Deve essere sempre più agile e adattivo l’approccio del Project Risk Manager in questi ultimi decenni per far fronte agli imprevisti e al nuovo ritmo con cui le situazioni si evolvono. Pianificare conta ancora, ma non come prima. Oggi il processo si adatta di giorno in giorno.
Il project management cambia di continuo e di conseguenza anche il modo in cui si affrontano i rischi, quelli “classici” e anche quelli nuovi. Un esempio è il cybercrime e le relative violazioni dei dati che hanno reso ancora più importante il ruolo del Project Risk Manager, per il quale avere strumenti e tecniche affidabili che lo supportino quotidianamente è più che mai importante.
Essere Project Risk Manager: cosa significa
Occuparsi della gestione del rischio significa essere responsabile di tutti i processi di identificazione, valutazione e controllo delle minacce al capitale e agli utili di un’impresa a livello competitivo, normativo e tecnologico. Il Project Risk Manager è anche colui che è chiamato a valutare come le differenti tipologie di rischio possono impattare sui processi aziendali, sulle attività, sugli operatori, sui prodotti e sui servizi. Obiettivo principale è assicurarsi che, mentre un progetto è in corso, si verifichino il minor numero di sorprese.
Tra le principali attività di questo ruolo ci sono:
- lo sviluppo di una mappatura dei rischi;
- la condivisione di analisi dei rischi con la loro priorità di gestione;
- la valutazione del potenziale rischio operativo;
- la definizione di strategie per ridurre l’esposizione al rischio;
- il calcolo della propensione al rischio dell’azienda.
Risk Register e altri strumenti preziosi per il risk management
Per identificare, riconoscere e descrivere i rischi a cui un’organizzazione è sottoposta, uno strumento indispensabile del Project Risk Manager è il Risk Register. In questo documento trovano spazio tutte le informazioni necessarie per affrontare gli eventuali contrattempi: ad ogni rischio vengono associati un ID, una categoria e una probabilità di occorrenza, se ne ipotizza l’impatto con un punteggio da 1 a 5 e si identifica un responsabile a cui rivolgersi per conoscere l’esito delle azioni di risposta al rischio.
Passando alla valutazione dei rischi, tra gli strumenti in mano al Project Risk Manager c’è il Risk Management Framework, in cui si indica se il rischio è elevato o basso, generando informazioni utili al personale tecnico così come a quello non tecnico. Inteso anche come strumento di mitigazione del rischio, invece, il Risk Assessment Framework (RAF) contiene una Guida alla gestione dei rischi per i sistemi informatici dell’Istituto Nazionale di Standard e Tecnologia (NIST). Si tratta di una valutazione operativa delle minacce, delle risorse e delle vulnerabilità stilata dalla Carnegie Mellon University, con gli obiettivi di controllo per le informazioni e la tecnologia correlata ad opera dell’Information Systems Audit and Control Association (ISACA). Per monitorare tutti i rischi a cui un progetto è esposto, in ordine gerarchico, si ricorre alla Risk Breakdown Structure, sulla falsa riga della Work Breakdown Structure.
Quali tecniche un project risk manager deve conoscere
Per avanzare deciso sia nel processo di identificazione del rischio che in quello di analisi e quantificazione, il Project Risk Manager può rifarsi ad alcune tecniche consolidate che ben si adattano anche ai tempi incerti che stiamo vivendo.
All’interno della norma di riferimento, la ISO 31010 “Risk assessment Techniques”, si trovano ben 41 tecniche di identificazione e valutazione dei rischi. Si spazia dal brainstorming alle interviste strutturate, dal Metodo Delphi alle analisi di scenario e di impatto sul business, fino alla tecnica SWIFT HAZOP Hazard and Operability. Hanno approcci e criteri differenti e sta quindi al Project Risk Manager identificare la tecnica più adatta alla realtà da analizzare.
Anche per la fase di analisi e di quantificazione dei rischi, le tecniche indispensabili da conoscere sono numerose e aiutano il responsabile a non perdere mai di vista gli obiettivi dell’organizzazione, individuando oltre ai danni anche le opportunità. In questo caso le tecniche possono essere di tre tipologie, qualitative, semi-quantitative, quantitative. Le prime due sono più semplici e meno costose e spesso vengono utilizzate nella prima fase, mentre si conservano le tecniche quantitative solo per i rischi principali.
