risk Register dovrebbe contenere generalmente le seguenti indicazioni:
- Codice del rischio;
- Categoria del rischio;
- Descrizione del rischio;
- Impatto sul progetto;
- Possibili cause del rischio;
30. 30
- Prossimità temporale del possibile evento;
- Gravità del rischio;
- Responsabile della gestone del rischio;
- Potenziali risposte al rischio;
- Status del rischio;
La preparazione del registro dei rischi deve iniziare sin dalle fasi precedenti allo start-up
di un progetto, ad es. nella fase di approvazione di una commessa. Il registro dei rischi,
assieme alle Checklist utilizzate per la oro individuazione o ai questionari della tecnica
Delphi, dovrebbe essere contenuto in n Database dei rischi. L’archivio storico dei risk
register contenuto nel database deve divenire una fonte essenziale di acquisizione di
informazioni per i futuri progetti, informazioni derivanti da esperienze pregresse già
realizzate e in itinere. Tale archivio rappresenta un patrimonio storico aziendale.
Un supporto informativo di gestione della conoscenza sui rischi costituisce una risorsa
fondamentale per il P.M., che può così ottenere rapidamente informazioni sui rischi
individuati in precedenti esperienze e sugli effetti delle azioni di mitigazione intraprese. Il
program manager, in fase di offerta e di preventivazione di una commessa, dovrebbe
sempre avvalersi di un archivio storico per capitalizzare le esperienze pregresse in progetti
analoghi, mentre il risk assessor può condurre analisi trasversali su più commesse,
garantendo coerenza nell’approccio alla gestione dei rischi e individuando cause comuni
nel verificarsi di differenti rischi.
In definitiva al completamento del processo il Registro dei Rischi è poco più di una tabella
che contiene:
- L’elenco dei rischi identificati, con la loro descrizione e l’identificazione delle cause,
degli eventi e degli effetti;
- L’elenco delle risposte potenziali, laddove fosse possibile già in fase di identificazione
cominciare a prevedere azioni che permettono di rispondere adeguatamente al
rischio.
Un esempio di possibili rischi nella realizzazione delle opere civili:
- Rischi connessi alle varie lavorazioni;
- Rischi connessi alla sicurezza dei cantieri edili (si effettua in tal caso il PSC);
- Rischi ambientali connessi all’uso di sostanze nocive;
- Rischi connessi all’esistenza e tipologia dei cicli produttivi;
- Rischi connessi alla rottura di impianti;
- Rischi connessi alla fornitura dei materiali;
- Rischi connessi alla progettazione;
- Rischi connessi all’esecuzione dei lavori;
- Rischi connessi alla gestione del programma;
31. 31
Segue esempio di scheda di rischio che fa parte del registro dei rischi:
32. La scheda di identificazione dei rischi riempie solo le prime 4 colonne del registro dei rischi. Il registro
sarà completato ed aggiornato in tutto il ciclo di gestione del rischio. Più avanti vedremo come
calcolare la probabilità e l’impatto, nonché la priorità, con il metodo qualitativo, e successivamente
con l’azione di risposta completeremo il registro.
Dopo aver individuato le fonti di rischio significative (e definiti, per ciascuna di queste, gli eventi che
ne possono determinare l’effettivo insorgere) e descritte le possibili conseguenze indotte
sull’andamento generale dell’iter realizzativo, occorre procedere al dimensionamento di queste
ultime.
Tale valutazione può essere effettuata seguendo due metodologie alternative: si può ricorrere,
infatti, all’approccio:
- Qualitativo teso a classificare la rilevanza del rischio complessivo del progetto senza
32
necessariamente ricorrere all’utilizzo di una rigorosa metrica di riferimento;
- Quantitativo che dimensiona il rischio utilizzando ben definite unità di misura.
33. L’analisi qualitativa dei rischi è il processo per la prioritizzazione dei rischi, basata sulla valutazione
della probabilità, dell’impatto e su una loro combinazione.
33
Il principale obiettivo è orientare a investire sulla gestione delle incertezze di maggiore rilievo.
L’analisi qualitativa dei rischi è basata su elementi qualitativi, dunque anche se ben diretta dalla
presenza di tabelle di normalizzazione relative ai valori di probabilità e impatto, può risentire della
diversa attitudine al rischio dei componenti del team che esercita l’analisi.
Ad es., se prevalgono nel team le personalità resistenti al rischio, è possibile che l’impatto dei rischi
venga giudicato troppo grave. Alcune caratteristiche del rischio possono influenzare la valutazione:
n rischio che impatta direttamente il valutatore, o rischi molto vicini nel tempo, o rischi riguardanti i
bambini possono essere valutati troppo gravi. O viceversa, naturalmente.
Questo concetto in inglese prende il nome di BIAS, che ha molteplici traduzioni in italiano: pregiudizi,
parzialità, condizionamenti.
Il PMBOK sottolinea l’esigenza di condurre un’analisi qualitativa il più possibile immune dal Bias
e/o introdurre correttivi al riguardo.
34. La prioritizzazione dei rischi, ancorché basata su fattori qualitativi, è molto importante perché
fornisce una vista collettiva e relativa dei diversi rischi di progetto e perché fornisce indicazioni su
come meglio dirigere gli sforzi dei successivi processi d’area, in particolare Perform Quantitative Risk
Analysis e Plan Risk Response: ancora una volta si ripresenta il tema dell’efficacia.
Dunque la Qualitative Risk Analysis analizza, per ogni rischio identificato, le probabilità di occorrenza
e gli effetti dello stesso in termini di gravità, corrispondenti al mancato o mutato conseguimento delle
prestazioni del progetto. Si dovrebbe poi riuscire a tradurre, attraverso l’analisi quantitativa, il rischio
(anche quello sulla qualità, i tempi e i carichi delle risorse) in termini di impatto economico (costi).
L’analisi qualitativa del rischio rappresenta uno strumento rapido e relativamente semplice per
stabilire delle priorità per la pianificazione della risposta ai rischi.
Successivamente è possibile effettuare l’analisi quantitativa del rischio, se richiesto dalla situazione.
L’analisi prevede una valutazione del rischio tramite una scala delle priorità di rischio e quindi di
intervento. E’ opportuno definire anche un limite di rischio massimo accettabile, che obbliga a
ricondurre entro il limite, mediante appropriate azioni correttive, tutti i rischi con valori superiori.
Eseguire l’analisi qualitativa dei rischi viene effettuato regolarmente durante il ciclo di vita del
progetto come definito nel Piano di Gestione dei Rischi del progetto. Questo processo può portare a
Eseguire l’Analisi Quantitativa dei Rischi o direttamente a Pianificare le risposte ai Rischi.
34
Tra gli INPUT troviamo
• Il Piano di Gestione dei Rischi: i principali elementi per eseguire l’analisi qualitativa dei rischi
che includono ruoli e responsabilità per condurre la gestione dei rischi, i budget, le attività
schedulate, le categorie dei rischi, le definizioni di probabilità e impatto, la matrice di
probabilità e impatto e la revisione delle tolleranze al rischio da parte degli stakeholder.
Se tali input non sono disponibili, possono essere sviluppati durante il processo Eseguire
l’analisi qualitativa dei rischi.
• Baseline dell’ambito di progetto (Scope baseline): con lo scopo di dare indicazioni sui valori
di probabilità e impatto da attribuire;
• Registro dei rischi: informazioni che saranno utilizzate per valutare e assegnare una priorità
ai rischi;
• Fattori ambientali aziendali: studi di settore di progetti analoghi effettuati da specialisti del
rischio, o database di rischio che possono essere disponibili da fonti del settore o proprietarie.
• Asset dei processi organizzativi: che possono influenzare il processo e che includono
informazioni sui progetti analoghi precedenti completati. Esso rappresenta i patrimonio
tangibile dell’organizzazione operante utile per le attività del processo in questione; può
consistere di database su cui lavorare per similitudine o Risk Register generati da altri progetti.
35. Il PMBOK sottolinea che, nel corso del processo Analisi Qualitativa dei rischi, sia necessario
una costante rivalutazione della qualità dei dati su cui si lavora. Inoltre una valutazione della
vicinanza nel tempo del rischio, a volte denominata prossimità, può in qualche caso essere
combinata con i fattori di probabilità e impatto per determinare il fattore di rischio.
35
Tra gli Strumenti e Tecniche abbiamo:
• La Valutazione della Probabilità e dell’Impatto dei rischi: per eseguire l’analisi qualitativa è
necessario assegnare a ogni rischio un valore di probabilità di accadimento (es.: bassa,
moderata, alta, ecc.) e impatto o magnitudo (es.: irrilevante, moderato, forte, catastrofico,
ecc.) sulla base delle definizioni di normalizzazione contenute nel Risk Management Plan.
I fattori di cui tener conto per la valutazione dell’impatto sono:
- Ambito: ad es. volatilità del mercato, client interno o esterno, termini e condizioni
contrattuali;
- Costo: ad es. valore del progetto, disponibilità e costo delle risorse;
- Tempo: ad es. durata e urgenza del progetto;
- Qualità: ad es. complessità e innovatività del progetto e contenuto tecnologico.
Quindi la definizione dell’impatto può essere eseguita per ogni tipo di obiettivo: ambito,
costo, tempo e qualità. Per es., l’effetto di un rischio può avere una conseguenza alta
rispetto all’obiettivo tempo e una conseguenza bassa rispetto all’obiettivo costo. In tal
caso il Risk Management Plan dovrà contenere una regola per derivare una valutazione
unica dalle valutazioni multiple rilevate.
Un esempi di regola potrebbe essere la seguente:
VI(y) = max(Vix(y))
Dove: max(Vix) è il massimo tra i valori degli x impatti rispetto agli obiettivi di un rischio;
VI(y): valore dell’impatto del rischio y, ovvero l’impatto del rischio viene valutato come il
massimo delle valutazioni eseguite su ciascuno degli obiettivi di progetto.
Essendo la probabilità d’accadimento e l’impatto associati a valori numerici questi
possono essere combinati in un unico indicatore che può rappresentare l’importanza del
rischio. Tale indicatore, detto Fattore di Rischio (Risk Factor), può essere utilizzato per
prioritizzare il rischio.
La regola combinatoria più semplice è il prodotto, per cui si può valutare il fattore di rischio
tramite la formula:
RF(y) = P(y) x VI(y)
Dove: RF(y) è il fattore di rischio y; P(y) è il valore numerico della probabilità del rischio y;
VI(y) è il valore numerico dell’impatto del rischio y.
36. La prioritizzazione dei rischi avverrà quindi ordinando i rischi identificati per fattore di
rischio in ordine decrescente.
Questa regola vale sia per i rischi positivi che per quelli negativi: ovviamente i rischi positivi
con fattore di rischio più alto rappresentano le opportunità più importanti da perseguire
e quindi da favorire, mentre i rischi negativi con fattore di rischio più alto rappresentano
le minacce più pericolose e quindi le prime da combattere.
36
• Matrice di probabilità e impatto.
Nella fase di identificazione dei rischi abbiamo avuto modo di osservare come l’entità
complessiva delle potenziali ricadute sui risultati progettuali sia funzione della “frequenza” (o
della “probabilità) di accadimento del particolare evento rischioso e della “gravità” dei
conseguenti effetti indotti. Tenendo conto di tale osservazione, si può procedere alla
costruzione di un amatrice che riporti, nelle colonne, la probabilità di accadimento, e, nelle
righe, l’impatto atteso, e definire, di conseguenza, la “soglia di attenzione” che rappresenti i
livello di esposizione al rischio ritenuto “significativo”. Ciascun progetto verrà posizionato in
una ben determinata casella della matrice evidenziando, in tal modo, quelli che essendo
situati nel settore matriciale delimitato dalla soglia di attenzione 8e che pertanto sono da
considerarsi critici per definizione), richiederanno il presidio più attento da parte del P.M.
responsabile. Il dimensionamento della matrice (numero di righe e colonne) discende
dall’individuazione dei livelli di riferimento che si ritengono appropriata per la valutazione del
rischio di progetto e la loro definizione non può prescindere dalle caratteristiche medie dei
progetti generalmente gestiti nell’ambito aziendale e che ne definiscono la particolare
connotazione in termini di:
- Tipologia (rilevanza per il business aziendale, vincoli contrattuali, particolari rapporti
con il cliente, ecc.);
- Dimensione economico-finanziaria (entità degli investimenti previsti, presenza di
partner, peso e/o dipendenza da subfornitori, ecc.);
- Contesto realizzativo entro il quale si svolge il ciclo operativo (particolari complessità
tecnico-gestionali, severità dei requisiti della fornitura, eterogeneità degli attori,
adeguatezza degli skill, ricorso a tecnologie innovative, ecc.)
La matrice Probabilità-Impatto definita nel Risk Management Plan può fornire una modalità
per automatizzare la regola combinatoria per la determinazione del fattore di rischio, per
raccogliere i rischi in macroscopiche categorie di prioritizzazione, come nella tabella
sottostante (matrice di probabilità-impatto di tipo numerico), e anche per verificare che
durante l’analisi qualitativa non siano in atto fenomeni di polarizzazione (affollamento
anomalo di certi settori della tabella).
(Esempio di matrice descrittiva☺
37. Un altro modo di rappresentare la matrice Probabilità-Impatto può essere quella descrittiva come di
seguito specificata.
Il processo da svolgere consiste nella definizione, per ciascuna variabile, di una successione graduale
di livelli che risultino sufficientemente rappresentativi di una scala di valori significativi. Si potrebbero
definire ad esempio:
37
Impatto : Disastroso
Critico
38. 38
Consistente
Marginale
Trascurabile
Probabilità: Molto alta
Alta
Media
Bassa
Molto bassa
Ottenendo in questo caso una matrice quadrata 5x5.
Il passo successivo consiste nel fissare la scala di valori relativa al livello di esposizione, come ad
esempio:
Esposizione: Elevata
Intensa
Limitata
Modesta
e nello stabilire, infine, i criteri di confluenza in base ai quali associare a ciascuna casella della matrice
il corrispondente livello di esposizione (ad es., un livello di impatto “disastroso” o “critico”, che si
ritiene ossa concretizzarsi con una probabilità “molto alta”, potrebbe corrispondere un livello di
esposizione “elevato”, ecc.).
Resta solo da fissare, a questo punto, il settore della matrice delimitato dalla “soglia di attenzione”:
secondo le scale di valori riportate nell’esempio, questo potrebbe coincidere con l’insieme di caselle
alle quali corrisponde un livello di esposizione classificato come “elevato” e “intenso”:
39. Il posizionamento del progetto nella specifica casella della matrice viene effettuato dal P.M. in base
unicamente a una personale valutazione logica (fondata quindi su una propria
esperienza/competenza professionale) dell’evento che, nello specifico contesto progettuale, ritiene
più probabile e di maggior impatto.
39
40. • Valutazione della qualità dei dati sui rischi: l’uso di dati sui rischi di bassa qualità può portare
a un’analisi qualitativa del rischio di scarsa utilità per il progetto. Se la qualità dei dati è
inaccettabile può essere necessario raccogliere dati di qualità superiore. Spesso la raccolta di
informazioni sui rischi è difficoltosa e richiede molto più tempo e risorse di quanto
originariamente pianificato.
• Classificazione dei rischi: i rischi possono essere classificati in base alle fonti di rischio (per es.
usando la RBS), all’area del progetto interessata (ad es. usando la WBS) o in base ad altre
categorie utili al fine di determinare le aree del progetto maggiormente esposte agli effetti
dell’incertezza.
40
Un esempio di possibili rischi nella realizzazione delle opere civili:
- Rischi connessi alle varie lavorazioni;
- Rischi connessi alla sicurezza dei cantieri edili (si effettua in tal caso il PSC);
- Rischi ambientali connessi all’uso di sostanze nocive;
- Rischi connessi all’esistenza e tipologia dei cicli produttivi;
- Rischi connessi alla rottura di impianti;
- Rischi connessi alla fornitura dei materiali;
- Rischi connessi alla progettazione;
- Rischi connessi all’esecuzione dei lavori;
- Rischi connessi alla gestione del programma;
• Valutazione dell’urgenza del rischio: i rischi che richiedono risposte a breve temine possono
essere i più urgenti. Gli indicatori di priorità possono includere i tempi per influenzare una
risposta al rischio, i sintomi e i segnali di allarme e la valutazione del rischio. In alcune analisi
qualitative, la valutazione dell’urgenza del rischio è unita alla valutazione del rischio
determinata dalla matrice di probabilità e impatto per fornire una valutazione finale della
gravità del rischio.
• Parere degli esperti: sono necessari per valutare la probabilità e l’impatto di ciascun rischio
al fine di determinare la posizione nella matrice di probabilità-impatto. In questo processo si
deve prendere inconsiderazione la parzialità espressa dagli esperti.
41. 41
Tra gli OUTPUT di tale processo abbiamo:
• Aggiornamento dei documenti di progetto (Project Documents Updates): ed in particolare:
- Il Registro dei Rischi che include:
- Un elenco prioritizzato dei rischi di progetto;
- I rischi raggruppati per categorie;
- Le cause di rischio che richiedono particolare attenzione;
- L’elenco dei rischi che richiedono una risposta a breve termine;
- L’elenco dei rischi per un’ulteriore analisi e risposta;
- La lista d’attenzione (Watchlist) dei rischi di priorità bassa;
- La tendenza dei risultati dell’analisi qualitativa del rischio.
- Aggiornamenti del registro degli assunti: man mano che diventano disponibili nuove
informazioni a seguito della valutazione qualitativa dei rischi, gli assunti potrebbero
cambiare. Il registro degli assunti deve essere revisionato per integrare le nuove
informazioni. Gli assunti possono essere integrati nella descrizione dell’ambito del
progetto o in un registro degli assunti distinto.
42. Se si sceglie di adottare l’approccio quantitativo, le metodologie alle quali ricorrere sono differenti a
seconda che si vogliano prioritariamente considerare aspetti di natura economico-finanziaria, oppure
alla determinazione delle ricadute derivanti da slittamenti temporali oppure valutare la probabilità
di successo (o di fallimento) complessiva del progetto.
L’analisi quantitativa dei rischi permette di ottenere un’idea preliminare dell’importanza dei rischi e
di determinare una priorità che consenta di dirigere in modo efficace gli sforzi successivi.
Questo processo ha come obiettivo principale quello di supportare la presa di decisione attraverso
la valutazione economica dell’incertezza.
L’analisi qualitativa non consente di rispondere a un interrogativo che il management può porre al
P.M.: quanto vale complessivamente da un punto di vista monetario l’incertezza che grava sul
progetto?
Per dare una risposta a tale interrogativo è necessario passare a una valutazione economica
dell’impatto dei diversi rischi e considerare che:
- I rischi di progetto non sono necessariamente eventi indipendenti;
- Gli scenari a cui sono collegati possono essere legati a cause comuni;
- Le distribuzioni di probabilità di accadimento devono combinarsi secondo criteri
42
probabilistici.
43. A questi temi è dedicato il processo Perform Quantitative Risk Analysis, che si occupa dell’analisi
numerica e probabilistica dei più prioritari fra i rischi identificati durante i processo di analisi
qualitativa e delle loro conseguenze.
43
Lo scopo del processo è quello di:
• Quantificare i possibili risultati del progetto e le relative probabilità;
• Valutare la probabilità di raggiungere determinati obiettivi di progetto;
• Quantificare l’esposizione economica del progetto dovuto a ciascun rischio, il costo per la
sua gestione e la riserva economica (Contingency Reserve) da mantenere;
• Quantificare l’esposizione economica complessiva del progetto al rischio;
• Identificare i rischi che necessitano una maggiore attenzione;
• Esercitare una presa di decisione in presenza di condizioni di incertezza.
Il PMBOK sottolinea che non tutti i progetti hanno necessità di condurre l’analisi quantitativa per
sviluppare un’efficace politica di gestione del rischio.
L’analisi quantitativa è molto costosa, richiede il ricorso a skill e strumentazione molto specialistica e
potrebbe essere poco giustificabile in contesti di progetti semplici, o di budget di costi e tempo
limitati.
Questo approccio conferma la necessità di ricorrere sempre al paradigma dell’efficacia.
L’analisi quantitativa del rischio deve produrre, tra l’altro, un valore dell’esposizione economica
complessiva del progetto al rischio.
Potrebbe sembrare naturale calcolare tale valore come somma dell’esposizione economica dovuta
ai singoli rischi, ma ciò è plausibile solo nel caso che i rischi siano basati su eventi probabilisticamente
indipendenti, altrimenti occorre tenere in conto il regime combinatorio delle probabilità dei rischi
tramite tecniche di modellazione e simulazione.
Il processo Eseguire l’Analisi Quantitativa dei Rischi segue generalmente il processo Eseguire l’analisi
Qualitativa dei Rischi. In alcuni casi, l’esecuzione del processo “analisi quantitativa dei rischi”
potrebbe non essere possibile a causa di una mancanza di dati sufficienti per sviluppare modelli
appropriati. Il P.M. deve avvalersi del parere degli esperti per determinare l’esigenza e la fattibilità
44. dell’analisi quantitativa del rischio. La disponibilità di tempo e budget e l’esigenza di descrizioni
qualitative o quantitative sui rischi e sugli impatti determineranno i metodi da utilizzare per un
particolare progetto.
In genere gli strumenti più utilizzati, come vedremo in avanti, per l’analisi quantitativa sono:
44
- L’analisi di sensitività
- L’analisi del valore monetario atteso (EMV)
- I modelli di simulazione come l’analisi Montecarlo;
- L’albero delle decisioni (Decision Tree)
Il processo Eseguire l’analisi quantitativa dei rischi dovrebbe essere ripetuto secondo necessità
nell’ambito del processo Controllare i rischi per determinare se il rischio generale di progetto è stato
ridotto in misura soddisfacente. Le tendenze possono indicare l’esigenza di maggiori o minori azioni
appropriate di gestione dei rischi.
Relativamente alla quantificazione dei rischi di natura economico-finanziaria, la “teoria delle
decisioni” risulta particolarmente utile.
Un generico processo decisionale (capire quale sia meglio o peggio) si sviluppa attraverso una serie
di step successivi in corrispondenza di ognuno dei quali vengono assunte determinate decisioni; a
ciascuna di queste possono essere associati il guadagno o la perdita conseguenti alla sua assunzione.
Oltre alla tipologia del risultato (guadagno o perdita), anche il relativo ammontare dipende dalle
circostanze esterne (stati del sistema) che, di volta in volta, caratterizzano l’ambiente nel contesto
del quale viene sviluppato il processo decisionale.
Se indichiamo con:
D1, D2, ….. Dn; le decisioni consentite;
S1, S2, ….., Sn; gli stati del sistema;
è possibile costruire una matrice che associa alla decisione Di e allo stato del sistema Sj il risultato
economico “gj”: gli elementi della matrice rappresentano generalmente i guadagni (o le perdite, che
sono rappresentate come guadagni negativi) associati alle decisioni assunte, e, per questo motivo, la
stessa prende il nome di matrice dei guadagni: (ciascuna coppia rappresenta un risultato economico)
Alla matrice dei guadagni sono direttamente applicabili i tre seguenti criteri decisionali:
45. - Criterio di minimax: la decisione da assumere è quella in corrispondenza della quale risulta
45
massimo il minimo guadagno possibile (cioè tra tutti i minimi si prende quello massimo);
- Criterio ottimistico: la decisione da assumere è quella in corrispondenza della quale risulta
massimo il guadagno possibile (valore massimo della matrice);
- Criterio della via di mezzo: la decisione da assumere è quella in corrispondenza della quale
risulta massima la media dei guadagni possibili.
Tali criteri sono detti criteri decisionali semplici in quanto non considerano la probabilità associata al
verificarsi di ciascuno degli n possibili stati che il sistema può assumere. Per tener conto di tale
elemento, la teoria delle decisioni ha sviluppato altri criteri (detti criteri probabilistici): tra questi,
quello che trova l’applicazione più ricorrente nella pratica quotidiana è il criterio chiamato “albero
delle decisioni (o criterio a priori o di Bayes) secondo il quale la decisione raccomandata è quella che
rende massimo il guadagno atteso (EMV – vedi dopo) nel rispetto della distribuzione delle probabilità
degli stati del sistema.
Esempio:
46. 46
Tra gli INPUT troviamo:
• Piano di Gestione dei Rischi: regole da utilizzare nell’analisi quantitativa;
• Piano di Gestione dei Costi: regole per la definizione e la gestione delle riserve di rischi;
• Piano di Gestione della Schedulazione: regole per la definizione e la gestione delle riserve dei
rischi;
• Registro dei Rischi: elemento di riferimento per eseguire l’analisi quantitativa;
• Fattori ambientali aziendali: i patrimonio tangibile dell’organizzazione operante, può
consistere di database su cui lavorare per similitudine, o Risk Register generati da altri
progetti;
• Asset dei processi organizzativi: che possono influenzare il processo e che includono
informazioni da progetti analoghi completati in precedenza;
Tra gli Strumenti e Tecniche troviamo:
• Raccolta dei dati e tecniche di rappresentazione: l’analisi quantitativa si basa sulla gestione
di dati che vanno raccolti e adeguatamente rappresentati.
Per la raccolta dei dati si possono utilizzare interviste (Interviewing) agli stakeholder e agli
esperti allo scopo di definire la distribuzione probabilistica dell’impatto del rischio.
Il PMBOK raccomanda di documentare gli assunti di base e altri elementi di contesto utilizzati
durante le interviste: questo sottolinea la natura iterativa di questo come degli altri processi
visti, in sede di ripetizione, deve potersi basare sulla consapevolezza delle motivazioni che
hanno portato ai risultati corretti.
Le informazioni necessarie dipendono dal tipo di distribuzione di probabilità che saranno
adottate. Ad es., per alcune delle distribuzioni più comunemente utilizzate, si raccolgono
informazioni su scenari ottimistici (basso) pessimistici (alto) e più probabili. Esempi di stime a
tre punti per i costi come di seguito mostrato
47. La documentazione del fondamento logico degli intervalli di rischio e degli assunti alla base,
sono componenti importanti dell’intervista sui rischi poiché possono fornire un
approfondimento sull’affidabilità e sulla credibilità dell’analisi.
I dati una volta raccolti, devono essere adeguatamente rappresentati: la tecnica di
rappresentazione più adatta si basa sull’utilizzo di distribuzioni probabilistiche, in cui
l’andamento del valore di un carattere si rappresenta ini modo grafico ponendo sull’asse Y la
probabilità e sull’asse X il valore (per esempio un costo o una durata).
• Distribuzioni probabilistiche: le distribuzioni probabilistiche comunemente usate sono la
Beta, la Triangolare e la Normale.
Un esempio di distribuzione Beta è dato dalla figura seguente che mostra la probabilità legata
alla stima del costo del progetto:
47
48. Nell’esempio il costo totale del progetto ha la probabilità del 20% di valere 31 (Vo: valore ottimistico),
la probabilità del 20% di valere 68 (Vo: valore pessimistico), e una probabilità del 60% di valere 41
(Vml: valore più probabile). Come abbiamo già visto nei precedenti capitoli, il Valore Atteso è dato
dalla formula:
48
Va = (Vo + 4Vml + Vp) / 6
Quindi nell’esempio si ha Va = (31 + 4x41 + 68) /6 = 43,83 con una deviazione standard pari a:
σ = (Vp – Vo) /6 = (68 – 31) /6 = 6,16
• Tecniche di modellazione di analisi quantitativa e di modellazione: tali tecniche servono per
derivare, partendo dai dati raccolti e adeguatamente organizzati, il valore probabilistico che
assumerà uno degli elementi del progetto o il progetto nel suo complesso.
- Analisi di Sensitività (Sensitivity Analysis): l’analisi di sensitività aiuta a determinare a
quali elementi l’incertezza sui risultati del progetto sia più sensibile (ovvero,
statisticamente, dove si localizza la massima correlazione). Cioè aiuta a determinare
quali rischi hanno il maggiore impatto potenziale sul progetto.
In questo modo si può determinare quale sia l’origine più performante dei rischi, ciò
allo scopo di valutare meglio il risultato dell’incertezza e meglio orientare le azioni di
recupero. Tale analisi viene rappresentata mediante un tipo particolare di istogramma
detto Tornado Diagram utile per confrontare l’impatto e l’importanza relativa di
variabili che hanno un elevato livello di incertezza rispetto ad alte variabili che si
presentano come più stabili.
49. La figura mostra i livelli di sensitività dell’incertezza dei costi di progetto rispetto a
quattro variabili: materiali, mano d’opera, trasporti e attrezzature. Dal confronto si
evince che l’incertezza sulla variabile attrezzature è quella che ha la massima
correlazione con l’incertezza sul costo del progetto ed è quindi quella che necessita
una maggiore cura e attenzione: i rischi individuati che dipendono direttamente da
tale variabile dovranno essere mesi in massima priorità.
Con questa tecnica, l’analisi quantitativa non solo fornisce un’indicazione
sull’esposizione complessiva al rischio, ma consente di orientare le azioni di gestione.
N.B. Con riferimento all’analisi di sensitività, alcuni autori usano il termine Criticality
Analysis, riferendo esclusivamente allo schedule del progetto: questa tecnica
consente, attraverso iterazioni successive tipiche di un simulatore, di classificare quali
siano le attività del progetto che più spesso vengono a trovarsi sul cammino critico.
Con tale analisi i risultato complessivo dell’analisi quantitativa del rischio schedule è
integrato da un’indicazione di quali siano le attività sulle quali statisticamente è più
opportuno concentrare le azioni di gestione.
La Cruciality Analysis corrisponde per altri autori alla Sensitivity Analysis e si applica a
qualunque elemento del progetto, per esempio il costo.
Per altri ancora la Sensitivity del progetto è il prodotto tra Cruciality e Criticality.
A livello esecutivo, si stima l’impatto minimo e massimo di ciascun evento sul progetto
mantenendo gli altri fattori a livelli “normali” prefissati, magari da una baseline.
Nell’esempio sotto riportato sono state considerate le diverse variabili che possono
influire su un investimento in un’impresa di car Sharing (un servizio di trasporto
individuale, ma in comune) e, per ogni fattore, è stato considerato un range entro il
quale esso può variare sulla base di analisi di mercato.
Per ogni valore minimo e massimo di ciascun fattore è stato calcolato il VAN ovvero
NPV, che mette in relazione i cash-flow che si avranno nel tempo con l’investimento
iniziale (Net Present Value già visto nella stima dei costi), tenendo invariate le restanti
variabili.
49
50. Ad esempio il VAN (NPV) inizialmente stimato sulla base dei valori normal, quelli
previsti, è di € 409.136. Nel caso di diminuzione del prezzo di noleggio dell’auto da
6€/h a 5€/h, il VAN si abbasserebbe a – € 413.692, mentre nel caso di aumento a 7 €/h
passerebbe a + € 874.599. I risultati comparati con il VAN stimato inizialmente danno
un’indicazione dell’influenza che il cambiamento di ciascun fattore ha sui flussi di
cassa.
L’analisi effettuata evidenzia la forte sensibilità del VAN rispetto ad una variabile del
tasso di utilizzo medio del servizio da parte dei clienti che, nel caso peggiore, raggiunge
un valore negativo di -€ 1.754.194. Anche i fattori come il leasing delle vetture ed il
prezzo del servizio risultano significative: un aumento del canone delle auto elettriche
potrebbe mettere a rischio la rimuneratività del progetto (-€ 26.508,93), mentre
50
51. fisando il prezzo a 5 € si avrebbe un aumento dei clienti dovuto all’elasticità negativa
della domanda, ma allo stesso tempo comporterebbe un aumento dei costi operativi
che renderebbero il VAN negativo (€ 413.692,14).
• Analisi del Valore Monetario Atteso (EMV): anche detto Expected Monetary Value Analysis.
L’analisi del valore monetario atteso rappresenta un concetto statistico che calcola il risultato
atteso nel caso in cui il futuro presenti degli scenari che possono verificarsi o meno. Ovvero
stima il risultato (economico) più probabile in un contesto di incertezza ovvero in cui sono
possibili diversi scenari futuri.
Con tale analisi è possibile quantificare il valore atteso per un rischio incorporando nel valore
medesimo l’incertezza a esso connessa, con la formula:
51
EMV = P X I
dove:
P = probabilità di accadimento;
I = valore economico dell’impatto del rischio, ovvero valore del danno o del vantaggio
provocato dal rischio negativo o positivo. (I = costo della perdita + costo del ripristino)
Il valore monetario atteso può essere utilizzato sia per eseguire una nuova prioritizzazione dei
rischi a seguito dell’analisi quantitativa dei rischi di progetto, sia per valutare
l’accantonamento economico, o riserva di contingency necessaria per gestire i danni (se il
rischio è negativo) o a cogliere l’opportunità (se il rischio è positivo).
L’EMV, incorporando nell’impatto del rischio anche la sua probabilità di accadimento, è
certamente utile per prioritizzare i rischi su base quantitativa.
Inoltre, se i rischi di progetto hanno natura tale da poter essere gestiti con un
accantonamento di una riserva economica e se i rischi di progetto sono originati da eventi
statisticamente indipendenti, la somma degli EMV costituisce la riserva economica da
accantonare per fare fronte all’incertezza che grava sul progetto. E’ necessario però
sottolineare che questa regola ha senso solo nel caso in cui i rischi siano eventi tra loro
indipendenti.
E’ vero anche che se un rischio può generare un danno pari a -1000, ma una probabilità
d’accadimento pari al 30%, accantonare una riserva a copertura pari al suo EMV (-1000 x 30%
= -300) non è sufficiente a ripianare il danno di -1000. Ma se la tecnica di accantonamento si
applica non a un solo rischio, ma a una grane parte o a tutti i rischi di progetto, allora
l’accantonamento, pur rimanendo insufficiente a coprire il danno dovuto al verificarsi di tutti
i rischi, è invece sufficiente a coprire il danno dovuto al verificarsi di un sottoinsieme di tutti i
rischi.
Il metodo trova utilizzo nell’altra tecnica di modellazione che è l’Albero delle Decisioni.
52. • Albero delle decisioni: La formula EMV presume che al verificarsi dell’evento o alla presa di
una decisione si transiti in uno stato atteso senza ulteriori sviluppi, ma quando a un evento o
a una presa di decisione possono succedersi scenari diversi con differenti probabilità e
impatto sui risultati del progetto, l’analisi del valore monetario atteso deve essere sviluppata
utilizzando uno specifico diagramma detto “albero delle decisioni”.
E’ un efficace rappresentazione grafica che rende di immediata e facile percezione il
particolare processo valutativo seguito dal Decision-maker e che risulta particolarmente utile
per determinare le decisioni ottimali in presenza di processi decisionali complessi. Tale
rappresentazione consiste in un diagramma nel quale vengono evidenziate sia le possibili
decisioni che si possono assumere a fronte del verificarsi di una determinata contingenza, sia
gli eventi che, conseguentemente alle stesse, si prevede potrebbero originarsi.
Il grafico viene costruito evidenziando, da sinistra verso destra, e nell’ordine indicato:
- Le circostanze: in occasione delle quali si intende valutare l’effetto di decisioni
52
alternative;
- Le decisioni: che il Decision-maker intende di volta in volta assumere;
- I possibili eventi: conseguenti alle specifiche decisioni assunte;
- I nodi terminali: le terminazioni finali dei singoli rami, in corrispondenza di ciascuno
dei quali vengono evidenziati i risultati attesi.
In corrispondenza di ciascun ramo viene, inoltre, evidenziata anche la probabilità con la quale
si stima che l’evento che lo ha originato possa effettivamente accadere.
La stesura del diagramma inizia dai nodi terminali e procede, quindi, risalendo all’indietro (da
destra verso sinistra) lungo l’intero reticolo. Durante tale procedimento, si calcolano i
guadagni (o le perdite) attesi e si riporta il relativo valore monetario atteso (EMV) in
corrispondenza dello specifico nodo intermedio.
Le decisioni raccomandate sono quelle alle quali è associato il guadagno massimo atteso.
Vediamo un esempio:
57. Tra le tecniche di modellazione e simulazione, l’analisi Montecarlo è la più importante e la più
apprezzata. Consiste nell’utilizzo di un modello del progetto (per es. sulla sua durata)
attraverso iterazioni successive che si basano su valori di input (per es. la stima della durata
delle attività) estratti casualmente per ogni iterazione dalle distribuzioni di probabilità
associate. Il risultato di tali iterazioni costruisce un modello probabilistico del progetto.
A ogni attività del reticolo di progetto vengono assegnate una distribuzione di probabilità sulla
stima della durata e/o una per la stima dei costi.
Il metodo può essere applicato soltanto con l’uso di software specializzati. Questi, applicando
algoritmi randomici basati sulle distribuzioni fornite, simulano un numero enorme di volte
l’andamento temporale ed economico del progetto, fornendo informazioni come:
- La probabilità di completare il progetto entro gli obiettivi di tempo:
- La probabilità di completare il progetto entro il budget assegnato;
- La data entro cui il progetto ha altissima probabilità di terminare;
- Il budget che dà la totale garanzia di spesa sul progetto;
- La probabilità di completare il progetto entro la data scaturita dall’analisi
57
deterministica tipica del CPM o entro la data attesa dal cliente.
Risultati tipici dell’analisi Montecarlo sono proposti nelle figure seguenti, in cui è stato analizzato un
progetto che, in base all’assegnazione deterministica dei dati di durata e di costo e all’analisi CPM,
risultava completarsi il 28 febbraio e avere un costo complessivo a € 300.000.
I risultati dell’analisi mostrano che la probabilità di completare il progetto entro la data attesa (on
Time) del 28 febbraio è in realtà pari al 67%, e la probabilità di completarlo non spendendo più di €
300.000 (on Budget) è soltanto del 48%....... “che si tratti di un progetto particolarmente rischioso?”
58. • Parere degli esperti: è necessario per identificare il costo potenziale e gli impatti di
schedulazione al fine di valutare la probabilità e definire gli input (quali distribuzione di
probabilità) per gli strumenti da utilizzare.
Il parere degli esperti entra in gioco anche nell’interpretazione dei dati. Gli esperti devono
essere in grado di identificare le debolezze degli strumenti oltre ai relativi punti di forza.
58
Tra gli OUTPUT abbiamo
Il risultato finale di tale processo è l’Aggiornamento dei Documenti di Progetto ed in particolare del
registro dei rischi che comprende:
- Analisi probabilistica del progetto: in termini di distribuzioni (cumulative) delle probabilità di
raggiungimento delle date e dei costi del progetto; tale output, spesso espresso come
distribuzione di frequenza cumulata. È utilizzato con le tolleranze al rischio degli stakeholder
per consentire la quantificazione delle riserve per contingency dei tempi e costi. Tali riserve
per contingency sono necessarie per portare il rischio di sforamento degli obiettivi definiti per
il progetto a un livello accettabile per l’organizzazione.
- Probabilità di raggiungimento degli obiettivi di costo e tempo;
- Una prioritizzazione dei rischi: basata su fattori quantitativi; tale elenco include i rischi che
rappresentano la maggiore minaccia o presentano le maggiori opportunità per il progetto;
- Le tendenze nei risultati: dell’analisi quantitativa del rischio. Quando l’analisi quantitativa si
ripete, può diventare evidente una tendenza che porta a conclusioni che influenzano le
risposte ai rischi. I dati storici dell’organizzazione sulla schedulazione, i costi, la qualità e le
prestazioni di progetto devono riflettere i nuovi approfondimenti ottenuti attraverso i
processi Eseguire l’analisi quantitativa dei rischi.
PIANIFICARE LE RISPOSTE AI RISCHI (Plan Risk Response)
59. 59
L’approccio alla gestione dei rischi è tutto basato sulla proattività.
Questo processo ha come obiettivo principale quello di inserire nel piano di progetto gli elementi
utili per combattere le minacce e favorire le opportunità.
Le fasi di analisi del rischio, qualitativo e quantitativo, hanno permesso di valutare l’importanza dei
diversi rischi e di associare a essi un valore economico.
Un approccio proattivo richiede un passo ulteriore, consistente nel determinare quali siano le migliori
azioni di risposta da mettere in campo, in generale in anticipo, per rispondere ai rischi, cioè
concretizzare le opportunità e per fronteggiare le minacce.
A questi temi è dedicato i processo Pianificare le Risposte ai rischi, che si occupa dell’individuazione
delle azioni di risposta ai rischi e dell’assegnazione a un responsabile (Risk Owner) per ciascuna di
esse.
Le azioni di risposta ai rischi devono essere:
- Appropriate alla severità del rischio;
- Economicamente efficaci;
- Programmate nei momenti opportuni;
- Realistiche;
- Assegnate a un unico responsabile;
- Note a tutte le parti coinvolte.
60. Quindi tale processo comprende tutte quelle strategie e azioni operative volte a ricondurre i rischi
entro i limiti accettabili da parte dell’organizzazione. Gli input della pianificazione devono essere i
risultati dell’analisi qualitativa e quantitativa, ma anche una parte del monitoraggio e del controllo
dei rischi; il monitoraggio dell’andamento del progetto può, infatti, indicare di incrementare o
diminuire l’azione di gestione dei rischi.
Il PMBOK tiene molto al concetto di Responsabilità o proprietà (Owner-ship) del rischio e in questo
caso rappresenta molto bene il concetto che la responsabilità del P. Management debba essere
ripartita, ove opportuno, tra il P.M. e gli attori specializzati su specifici argomenti.
60
Tra gli INPUT troviamo:
• Il Piano di Gestione dei Rischi: ruoli e responsabilità, definizioni dell’analisi del rischio,
tempistica per le previsioni e le soglie di rischio per rischi bassi, moderati o alti. Le soglie di
rischio aiutano a identificare i rischi che richiedono risposte specifiche.
• Registro dei rischi: rischi identificati, relative cause originarie, elenchi delle potenziali
risposte, responsabili del rischio, sintomi e segnali di allarme, valutazione relativa o elenco
delle priorità dei rischi di progetto, elenco di rischi che richiedono risposte a breve termine,
ecc.
Tra gli Strumenti e Tecniche troviamo:
• Strategie per rischi negativi o minacce:
- Eludere la minaccia (o evitare – Avoid): tale strategia si basa sulla determinazione di
modificare il Project Management Plan per eliminare le condizioni che portano al
verificarsi del rischio e/o per annullare all’origine gli effetti del suo verificarsi. Si tratta
di una strategia radicale, che viene applicata nel caso di rischi di alta severità o in
contesti con scarsa tolleranza al rischio.
Esempi:
Ridurre l’ambito del progetto per evitare attività molto rischiose;
Aumentare il numero delle risorse;
Aumentare il tempo a disposizione del progetto;
Adottare un approccio/metodologia/tecnologia conosciuta anziché una
innovativa;
Evitare fornitori o subappaltatori poco conosciuti;
- Trasferire la minaccia (Transfer): la strategia di trasferire la minaccia consiste nel
determinare una terza parte meglio attrezzata alla sua gestione. A volte questa
strategia viene denominata Deflection. Il metodo dunque non elimina il rischio ma ne
trasferisce la diretta responsabilità a un’altra parte. Questa strategia si rivela molto
efficace in caso di esposizione a un rischio di natura finanziaria.
61. Il trasferimento del rischio comporta normalmente il pagamento di un premio alla
terza parte che assume il rischio:
Esempi:
Polizze assicurative (Insurance);
Garanzie (Warranties);
Fidejussioni (Performance Bonds) – obbligazioni da parte di un garante da
61
indennizzare in caso di mancata esecuzione degli obblighi contrattuali;
Contratti a prezzo fisso (fixed price contract): per trasferire integralmente il
rischio al venditore/fornitore: nel caso di maggiori costi costi legati
all’incertezza, l fornitore vedrà erodere il proprio margine;
Contratti a prezzo variabile (cost-plus contract) – per trasferire parzialmente il
rischio di extra costo al venditore/fornitore;
Nei contratti “Time Material”: il prezzo viene definito in relazione al costo
del lavoro più un margine e quindi il committente si accolla tutti i rischi,
accettando anche un prolungamento dei tempi e conseguentemente dei costi
per privilegiare una commessa di qualità;
- Mitigare la minaccia (Mitigate): tale strategia consiste nell’assumere azioni atte alla
riduzione della probabilità di accadimento della minaccia e/o alla riduzione delle sue
conseguenze (impatto).
L’efficacia della mitigazione è tanto più valida quanto più le azioni di mitigazione sono
tempestive.
I costi delle azioni di mitigazione devono essere appropriati rispetto al danno.
Esempi:
Adottare processi più semplici;
Condurre pre-test appropriati;
Scegliere un fornitore “stabile”;
Aumentare il numero delle risorse.
• Strategie per rischi positivi o opportunità:
- Sfruttare l’opportunità o il rischio (Exploit): tale strategia si basa sulla determinazione
di modificare il Project Management Plan per determinare le condizioni che portino al
verificarsi certo di un’opportunità. Si tratta di una strategia radicale, che viene
applicata nel caso di rischi di alta attrattività o in contesti con grande inclinazione al
rischio.
Esempi:
Utilizzare risorse pregiate;
Adottare materiali innovativi ma estremamente performanti;
Modificare le funzionalità del prodotto inserendo nuove prestazioni ad alto
ritorno;
62. - Condividere il rischio o opportunità (Share): Tramite azioni Win-Win. Tale strategia
consiste nel determinare una parte meglio attrezzata per cogliere i vantaggi di
un’opportunità, dunque ne trasferisce integralmente o parzialmente la diretta
responsabilità di gestione a una terza parte.
Esempi:
Joint venture (associazioni temporanee di impresa) fondate con il preciso
62
intento di gestire le opportunità;
Partnership industriali o commerciali;
- Potenziare l’opportunità (Enhance): consiste nell’assumere azioni atte
all’amplificazione della probabilità di accadimento dell’opportunità e/o all’incremento
degli impatti positivi.
Esempi:
Aumentare il numero delle risorse;
Partecipare a iniziative o programmi di sperimentazione prodotto;
Sponsorizzazioni;
E’ possibile anche non pianificare una determinata strategia di risposta ai rischi, ma accettarli (valido
sia in caso di minacce che opportunità), non modificando il Piano di Project Management e
affrontandoli attraverso una riserva di costi, tempi e risorse per la gestione delle eventuali
contingenze. Per quanto riguarda i costi, in generale è possibile allocare una riserva di budget detta
Contingency Reserve che contabilizza l’esposizione ai rischi individuati durante la fase di Risk
Assessment.
Nel caso della pianificazione temporale una “Reserve” può essere considerata come lavoro aggiuntivo
che determina una durata maggiore dell’attività o una percentuale di durata dell’attività oggetto del
rischio e stimata anche attraverso metodologie quantitative come il metodo MonteCarlo. Le
“Reserve” possono essere aggregate nei buffer: un esempio sono i Feed Buffer utilizzati nell’approccio
del Critical Chain di gestione dei tempi.
- Accettare (Accept): l’accettazione (o ritenzione) del rischio è un metodo orientato
all’accettazione della minaccia o dell’opportunità, perché si è stati in grado di
determinare adeguate azioni di gestione proattiva, o perché le stesse sono state
considerate troppo dispendiose.
L’accettazione può essere:
1. Attiva – viene progettato il piano di contingency, piano di azioni da eseguire nel
caso l’evento accada realmente, e/o si esercita un accantonamento economico
atto a coprire i costi di gestione della minaccia o dell’opportunità ove essa abbia a
verificarsi;
2. Passiva (Workaround) – non viene progettata alcuna azione in anticipo, sarà il
team a decidere il da farsi nel caso l’evento dovesse accadere.
63. Ricapitolando, le strategie di gestione dei rischi (sia negativi che positivi) sono sinteticamente
elencate di seguito:
63
Minacce Politica di gestione Opportunità
Elusione Eliminazione dell’incertezza Sfruttamento
Trasferimento Riallocazione delle
responsabilità
Condivisione
Mitigazione Modifica dell’esposizione Potenziamento
Accettazione Gestione corrente Accettazione
• Strategie di risposta contingenti: per alcuni rischi il gruppo di progetto deve preparare un
piano di risposta che sarà eseguito solo in determinate condizioni predefinite se si ritiene che
vi saranno segnali di allarme sufficienti per implementare il piano. Esempi di eventi
contingenti: saltare una milestone intermedia; ottenere una maggiore priorità con un
fornitore.
Le risposte al rischio identificate tramite questa tecnica vengono spesso chiamate piani di
contingency o piani di riserva e includono eventi trigger che attivano il piano.
• Parere degli esperti: è fornito da parti bene informate per quanto riguarda le azioni da
intraprendere per un rischio specifico e definito. Tali conoscenze possono essere fornite da
un gruppo di persone o da un singolo individuo con istruzione, conoscenze, capacità,
esperienza o formazione specialistica del settore.
Tra gli OUTPUT di tale processo abbiamo:
• Aggiornamento del Piano di Project Management: in quanto i risultati del processo di
pianificazione della risposta al rischio devono entrare in input ai processi di pianificazione dei
tempi, dei costi, delle risorse e altri, imponendone una rivisitazione. L’aggiornamento può
riguardare anche la parte relativa agli approvvigionamenti (Procurement Management Plan),
per quanto riguarda decisioni contrattuali relative ai rischi verso il client o verso sub-appaltatori/
fornitori, che tendono a gestire tipicamente l’esposizione al rischio di extra-costo.
Altri aggiornamenti possono esserci nei confronti del:
- Piano di gestione della qualità: esso è aggiornato per riflettere le modifiche nei
processi e nelle pratiche causate dalle risposte ai rischi. Può includere modifiche nella
tolleranza e nel comportamento legate a requisiti, assicurazione qualità o controllo
qualità.
64. - Piano di gestione delle risorse umane: viene aggiornato il piano di acquisizione del
personale per riflettere le modifiche nella struttura organizzativa del progetto e
nell’applicazione delle risorse legate alle risposte ai rischi.
- Baseline dell’ambito: a causa del lavoro nuovo modificato od omesso generato dalle
risposte ai rischi, la baseline dell’ambito può essere aggiornata per riflettere tali
modifiche;
64
- Baseline della schedulazione;
- Baseline dei costi;
• Aggiornamento dei documenti di progetto: tra cui ovviamente il Risk Register.
Gli aggiornamenti del registro dei rischi includono:
- I responsabili del rischio e le responsabilità assegnate;
- Le strategie di risposta concordate;
- Le azioni specifiche per implementare la strategia di risposta scelta;
- I trigger, i sintomi e i segnali di allarme dell’occorrenza del rischio;
- Il budget e le attività di schedulazione necessari per implementare le risposte scelte;
- I piani di contingency e i trigger che ne richiedono l’esecuzione;
- I piani di riserva da usare come reazione a un rischio che si è verificato quando la
risposta primaria si rileva inadeguata;
- I rischi residui previsti dopo aver intrapreso le azioni di risposta pianificate, oltre a
quelli che sono stati deliberatamente accettati;
- I rischi collaterali che derivano come risultato diretto dell’attuazione di una risposta al
rischio;
- Le riserve per contingency che sono calcolate sulla base dell’analisi quantitativa dei
rischi del progetto e delle soglie di rischio dell’organizzazione.
La riserva ed il piano di Contingency.
Nel caso di accettazione attiva di un rischio (vedi strategia per rischi positivi), non viene messa
in campo alcuna azione di risposta, ma è necessario valutare la contingency per ogni rischio,
sia come piano (Contingency Plan), ovvero cosa fare nel caso in cui il rischio dovesse accadere,
sia come riserva per contingency (Contingency Reserve), ovvero la riserva economica da
accantonare per far fronte al suo verificarsi.
Anche nel caso di mitigazione del rischio (vedi strategie per rischi negativi), potrà essere
necessario identificare una riserva per contingency, il cui valore economico sarà più basso, e
un piano di contingency che sarà meno impegnativo rispetto al caso di accettazione.
Nel caso in cui i rischi identificati siano basati su eventi probabilisticamente indipendenti, sarà
possibile calcolare la Contingency Reserve del progetto come somma delle singole
Contingency Reserve dei rischi identificati e quantificati, ovvero:
CR = Σ EMV(x) = Σ P x I
65. essendo, come abbiamo visto, EMV pari al valore monetario atteso che, come detto, può
essere utilizzato sia per eseguire una nuova prioritizzazione dei rischi a seguito dell’analisi
quantitativa dei rischi di progetto, ovvero per valutare l’accantonamento economico, o
Riserva per Contingency necessaria per gestire i danni (se il rischio è negativo) o a cogliere
l’opportunità (se il rischio è positivo).
Nella realtà, per tale valutazione occorre tener conto del regime combinatorio delle
probabilità dei rischi, usando tecniche di modellazione e simulazione.
65
La riserva di gestione (Management Reserve)
La riserva di gestione è un budget di progetto accantonato e riservato per modifiche all’ambito
e modifiche ai costi dovuti a imprevisti, ovvero a tutti gli eventi che potrebbero accadere nel
progetto e che non erano stati precedentemente identificati e quindi non trattati come rischi.
Tale riserva è spesso valutata su dati storici ed espressa come percentuale del budget totale
del progetto.
Il PMBOK parla di Management Reserve nel processo “Stimare la durata delle Attività” e nei
processi “stimare i Costi” e “determinare il Budget”.
N.B. Non confondere la Contingency Reserve con la Management Reserve.
La riserva di contingency viene approvata per far fronte a rischi residui (quindi rischi NON
annullati) qualora dovessero accadere. Il P.M. non ha bisogno di chiedere ulteriore
autorizzazione per usare la Contingency Reserve, la quale viene associata ai cosiddetti Known-
Unknown (incertezze di cui si è consapevoli).