Risk Management: da Cassandra alla crisi economica

By
Marco Caressa
-

Nella scheda precedente vi siete allenati sul problem solving reattivo, ossia la capacità di trovare una soluzione a problemi e imprevisti di progetto, o almeno tentare di limitarne i danni. Avete visto come – prima di qualsiasi investigazione o diagnosi delle cause con strumenti come l’analisi di Pareto e i Diagrammi di Ishikawa – sia importante identificare i problemi, tracciarli, classificarli e metterli in ordine di priorità all’interno di un registro. Questo per creare una memoria storica che possa tornarvi utile in futuro in situazioni analoghe.

Abbiamo però anche sottolineato come, invece di rimandare il momento di affrontare una questione confidando sul Mr. Wolf che è in voi, sia molto più conveniente agire d’anticipo, quando il problema non si è ancora manifestato o quando è ancora piccolo e più facilmente gestibile.

Oggi voglio approfondire il tema, proponendovi una serie di esercizi di problem solving proattivo, pianificando il “gioco d’anticipo” in maniera organizzata e strutturata secondo quando previsto dalla disciplina del Risk Management. Gestire il rischio anticipando le situazioni vi permette di pensare con calma ad una soluzione efficace senza dover prendere decisioni sotto la pressione dell’emergenza.

Warm up

Se pensate che occuparvi dei rischi sui vostri progetti non sia una cosa importante, ricordatevi cosa accadde quando Cassandra mise tutti in guardia dai rischi che si correvano portando quello strano cavallo di legno dentro le mura della città di Troia, ma nessuno poi le diede retta…

Un buon metodo per scoprire quale sia il tema caldo del momento sono gli annunci di lavoro. Se negli anni ‘90 uno dei profili più ricercati era il Quality Manager (non vi preoccupate, ho in cantiere una scheda di allenamento anche sul tema della qualità di progetto), nei primi anni del 21-esimo secolo è stato il Risk Manager a farla statisticamente da padrone.

Come mai tutti si sono improvvisamente accorti dell’importanza di gestire i rischi? Colpa della crisi economica e finanziaria del 2008, la più grave dopo quella di Wall Street del 1929, che è un esempio da manuale di mancata gestione del rischio, poco importa se colposa o dolosa.

Questa, semplificando parecchio, la catena degli eventi:

Per “muovere” l’economia, si diffondono in USA a cavallo tra vecchio e nuovo millennio prestiti e mutui “subprime” (prodotti finanziari con tasso di interesse molto basso all’inizio e brusco aumento negli anni successivi) => allora

…decine di migliaia di famiglie americane acquistano una casa grazie ai prestiti e mutui subprime, senza che però venga valutata con attenzione la loro capacità finanziaria in prospettiva, cioè il rischio di non poter pagare le rate, non tanto nell’immmediato quanto nel medio-lungo periodo => così facendo

…nonostante qualche economista, emulo di “Cassandra”, metta in guardia sui rischi, tutti sono contenti: costruttori edili e agenti immobiliari che possono soddisfare una domanda crescente di case, banche e istituti finanziari che concedono prestiti con tassi di interesse per loro vantaggiosi, consumatori che diventano per la prima volta in vita loro proprietari di una casa, governo che può esibire la crescita economica del settore => quindi

…il fenomeno si ingrandisce e prosegue fino al 2004-2006, quando arriva il momento di ripagare e scoppia la bolla. I tassi dei subprime aumentano (come da contratto) e migliaia di famiglie non riescono a pagare le rate. Nel frattempo, buona parte dei debiti sono stati “venduti” da banche e creditori ad altri investitori, che li hanno frammentati e trasformati in azioni, vendute a loro volta a banche e investitori di tutto il mondo sotto forma di pacchetti finanziari di vario genere e tipo => come risultato

…nel 2007 vengono messe all’asta per insolvenza 1,3 milioni di proprietà immobiliari e i pacchetti finanziari di cui sopra diventano carta straccia, per via dell’azzeramento di valore dei debiti su cui sono basati => allora

…le banche, sospettose le une delle altre, cominciano a non prestarsi più denaro a vicenda e questa mancanza di fiducia genera un credit crunch, cioè una crisi di liquidità (nessuno è più disposto a prestare soldi a nessuno) che determina nel 2008 un totale di perdite, da parte di banche e istituzioni finanziarie a livello mondiale, pari a 435 miliardi di dollari. Le banche cominciano a fallire, prima quelle piccole e poi, per effetto domino, quelle più grandi. Solo negli USA il governo deve predisporre un pacchetto di salvataggio di 700 miliardi di dollari per scongiurare il fallimento di altri colossi del credito e il collasso dell’intera economia.

Non male eh? Tutto questo per avere sottovalutato il rischio di solvibilità di qualche migliaio di famiglie che volevano comprarsi casa. Si tratta, ribadisco, di una storia semplificata, perché alla crisi economica e finanziaria mondiale hanno contribuito anche altri fattori. Tuttavia, il senso della storia rimane. Un po’ come quella della farfalla che sbatte le ali scatenando l’acquazzone a 10.000 km di distanza, il che ci ricorda una cosa semplice ma importante: il mondo opera secondo schemi non lineari. Cioè da piccole cause possono scaturire effetti macroscopici.

Ogni progetto replica, in piccolo, un sistema economico non lineare. Avete delle risorse non infinite da impiegare in attività che devono portarvi a raggiungere un obiettivo in tempi determinati. Ed è per questo che essere attendisti, nel gestire questioni che invece potrebbero essere affrontate per tempo, allunga la catena degli eventi e moltiplica l’effetto di non linearità, facendo sì che se poi il rischio si concretizza il problema risultante diventa, come dicevamo anche la volta scorsa, non gestibile.

Purtroppo, la strategia di Risk Management che vedo spesso applicare è quella che gli americani chiamerebbero “hoping for the best”. L’ottimismo, come diceva qualcuno, è il sale della vita, però non possiamo semplicemente sperare che un progetto vada bene. Vediamo allora come allenare la nostra capacità di capire per tempo cosa potrebbe accadere al nostro progetto e di predisporre specifiche azioni di contrasto per essere colti meno alla sprovvista.

Esercizi

Intanto dobbiamo metterci d’accordo su cos’è il rischio. Un rischio è un evento che ha una certa probabilità di accadere e che se si verifica ha un impatto su uno o più obiettivi di progetto. Una volta che qualcosa accade, cessa di essere un rischio e diventa un fatto. A volte un problema, ma non è detto…

Attenzione, al contrario di quanto si intende parlando in generale, il rischio non è qualcosa di negativo in sè. Dipende dal tipo di impatto che determina se e quando dovesse verificarsi. Se è negativo parliamo di minaccia (es. il rischio di un guasto al vostro PC e del conseguente ritardo nella consegna di un documento), se l’impatto è positivo parliamo invece di opportunità (es. il rischio che costruiscano un centro commerciale in un quartiere limitrofo e la conseguente rivalutazione anche del vostro appartamento). Quindi il primo esercizio è chiudere gli occhi per due minuti e ripetere, respirando lentamente, “il rischio è un concetto neutro, il rischio è un concetto neutro, il rischio è un concetto neutro…”.

Passiamo adesso al programma di allenamento vero e proprio. Di seguito gli esercizi di Risk Management che dovreste sempre eseguire sul vostro progetto. Avere attrezzi adeguati, come applicazioni software specifiche, può esservi d’aiuto ma ricordate che gli strumenti sono inutili se non conoscete tecniche e metodi alla base del loro utilizzo. Quindi, potete cavarvela egregiamente anche con un semplice foglio elettronico o addirittura con carta e penna.

Esercizio N. 1 – Identificazione dei rischi: come la volta scorsa per i problemi, anche i rischi vanno identificati e tracciati, alimentando un registro dei rischi che vi consentirà di tenerli d’occhio e vi tornerà utile in futuro. Alcuni rischi tendono infatti ad essere ricorrenti in funzione del tipo di progetto e/o della industry di riferimento. Ad esempio, in un progetto di sviluppo software un rischio tipico è quello di non riuscire a capire bene i requisiti espressi dal cliente/utente, oppure utilizzare un nuovo prodotto o tecnologia per i quali potremmo non avere competenze sufficienti, etc. Registrando e tracciando i rischi creerete una base storica che vi consentirà di non partire ogni volta da zero.

In termini pratici, il vostro registro dei rischi è una tabella che potete modellare con queste 10 colonne di partenza:

  1. numero progressivo (identificativo del rischio),
  2. tipologia (minaccia, opportunità)
  3. codice del rischio (mnemonico),
  4. breve descrizione (es. rischio perdita dati),
  5. indicazione dell’ambito (progettazione, esecuzione, acquisto, etc.) o attività relativa,
  6. data di rilevazione
  7. soggetto che lo ha rilevato
  8. evento “trigger” (evento che determina il rischio, es. rottura del disco fisso che determina una perdita di dati)
  9. soggetto owner del rischio (chi ha la responsabilità del suo controllo e gestione)
  10. note (eventuali altre informazioni)

Esercizio N. 2 – Valutazione (assessment) dei rischi: una volta identificati e tracciati, i rischi vanno valutati per poterli ordinare in base alla loro criticità: i rischi più gravi sono quelli più urgenti e quindi da affrontare per primi.

La teoria classica prevede il concetto di “esposizione” al rischio, dato dal prodotto della probabilità dell’evento di rischio per l’impatto che questo produce verificandosi. Tutte le statistiche mostrano, ad esempio, che si è maggiormente esposti al rischio viaggiando in automobile piuttosto che in aereo. Questo perché l’incidente aereo, pur avendo nella media un impatto maggiore di un incidente d’auto, ha una probabilità molto più bassa di verificarsi e il prodotto di probabilità per impatto è inferiore.

Nella realtà pratica, quasi mai avete dati a sufficienza per valutare con esattezza percentuali e probabilità numeriche. Potete allora definire delle “fasce”, corrispondenti a valori convenzionali, e costruire una matrice di valutazione dell’esposizione al rischio (risk assessment matrix) come quella riportata in figura.

In uno scenario semplificato costruirete una matrice per ciascun rischio censito nel registro, prevedendo 3 valori possibili per la probabilità e 3 per l’impatto, quindi 9 valori possibili di esposizione, da classificare convenzionalmente. Potrete poi definire delle regole in base alle quali, in funzione del valore di esposizione, vi limitate a controllare la situazione oppure avviate azioni specifiche di contrasto, come vedremo nell’esercizio seguente.

Valutare l’esposizione serve a “ordinare” il vostro registro dei rischi, da quelli più critici (esposizione più alta) a quelli meno critici (esposizione più bassa). Al solito, considerate non solo le minacce, ma anche le opportunità. In questo caso “maggiore esposizione” significa situazione più favorevole, ma rimane fermo il criterio di ordinamento. In sostanza, al termine di questo esercizio vi troverete il registro dei rischi riordinato, dove le prime righe della tabella rappresentano i rischi su cui dovete agire il prima possibile: per ostacolarli (minacce) o favorirli (opportunità).

Operativamente, dovete fare due cose sulla tabella di prima (registro dei rischi) :

1) Aggiungere tre nuove colonne per la valutazione di priorità:

  • Probabilità rischio (bassa = 1, media =2, alta = 3)
  • Impatto (basso = 1, medio =2, alto = 3)
  • Esposizione (prodotto risultante di probabilità x impatto)

2) Ordinare la tabella per valori di esposizione decrescenti (dal più alto al più basso).

Esercizio N. 3 – Trattamento dei rischi: nei primi due esercizi avete censito i rischi di progetto, li avete valutati e messi in ordine di priorità, in base all’esposizione. Ora dovete decidere come fronteggiare ciascun rischio. In sostanza, si tratta di definire delle azioni preventive volte a disinnescarlo o a mitigarne l’effetto. Qui non partite da zero perché ci sono delle strategie tipiche, come quelle elencate di seguito.

A ciascuna strategia di risposta corrisponderanno specifiche azioni, che dipendono dal vostro contesto di progetto. Potete evitare il rischio di perdere dati facendone 2 backup distinti su 2 diversi supporti. Potete mitigare l’impatto di un temporale prendendo un ombrello prima di uscire. Potete trasferire il rischio di dover rimborsare una somma salata all’inquilino del piano di sotto, a cui la rottura di un vostro tubo ha provocato un allagamento, stipulando una polizza assicurativa.

Aggiungerete quindi alla vostra tabella (registro dei rischi) due nuove colonne:

  • Strategia di risposta (es. evitare, mitigare, trasferire, etc.)
  • Azioni specifiche di risposta, coerenti con la strategia.

Esercizio N. 4 – Controllo dei rischi: in quest’ultimo esercizio controllerete se le azioni di contrasto ai rischi che avete predisposto sono state eseguite correttamente, aggiornando il registro. Avete eseguito il backup settimanale dei dati? Avete verificato la disponibilità di un consulente qualora il vostro team di progetto non avesse sufficienti competenze, per evitare ritardi di progetto?

Già che ci siete, darete un’occhiata se ci sono nuovi rischi all’orizzonte ovvero se qualcuno dei rischi si è trasformato in fatto (cioè l’evento è accaduto e quindi il rischio non è più tale).

Come dovete eseguire questi 4 esercizi? Semplice.

Eseguirete un circuito dei primi 3 esercizi all’inizio del progetto. L’analisi e la valutazione dei rischi dovrebbe essere infatti una delle primissime cose che fate. Eseguirete poi periodicamente l’esercizio N. 4, ripetendo eventualmente in modo parziale anche i primi 3, per:

  • inserire e valutare nuovi rischi emersi nel frattempo;
  • ri-valutare i rischi già presenti nel registro. Tenete conto infatti che nel corso del progetto l’esposizione ad uno specifico rischio potrebbe cambiare. Perché l’evento diventa più o meno probabile o perché viene a modificarsi l’impatto conseguente.
  • modificare eventualmente le azioni di risposta in base a quanto rilevato al punto precedente.

Riepilogando, il vostro registro dei rischi apparirà come di seguito.

Le colonne proposte sono indicative. Ci sono in rete diversi modelli free di registro dei rischi in funzione della tipologia di progetto.

Defaticamento e Stretching

Il Risk Management è un insieme di tecniche, metodi e strumenti per gestire l’incertezza, prefigurando gli eventi che potrebbero verificarsi e stabilendo in anticipo le strategie di azione più opportune. Ricordatevi di avere sempre un atteggiamento equidistante. In altre parole, non concentratevi solo sulla difesa per non prendere gol evitando o limitando le minacce, perché per vincere bisogna anche segnare, favorendo o esaltando le opportunità.

Si tratta di concetti generali che vanno al di là del perimetro di progetto, tant’è che il Risk Management viene considerato una disciplina manageriale a sé stante e qualsiasi modello o framework gestionale non può prescindere dal modellare l’incertezza per affrontarla in modo efficace.

Mi raccomando, esercitatevi quanto più potete sulla gestione preventiva, evitate che le minacce diventino dei problemi e cercate di far si che le opportunità possano concretizzaarsi al meglio. Come al solito, partite dalle situazioni semplici. Ad esempio, potete far pratica analizzando e gestendo i rischi connessi all’organizzazione del vostro prossimo fine settimana (a che ora partire, che strada fare, dove fermarsi, etc.). Oppure quelli relativi al ridipingere da soli le pareti di casa piuttosto che ingaggiare una ditta specializzata.

Tracciate e conservate le informazioni sui rischi che incontrate e analizzate e su come li avete affrontati, molti di questi potrebbero ripresentarsi tal quali in futuro in progetti simili. Quale che sia la vostra propensione al rischio, ricordate sempre che in un progetto l’attendismo è la peggiore strategia. Nascondere la polvere sotto il tappeto non porta a nessun risultato, se non a trasformare un rischio in problema conclamato. Come dice Tom Gilb, “if you don’t actively attack the risks, they will actively attack you”.

Facebook Comments

RELATED ARTICLESMORE FROM AUTHOR

LEAVE A REPLY

Please enter your comment!
Please enter your name here