di Eugenio Matarese

Per loro natura i progetti “innescano” sempre un cambiamento, dato che hanno come obiettivo il rilascio di un servizio, un prodotto o un risultato che prima semplicemente non c’era. E il cambiamento porta con sé incertezza che si traduce nella possibilità che un evento possa o non possa accadere.

La bibliografia sulla definizione di rischio è molto ricca; diciamo innanzitutto che il termine rischio, spesso associato ad un concetto esclusivamente negativo, in realtà ha una duplice e totalmente duale accezione: ovvero indica eventi negativi ed eventi positivi. Nel contesto del project management si definisce rischio “un evento che, se si manifesta, può avere impatti sugli obiettivi del progetto (ambito, costi, qualità e schedulazione), impatti che possono essere sia negativi che positivi.”

Durante il ciclo di vita del nostro progetto potremmo trovarci a gestire situazioni “eccezionali” per le quali sarà richiesto un utilizzo di risorse (umane, materiali, finanziarie) straordinarie. Queste risorse, a seconda dei casi, saranno utilizzate per fronteggiare le minacce (nel caso di impatti negativi sugli obiettivi di progetto) o massimizzare le opportunità (nel caso di impatti positivi sugli obiettivi di progetto).

Partiamo da due assunti:

  • non esiste un progetto senza rischi
  • nonostante una «perfetta» pianificazione, l’utilizzo delle stime comporta incertezza o difficoltà nell’esatta determinazione delle grandezze in gioco, legata alla natura probabilistica delle stesse.

Le incertezze possono riguardare la durata delle attività, i costi delle risorse e delle attività, la presenza o meno di risorse adeguate, la gestione delle forniture. E poi ci sono anche da considerare fattori esterni che possono influire positivamente o negativamente sulle sorti di un progetto.

La gestione dei rischi di progetto consiste nel processo sistematico e iterativo di identificazione, analisi e risposta ai rischi per aumentare la probabilità e/o impatto delle opportunità e per diminuire la probabilità e/o impatto delle minacce nel rispetto dei vincoli.

Gestire il rischio significa adottare un atteggiamento, più o meno consapevole, per proteggersi da un danno e/o per sfruttare un’opportunità avendo identificato e compreso lo scenario prima che l’evento accada.

Spesso si fa uso di varie classificazioni dei rischi per permettere un’opportuna e puntuale gestione degli stessi: parliamo di rischi finanziari, strategici, relativi a calamità naturali, operazionali. Ciascuna classe ha le sue peculiarità in termini di cause ed effetti che permettono di ricondurre la loro gestione ad un modus operandi dedicato. Un’ulteriore classificazione dei rischi è basata sulla conoscenza o non conoscenza dell’evento-rischio e dell’entità degli impatti che il suo verificarsi può determinare sugli obiettivi di progetto:

  • known-known – Si riferisce per esempio alla situazione in cui un’impresa perda alcuni dei suoi clienti a causa dei suoi concorrenti. Quasi tutte le aziende sono consapevoli dell’esistenza di un tale rischio. Inoltre, possono quantificare ragionevolmente la probabilità che i clienti li lascino e l’impatto che tale perdita avrebbe sul loro bilancio.
  • known-unknown – Appartengono a questa categoria i rischi relativi alle azioni legali. Le aziende sono consapevoli di essere responsabili di tutte le azioni dei loro dipendenti e che possono diventare bersaglio di una causa per la negligenza di uno di essi. Tuttavia, è difficile valutare la probabilità e l’impatto finanziario.
  • unknown-unknown – Riguardano eventi estremi. La pandemia globale di coronavirus è un classico esempio di questo rischio. Sono rischi per cui sussiste una notevole difficoltà a prevedere l’esistenza e il relativo impatto con qualsiasi grado di accuratezza. È qui che tutti i modelli matematici di gestione del rischio iniziano a fallire. Questi eventi sono stati etichettati come “eventi del cigno nero”.

Tale classificazione permette di inquadrare la tipologia di trattamento economico relativo all’adozione del relativo piano di risposta ovvero se gestire l’impatto con una Contingency o con una Management Reserve(unknown-unknown).

Tipici strumenti a disposizione del Project Manager (o del Risk Manager se il progetto può permettersi tale ruolo dedicato) sono il Risk Management Plan, il Risk Register, la Risk Breakdown Structure, la Risk Matrix (probabilità/impatto), le tecniche di analisi quantitativa dei rischi (Expected Monetary Value, Tornado Diagram, Analisi Montecarlo). A questo punto, l’aspetto su cui ci si vuole focalizzare nell’articolo non è la tecnica o lo strumento, ma la relazione esistente tra approccio metodologico di gestione dei progetti e gestione dei rischi di progetto.

È indubbio che la “criticità” e l’importanza della gestione del rischio per il raggiungimento degli obiettivi di un progetto impone che a prescindere dal metodo adottato, da quelli predittivi a quelli adattivi/iterativi, venga introdotto un “comportamento” di gestione del rischio che si adegui al meglio alle esigenze del contesto.

Per tanti aspetti l’approccio metodologico adattivo, proprio della “filosofia” AGILE, si presta in modo più “puntuale” e “sicuro” alla gestione dei rischi di progetto; basti, infatti, pensare al contestualizzare le attività di identificazione, classificazione, analisi e monitoraggio dei rischi in “sezioni ridotte” (iterazioni) dell’intera vita del progetto. In questo approccio tali attività diventano molto più frequenti e veloci e diventano “accoppiate” all’esecuzione del progetto permettendo una più “precisa” e “mirata” identificazione dei rischi e di conseguenza una definizione tempestiva degli eventuali piani di risposta. In queste circostanze si applicherebbero in modo tale da contenere la deviazione dal pianificato all’ambito della sezione ridotta e non dell’intera vita del progetto.

Infatti, nella gestione Agile dei progetti l’adozione di meeting operativi giornalieri della durata massima di 15 minuti consente una gestione puntuale del rischio; tutti i membri del team si incontrano davanti alle lavagne di lavoro, al fine di pensare proattivamente a rischi e opportunità, valutarne gli impatti e indirizzare azioni puntuali e solerti.

Al termine di ogni iterazione (Sprint), i team effettuano le seguenti ispezioni:

  • ispezione di prodotto(Sprint Review): viene verificato che quanto prodotto a fine iterazione, sia rispondente alle attese degli stakeholder, si raccolgono eventuali feedback e si verifica il lavoro rimanente da svolgere nelle iterazioni future;
  • ispezione di processo(Sprint Retrospective): il team riflette sul processo utilizzato per la creazione del valore, sulle modalità lavorative applicate nell’iterazione appena conclusa, al fine di apportare eventuali azioni di miglioramento.

Tali ispezioni permettono di catturare eventuali rischi derivanti da ipotesi errate, cambiamenti di scenario o eventi inaspettati, oppure di trarre beneficio da situazioni positive di cui non si era consci precedentemente.

Il relazionare l’ambito di analisi e di reazione all’insorgere del rischio in una porzione ridotta del progetto permette di “prendere al momento giusto” l’evento e di non permettere che esso possa produrre impatti più consistenti e più “onerosi” da gestire.

Inoltre, la natura multidisciplinare dei team Agile in termini di esperienza, provenienza, anzianità (e perché no di genere, estrazione culturale, ecc.), ha impatti positivi su creatività e gestione al rischio grazie ad un processo analitico e di problem-solving potenziato dai diversi punti di vista in gioco.

Concludendo, le organizzazioni stanno implementando metodologie nuove e creative per consentire a nuovi prodotti e iniziative di avere successo a un ritmo più rapido. Questa maggiore velocità pone nuove sfide e, in definitiva, rischi per le aziende. Adottando una filosofia di gestione del rischio agile, le aziende possono utilizzare risk frameworks supportati dalla tecnologia per ottenere progressi sostenibili mantenendo sia la velocità di esecuzione che una forte cultura del rischio. Ciò darà alle organizzazioni un vantaggio competitivo nell’implementazione di prodotti e servizi pronti per il mercato che si integrano con la strategia aziendale e l’ambiente esistenti e danno  sostenibilità alle operations a lungo termine .

________________________________________________________________________________________________________________________________________________________

Sono laureato in Ingegneria Elettronica alla Sapienza di Roma; da oltre 20 anni lavoro per aziende che operano nel mercato dell’Information Technology ricoprendo vari ruoli: Project Manager, Account Manager e Business Development Manager. Ho spesso operato in contesti complessi ed articolati di grandi aziende italiane quali Autostrade, Terna, Ferrovie dello Stato occupandomi di soluzioni tecnologiche basate sull’informazione territoriale per conto di una società multinazionale americana. Dal 2019 mi occupo, della vendita e gestione di soluzioni e servizi software “territoriali” principalmente per le pubbliche amministrazioni. Dal 2010 ho intrapreso il mio percorso di certificazione in ambito Project Management: PMP®, PMI-RMP®, UNI11648 PM, UNI11506 ICT-PM, ASSIREP-K, ISIPM-Base e ISIPM-AV. Sono docente accreditato ISIPM e volontario-formatore per il PMI-Central Italy Chapter. Collaboro da circa 5 anni con società di formazione e certificazioni in qualità di formatore ed esaminatore.