In questo articolo ti parlo della gestione dei rischi e di un possibile approccio per misurarne l’efficacia. Prima di entrare nel merito ricordiamo brevemente cosa si intende per rischio.

COSA E’ UN RISCHIO?

Ricordiamo innanzitutto che un rischio, così come definito nel PMBOK® Sesta Edizione, è una qualsiasi area di incertezza che rappresenta una minaccia o un’opportunità per il progetto.

In modo più preciso un rischio è un evento o condizione non certa che, se accade, ha un effetto positivo o negativo su almeno uno degli obiettivi del progetto come tempi, costi ambito o qualità.

Contrariamente al pensiero comune, i rischi possono essere sia positivi che negativi:

  • Positivi: in tal caso parliamo di opportunità, ossia eventualità di ottenere un vantaggio
  • Negativi: in tal caso parliamo di minacce, ossia eventualità di subire un danno

I PROCESSI PER LA GESTIONE DEL RISCHIO

Il PMBOK® Sesta Edizione individua i seguenti processi per la gestione dei rischi:

Pianificazione della gestione: Come gestisco i rischi del progetto? Quali tecniche adotterò sul campo?

Identificazione: Identifico e costruisco una base per pianificare delle risposte

Analisi qualitativa: Quali sono i rischi più importanti che impattano sul progetto

Analisi quantitativa: Sui rischi più importanti vengono applicate tecniche matematiche per stabilire priorità e impatto sul progetto

Pianificare le risposte al rischio: Una volta che si è verificato il rischio, come rispondo ? Allocare costi, risorse, prevedere attività (schedule).

Implementare le risposte al rischio: Eseguire le azioni pianificate. Rispondere ai rischi seguendo quanto è stato pianificato.

Controllo dei rischi: Come sta avvenendo in realtà la risposta al rischio ? Verificare il pianificato verso l’eseguito.


UN POSSIBILE APPROCCIO PER VERIFICARE L’EFFICACIA DELLA GESTIONE DEI RISCHI DI PROGETTO

I processi descritti sono senz’altro esaustivi, ma il mio obiettivo è porre l’accento su un altro aspetto, non sempre considerato e contemplato dai processi e cioè:

Ma quanto sono stato bravo ad identificare i rischi?

Le risposte hanno portato risultati misurabili?

Sono state efficaci?

Un possibile approccio per capire quanto sono stato bravo nell’identificare i rischi è inquadrare il tema dal punto di vista della varianza.

In altri termini, potremmo pensare che ho lavorato bene sui rischi se ho minimizzato la varianza rispetto allo schedule ed ai costi.

E’ chiaro che se tutto procede come pianificato, ovvero con una varianza minima, probabilmente sono stato bravo sia ad identificare i rischi sia a gestirli e controllarli. Ma se ho una varianza significativa è possibile che si siano presentati rischi non identificati e/o non ho implementato risposte efficienti.

Spesso i processi di controllo (in vari ambiti quali schedule, costi, rischi, scope) si concentrano sull’osservazione di quanto l’eseguito corrisponda al pianificato. Nel caso dei rischi bisogna capire quanto è efficace la gestione dei rischi e non quanto sono stato bravo a seguire i processi che ho pianificato.

Ad esempio esaminiamo la varianza:

CV = EV – AC (Cost Variance = Earned Value – Actual Cost)

dove

Earned Value è il valore prodotto in termini di lavorazione nel progetto in un determinato momento e Actual Cost è il costo sostenuto realmente per le attività messe in campo.

La differenza di questi due valori determina la varianza sul costo.

Vediamo quella sullo schedule:

SV = EV – PV

dove Planned Value è il valore pianificato.

Quindi la varianza sullo schedule è determinata da quanto realmente prodotto meno quanto pianificato.

Se l’earned value è molto inferiore rispetto all’actual cost vuol dire che non possiamo dare una valutazione positiva sulla efficacia della gestione dei rischi, avendo sostenuto un costo molto maggiore rispetto al valore prodotto dal progetto. Il cost variance ci da una misura di tale scostamento.

Se l’earned value è molto inferiore rispetto al planned value significa che siamo lontani come valore del progetto rispetto a quanto era stato pianificato. Lo schedule variance misura questa differenza.

In questo caso possiamo ipotizzare alcune cause:

  • C’è stato un problema sulla pianificazione
  • Si sono verificati dei rischi non previsti, che hanno prodotto la varianza misurata
  • Le risposte ai rischi, che erano stati identificati, non sono state efficaci

Quindi studiare le varianze dà una misura dell’efficienza della gestione dei rischi, in termini di performance

In caso di varianze significative, leggendole nuovamente sui rischi, vuol dire che non abbiamo individuato tutti i rischi, ovvero ci sono stati degli eventi non previsti che hanno indotto la varianza ad assumere valori fuori norma. Inoltre, di sicuro abbiamo stimato in modo non realistico la probabilità del rischio e del suo impatto sul progetto, il rischio si è verificato ed ha prodotto un impatto notevole. Infine, le azioni pianificate per rispondere al rischio che si è verificato, non sono state efficaci, non hanno mitigato l’impatto sul progetto.

Per quanto detto, un’idea sarebbe quella di porci le seguenti domande ogni volta che durante il progetto esaminiamo il valore assunto dalla varianza:

Si è verificato un rischio non previsto? Era presente nel risk register?

La stima della probabilità del rischio che si è verificato, presente nel risk register e quindi previsto, poteva essere migliorata?

L’ipotesi dell’impatto che aveva il rischio sul progetto era corretta?

Abbiamo definito nel migliore dei modi la RAM (Risk Assessment Matrix) dimensionata su probabilità ed impatto ?

EventoProbabilitàImpattoValutazione (Ranking)
Evento 1Probabilità 1Impatto 1Grave
Evento 2Probabilità 2Impatto 2Medio
Evento 3Probabilità 3Impatto 3Basso
(altre granularità)

Figura 1 : Risk Assessment Matrix

Le azioni messe in campo per gestire il rischio (verificato) sono state efficaci?

EventoAzioniSi è verificato?Risorse a disposizione
Evento 1Descrizione azioni 1Elementi di valutazione 1Pool di risorse 1
Evento 2Descrizione azioni 2Elementi di valutazione 2Pool di risorse 2
Evento 3Descrizione azioni 3Elementi di valutazione 3Pool di risorse 3

Figura 2 : Azioni pianificate per la gestione dei rischi

In questo modo possiamo apprezzare e dare una valutazione in merito all’efficacia della gestione dei rischi impostata per il progetto.

Per dare una metrica di valutazione possiamo determinare:

  • Il contributo alla varianza determinato dai rischi non identificati
  • Il contributo alla varianza determinato dai rischi la cui valutazione è stata non corretta in termini di probabilità e impatto sul progetto
  • Il contributo alla varianza per azioni pianificate ma non sufficienti a gestire il rischio che si è verificato

Nota bene, non ci stiamo concentrando su quanto stiamo seguendo bene il processo, piuttosto la nostra attenzione è rivolta a quanto è stata efficace (misurandola) la nostra gestione dei rischi sul progetto.

Adottando questo approccio ad ogni verifica sulla varianza del progetto potremo introdurre dei miglioramenti nella gestione dei rischi, dimostrando agli stakeholder che la nostra gestione è efficace, oltre che oggetto di miglioramenti continui nel tempo.

Alla prossima.

Michele