Project Management

‐TCPI

‐Performance reviews

‐PM software

‐Reserve Analysis

Output:

‐Work performance information

‐Cost forecasts

‐Change request

‐PM Plan updates

‐Org. Process assets updates

‐Project Document Updates

26

Lʹarea di conoscenza della gestione dei rischi di progetto riguarda la conduzione dei processi legati alla

pianificazione della gestione dei rischi, alla loro identificazione e analisi, alla preparazione delle risposte ai

rischi e al loro monitoraggio e controllo nel corso del progetto. Un rischio, che deriva da incertezze, ipotesi,

vincoli insiti nel progetto stesso può dar luogo ad eventi positivi o negativi; distinguiamo i rischi conosciuti

da quelli sconosciuti, ovvero che non si è stato in grado di identificare. I fattori che influenzano il livello di

rischio accettabile dagli stakeholders sono la propensione al rischio (grado di incertezza accettabile in funzione

di una ricompensa), la tolleranza al rischio, la soglia di rischio, ovvero quel livello di rischio al di sotto del quale

l’organizzazione accetterà il compromesso. I rischi che offrono opportunità entro i limiti di tolleranza possono

essere perseguiti al fine di generare un valore maggiore. Il rischio del progetto va gestito dall’inizio alla fine e

reso parte integrante del Project Management: per questo con il Project Risk Management si parla di gestione

integrata del rischio, attraverso un processo continuo e iterativo lungo tutto il ciclo di vita del progetto e svolto

da un lavoro di gruppo che comprenda il personale chiave del progetto. I processi del PRM sono 6 e sono di

seguito presentati secondo lo stesso iter dei paragrafi precedenti. Il primo è il Plan Risk Management, e con esso

si definisce come si conducono le attività di gestione dei rischi per il progetto. La pianificazione è molto

importante inoltre per fornire risorse e tempo

sufficienti per le attività di gestione del rischio.

Attraverso analytical techniques l’intero contesto

della gestione del rischio (vedi anche le attitudini

al rischio degli stakeholders, esposizione al

rischio del progetto) viene definito. Da questo

processo viene prodotto il Risk Management Plan,

che include: la metodologia, ovvero come e con

quali dati saranno gestite le attività legate al

rischio di progetto, i ruoli e le responsabilità, la budgettizzazione, ossia la stima dei fondi necessari con il fine di

includerli nella baseline dei costi e stabilire i protocolli per l’applicazione di riserve di contingenza e di

gestione, la tempificazione dei processi di gestione del rischio e le categorie di rischio, che forniscono un modo

per classificare le cause di rischio potenziali. La Risk Breakdown Structure RiBS (rappresentazione gerarchica

del rischio in funzione delle loro categorie di rischio) aiuta i membri del team a guardare diverse fonti da cui

può sorgere il rischio del progetto; per diversi progetti saranno appropriate diverse RiBS e ogni organizzazione

può usare un framework customizzato che può assumere la forma di una semplice lista di categorie o può

essere strutturato come RiBS. La qualità e la credibilità dell’analisi dei rischi richiede che i diversi livelli di

probabilità e impatto del rischio definiti siano specifici del particolare contesto del progetto, e pertanto nel

Risk Management Plan vengono definiti la probabilità e l’impatto del rischio. Ancora, i seguenti strumenti

vengono definiti: la matrice impatto‐probabilità (griglia per mappare la probabilità di ogni evento rischioso e

l’impatto sugli obiettivi se si verifica), l’eventuale tolleranza rivista degli stakeholders, il format dei report.

Il secondo processo è l’identificazione dei rischi. Attraverso questo si identificano e documentano tutti i rischi

che possono influenzare il progetto: si pensi ad un processo iterativo, che continua lungo il ciclo di vita poiché

alcuni rischi possono presentarsi in corso d’opera. Gli input sono i seguenti: Risk MP, Cost MP, Schedule MP,

Quality MP, Human Resource MP, Scope Baseline, Activity Cost e Duration Estimates e altri. La WBS è un

input critico per identificare i rischi in quanto facilita la comprensione dei rischi potenziali sia al macro che al

micro livello. I rischi possono essere identificati e in seguito monitorati a livello sommario, di control account

e/o di work package. Le tecniche adottate sono molteplici:

 Information gathering techniques: attraverso un brainstorming è possibile ottenere una lista dei rischi del

1

progetto, con la tecnica Delphi è possibile ottenere il parere di esperti con questionari, interviste.

 Checklist analysis: liste pre‐confezionate sviluppate basandosi su informazioni storiche e conoscenze che

sono state accumulate in progetti simili precedenti e da altre sorgenti di informazioni . È molto facile da

2

impiegare, ma rischia di non stimolare la creatività del team, il quale potrebbe adottare un ruolo passivo.

27

1 Può utilizzarsi in tre differenti fasi: ovvero preliminare, utilizzata per fare emergere le possibili cause di

diagnostica,

rischio, nella quale emergono le possibili soluzioni in termini di risposte ai rischi identificati e

decisionale, monitoraggio.

2 Simile alla checklist è la Si differisce per il fatto che essa è un elenco strutturato di eventi

tabella delle minacce.

sfavorevoli mentre la checklist si può dire un elenco di fattori che sono sede di rischio.

 Assumption analysis: ogni progetto e i suoi piani sono concepiti e sviluppati basandosi su un set di ipotesi,

scenari. Tale analisi esplora la validità delle ipotesi, identifica i rischi derivanti da instabilità, inconsistenza

o incompletezza delle ipotesi.

 Diagram techniques: con il diagramma causa‐effetto (o di Ishikawa)

viene illustrato come le varie cause e sottocause si legano per

dar luogo a potenziali problemi o effetti, con il diagramma di

influenza si hanno rappresentazioni grafiche di una situazione

che mostrano le influenze casuali, l’ordine temporale degli

eventi e altre relazioni tra le variabili e i risultati.

 SWOT analysis: questa tecnica esamina il progetto

considerandone i punti di forza, debolezza, opportunità

e minacce (Strengths, Weaknesses, Opportunities,

Threats). Tale analisi identifica le opportunità per il

progetto che nascono da punti di forza organizzativi e

le eventuali minacce derivanti da carenze.

L’output è il Risk Register, documento nel quale sono

registrati i risultati delle analisi dei rischi (Lista di

identificazione) e la pianificazione delle risposte del rischio

(Lista delle risposte potenziali).

Una volta identificati, è importante che ai rischi venga

assegnata una priorità relativa, e tale onere è affidato al processo Perform Qualitative Risk Analysis, il quale

valuta la priorità dei rischi tramite le loro probabilità di accadimento e il corrispondente impatto sugli obiettivi

del progetto, ma considerando altresì i tempi di risposta e di

tolleranza al rischio dell’organizzazione associati con i vincoli

di costo, schedule, “scope” e qualità. In generale, un evento

dall’alto impatto ha una bassa probabilità di verificarsi, e

viceversa. Possiamo distinguere rischi catastrofici, il cui impatto

limite è la rinuncia al progetto, rilevanti, capaci di

compromettere l’equilibrio finanziario del progetto e minori. All’aumentare dell’impatto diminuisce

l’accuratezza richiesta alla stima del rischio, come può vedersi in figura:

questo perché, come detto, più alto è l’impatto minore è la probabilità che

si verifichi un evento e pertanto si hanno alti costi marginali dovuti alla

difficoltà nel reperire informazioni per scarsezza di dati storici, e allo

stesso tempo si hanno bassi benefici marginali dovuti alla facilità nel

prendere decisioni in condizioni di alto impatto. Tra le tecniche adottate

per questo processo abbiamo il Risk Probability and Impact Assessment. I

livelli di rischio RF vengono calcolati sulla base della probabilità di

accadimento P, con 0≤P≤1, anche chiamata Likelihood, e della magnitudo

C, con 0≤C≤1, anche detta Consequence, secondo la formula:

∗ . Per classificare i rischi del progetto è importante costruire una

Risk Breakdown Structure (Risk Categorization) e procedere in questo

modo: valutare gli indici di probabilità IP e di impatto II per tutti gli eventi elementari (con 0 ≤ IP ≤ 10, 0 ≤ II ≤

10) e il loro rischio elementare come RE=II×IP, calcolare i valori dei rischi aggregati RA (ovvero rischi per

eventi di livello superiore), classificare i rischi, associarli alle attività e collocarli nel tempo e infine definire le

strategie per affrontarli. Per stimare il rischio qualitativo totale del progetto calcoliamo:

∑ ∑ ∑ ∑

; ; ;

con RA j‐esimo rischio aggregato, RE rischio elementare i‐esimo del j‐esimo gruppo, e p probabilità associata

j ij ij

all’evento elementare i del gruppo j.

Naturalmente il rischio totale può anche calcolarsi come il prodotto dell’indice di impatto totale e di

probabilità. Una volta definiti i rischi devono assegnarsi alle attività o al tempo: ciò può farsi utilizzando

rispettivamente le matrici rischi – attività e rischi – periodo, che hanno per righe le diverse attività o intervalli di

tempo, per colonne il rischio classificato secondo la RBS e per elemento r l’aliquota del rischio j assegnata

ij

28

all’attività o all’intervallo di tempo i. Sommando per riga otteniamo il livello di rischio sopportato per attività

o intervallo di tempo, potendo così costruire l’istogramma dei rischi per attività o per tempo. Un’altra tecnica

utilizzata per l’analisi qualitativa è la Probability and

Impact Matrix, la quale specifica la combinazione della

probabilità e dell’impatto che portano a valutare i rischi

come a priorità bassa, moderata o alta (si possono

adottare termini descrittivi o valori numerici in

funzione delle preferenze dell’organizzazione). Poi, la

Risk Quality Data Assessment è una tecnica per valutare

il grado con il quale i dati circa il rischio sono utili per la gestione del rischio: l’uso di dati di scarsa qualità può

portare ad un’analisi qualitativa del rischio di scarsa utilità per il progetto.

Il quarto processo costituisce la valutazione

quantitativa del rischio. L’analisi numerica

viene eseguita solo sui rischi con alto livello di

priorità. Le tecniche di data gathering and

representation sono molteplici: tramite interviste

si quantificano probabilità e impatto dei rischi

s