Analisi e gestione del rischio

Abstract

L’analisi e la gestione del rischio è una pratica chiave della gestione del progetto per assicurare che il minor numero di sorprese si verifichi mentre il progetto è in corso. Anche se non possiamo mai prevedere il futuro con certezza, possiamo applicare un processo di gestione del rischio semplice e snello per prevedere le incertezze nei progetti e minimizzare il verificarsi o l’impatto di queste incertezze. Questo migliora la possibilità di completare con successo il progetto e riduce le conseguenze di tali rischi.

Questo documento presenta il processo strutturato di gestione del rischio seguito in Nokia Siemens Networks che aiuta a evitare situazioni di crisi e incorpora l’apprendimento dagli errori passati. Evidenzia che l’identificazione e la gestione efficace e precoce dei rischi assicura il raggiungimento degli obiettivi del progetto, portando a una riduzione dei costi di rilavorazione.

Introduzione

I membri del team di progetto a vari livelli identificano e gestiscono i rischi in diversi modi. Tuttavia, questo sarà inefficace senza un quadro strutturato di gestione dei rischi, poiché questo porta a:

  • Valutazione incompleta dell’impatto, che porta alla perdita di:
    • Conoscenza dell’impatto complessivo sugli obiettivi del progetto, come scopo, tempo, costi, e qualità
    • Identificazione di rischi secondari o nuovi derivanti dai rischi già identificati
  • Mancanza di trasparenza e gap di comunicazione all’interno e all’esterno del team

Quindi, è molto importante per qualsiasi organizzazione di progetto istituire un efficace quadro di gestione del rischio. Istituire una tale pratica come cultura del team di progetto assicura:

  • Identificazione e gestione consapevole e mirata dei rischi
  • Il progresso del progetto come desiderato, con il minor numero di deviazioni o sorprese, e in linea con gli obiettivi del progetto e dell’organizzazione
  • Comunicazione tempestiva ed efficace dei problemi del progetto all’organizzazione e agli stakeholder del progetto
  • Un efficace strumento di team building, poiché il buy-in e l’accettazione del team sono assicurati

L’immagine 1 mostra che la gestione del rischio è un processo iterativo e ogni aspetto della gestione del rischio dovrebbe essere pianificato e seguito durante ogni fase del progetto.

Processo di gestione del rischio

Exhibit 1 – Processo di gestione del rischio

La struttura di gestione del rischio seguita in Nokia Siemens Networks fornisce linee guida per:

  • Identificazione continua del rischio
  • Valutazione del rischio
  • Definizione delle misure di mitigazione e di emergenza
  • Monitoraggio e controllo del rischio
  • Misurazione dell’efficienza di identificazione del rischio

Il quadro di gestione del rischio fornisce anche modelli e strumenti, come ad esempio:

  • Un registro dei rischi per ogni progetto per tenere traccia dei rischi e dei problemi identificati
  • Una checklist dei rischi, che è una linea guida per identificare i rischi in base alle fasi del ciclo di vita del progetto
  • Un archivio dei rischi, che sono tutti i rischi identificati nei progetti finora

Cornice di gestione del rischio

Piano di gestione del rischio

Il quadro di gestione del rischio richiesto dall’organizzazione è rivisto e adattato per definire il piano di gestione del rischio del progetto quando il progetto è iniziato. Il piano di gestione del rischio include queste definizioni e linee guida:

  • Elenco delle possibili fonti e categorie di rischio
  • Matrice di impatto e probabilità
  • Piano di azione e riduzione del rischio
  • Piano di emergenza
  • Soglia di rischio e metriche

Identificazione del rischio

I rischi devono essere identificati e affrontati il più presto possibile nel progetto. L’identificazione dei rischi viene fatta durante tutto il ciclo di vita del progetto, con particolare enfasi durante le pietre miliari chiave.

L’identificazione dei rischi è uno degli argomenti chiave nelle riunioni regolari di stato e di reporting del progetto. Alcuni rischi possono essere immediatamente evidenti al team di progetto – rischi noti; altri richiederanno più rigore per essere scoperti, ma sono comunque prevedibili.

Il mezzo per registrare tutti i rischi identificati durante il progetto è il registro dei rischi, che è memorizzato nel server centrale del progetto.

I seguenti strumenti e linee guida sono usati per identificare i rischi in modo strutturato e disciplinato, che assicura che nessun rischio potenziale significativo sia trascurato.

1. Risk Sources

Risk Sources

Exhibit 2 – Risk Sources

2. Risk Category

Risk category fornisce una lista di aree che sono soggette ad eventi di rischio. L’organizzazione raccomanda categorie standard di alto livello, che devono essere estese in base al tipo di progetto.

Categorie di rischio standard fornite dall'organizzazione

Exhibit 3 – Categorie di rischio standard fornite dall’organizzazione

Analisi del rischio

L’analisi del rischio comporta l’esame di come i risultati e gli obiettivi del progetto potrebbero cambiare a causa dell’impatto dell’evento di rischio.

Una volta identificati i rischi, essi vengono analizzati per identificare l’impatto qualitativo e quantitativo del rischio sul progetto in modo da poter prendere le misure appropriate per mitigarli. Le seguenti linee guida sono usate per analizzare i rischi.

3. Probabilità del verificarsi del rischio

  1. Probabilità alta – (80 % ≤ x ≤ 100%)
  2. Media-alta probabilità – (60 % ≤ x < 80%)
  3. Media-Bassa probabilità – (30 % ≤ x < 60%)
  4. Bassa probabilità (0 % < x < 30%)

4. Impatto del rischio

  1. Alto – Catastrofico (Rating A – 100)
  2. Medio – Critico (Valutazione B – 50)
  3. Basso – Marginale (Valutazione C – 10)

Come linea guida per la classificazione dell’impatto viene utilizzata la seguente matrice:

Classificazione dell'impatto linea guida

Esposizione 4 – Classificazione dell’impatto linea guida

Il punteggio rappresenta le soglie inferiori per la classificazione dei rischi assumendo condizioni “normali”. Un aggiornamento del punteggio al livello successivo o anche al successivo + 1 è necessario, se il rischio è influenzato da fattori critici come:

  • Quanto è importante il cliente specifico
  • Se il progetto è critico per l’ulteriore sviluppo della relazione con il cliente
  • Il rischio è già nel mirino del cliente
  • Specifiche penali per deviazioni dagli obiettivi del progetto sono concordate nel contratto con il cliente

5. Esposizione al rischio

L’esposizione al rischio o punteggio di rischio è il valore determinato moltiplicando l’indice di impatto con la probabilità di rischio come mostrato nell’allegato 5.

Matrice Impatto-Probabilità

Esposizione 5 – Matrice Impatto-Probabilità

I colori rappresentano l’urgenza della pianificazione della risposta al rischio e determinano i livelli di segnalazione.

6. Timeframe di occorrenza del rischio

Il timeframe in cui questo rischio avrà un impatto è identificato. Questo è classificato in uno dei seguenti:

Risk occurrence timeframe

Exhibit 6 – Risk occurrence timeframe

Oltre a classificare i rischi secondo le linee guida di cui sopra, è anche necessario descrivere l’impatto su costi, scadenze, ambito e qualità nel modo più dettagliato possibile in base alla natura del rischio.

7. Esempi di classificazione del rischio:

Esempi di classificazione del rischio

Esposizione 7 – Esempi di classificazione del rischio

Pianificazione della risposta al rischio

Non ci possono essere soluzioni veloci per ridurre o eliminare tutti i rischi di un progetto. Alcuni rischi possono aver bisogno di essere gestiti e ridotti strategicamente per periodi più lunghi. Pertanto, dovrebbero essere elaborati piani d’azione per ridurre questi rischi. Questi piani d’azione dovrebbero includere:

  • Descrizione del rischio con valutazione del rischio
  • Descrizione dell’azione per ridurre il rischio
  • Titolare dell azione di rischio
  • Data di completamento dell’azione di rischio

Tutti i piani di azione di rischio dovrebbero essere assegnati alla persona identificata per eseguire il piano di azione.

1. Piani di risposta al rischio

Per ogni rischio, una risposta al rischio deve essere documentata nel registro dei rischi in accordo con le parti interessate. Questo dovrebbe essere assicurato dal project manager.

I piani di risposta al rischio sono finalizzati ai seguenti obiettivi:

  1. Eliminare il rischio
  2. Abbassare la probabilità che il rischio si verifichi
  3. Ridurre l’impatto del rischio sugli obiettivi del progetto

I piani di risposta al rischio di solito hanno un impatto su tempi e costi. È quindi obbligatorio calcolare nel modo più preciso possibile i tempi e i costi del piano di risposta definito. Questo aiuta anche a selezionare un piano di risposta tra le alternative e a verificare se il piano di risposta è più costoso o ha più impatto su uno degli obiettivi del progetto rispetto al rischio stesso.

Dopo aver implementato con successo una serie di piani di risposta, il punteggio di un rischio potrebbe essere abbassato in consultazione con gli stakeholder.

Esempi:

Risk response – ExamplesRisposta al rischio – Esempi

Esposizione 8 – Risposta al rischio – Esempi

2. Trigger del rischio

Per ogni rischio deve essere documentato un trigger nel registro dei rischi. Il trigger identifica i sintomi del rischio o i segnali di avvertimento. Indica che un rischio si è verificato o sta per verificarsi. Il trigger del rischio fornisce anche un’indicazione di quando ci si aspetta che un certo rischio si verifichi.

Esempi:

Esempi di trigger del rischio

Esposizione 9 – Esempi di trigger del rischio

3. Risk Ownership

La regola di base è che la responsabilità per la gestione di tutti i rischi nel progetto è del project manager.

In base a questa regola di base un Risk Owner (che non è necessariamente il project manager) deve essere determinato e nominato nel Risk Register. Il Risk Owner è normalmente colui che può monitorare meglio il trigger del rischio, ma può anche essere colui che può guidare meglio le contromisure definite. Il Risk Owner è responsabile di segnalare immediatamente qualsiasi cambiamento nello stato del risk trigger e di guidare le contromisure definite.

Esempi:

Risk Owner ExamplesEsempi di Risk Owner

Esposizione 10 – Esempi di Risk Owner

Monitoraggio e controllo del rischio

Il monitoraggio e controllo del rischio include:

  • Identificare nuovi rischi e pianificarli
  • Tenere traccia dei rischi esistenti per controllare se:
    • È necessaria una nuova valutazione dei rischi
    • Si sono verificate delle condizioni di rischio
    • Monitorare tutti i rischi che potrebbero diventare più critici nel tempo
    • Affrontare i rischi rimanenti che richiedono una valutazione a lungo termine.termine, pianificato e gestito con piani d’azione
  • Riclassificazione dei rischi

    Per i rischi che non possono essere chiusi, la criticità deve diminuire in un periodo di tempo grazie all’attuazione del piano d’azione. Se questo non è il caso, allora il piano d’azione potrebbe non essere efficace e dovrebbe essere riesaminato.

  • Rischio reporting

    Il registro dei rischi è continuamente aggiornato, dall’identificazione del rischio attraverso la pianificazione della risposta al rischio e l’aggiornamento dello stato durante il monitoraggio e il controllo del rischio. Questo registro dei rischi del progetto è il principale strumento di reporting dei rischi ed è disponibile nel server centrale del progetto, che è accessibile a tutte le parti interessate.

Il monitoraggio e il controllo dei rischi o risk review è un processo iterativo che utilizza i rapporti sullo stato di avanzamento e lo stato delle deliverable per monitorare e controllare i rischi. Ciò è reso possibile da vari rapporti di stato, come i rapporti di qualità, i rapporti di avanzamento, i rapporti di follow-up e così via.

Le revisioni del rischio sono un elemento obbligatorio delle riunioni di milestone e/o delle riunioni regolari del progetto, ma possono anche essere eseguite durante le riunioni di revisione del rischio pianificate separatamente. Queste revisioni del rischio devono essere tenute regolarmente. La frequenza potrebbe anche essere determinata in base al livello di rischio complessivo di un progetto.

Soglia di rischio

Le priorità del rischio devono essere stabilite per dirigere l’attenzione dove è più critico. I rischi con il rating di esposizione al rischio più alto sono la priorità più alta.

I rischi con esposizione bassa possono essere abbandonati dai piani di mitigazione, ma potrebbero aver bisogno di essere rivisti più avanti nel progetto.

Il mandato organizzativo è che se i progetti hanno almeno un rischio “Molto Alto” o più di 3 rischi “Alti”, si dovrebbe chiedere consiglio al management e agli stakeholder, poiché il progetto potrebbe essere ad alto rischio di fallimento. Questa è la soglia di rischio raccomandata. I progetti possono personalizzare la soglia in base alle esigenze del progetto.

Misurazione dell’efficienza del rischio

Metriche del rischio

L’efficienza dell’analisi e della gestione del rischio è misurata catturando le seguenti metriche durante la chiusura del progetto. I risultati dell’analisi vengono utilizzati per decifrare le lezioni apprese, che vengono aggiornate nel database delle lezioni apprese dell’organizzazione.

  • Numero di rischi che si sono verificati / Numero di rischi che sono stati identificati
  • L’impatto dei rischi è stato grave come si pensava inizialmente?
  • Quanti rischi si sono ripresentati?
  • In che modo i problemi reali e le questioni affrontate in un progetto differiscono dai rischi previsti?

Risk Audit

Questa è un’analisi indipendente di esperti di rischi, con raccomandazioni per migliorare la maturità o l’efficacia della gestione dei rischi nell’organizzazione. Valuta:

  • Quanto siamo bravi a identificare i rischi?
  • Esaustività e granularità dei rischi identificati
  • Efficacia del piano di mitigazione o di contingenza
  • Collegamento dei rischi del progetto ai rischi organizzativi

Non è un audit di “aderenza al processo”, ma un aiuto per migliorare la qualità dell’identificazione e dell’analisi dei rischi. Viene anche usato come forum per fare un benchmark e identificare le buone pratiche di gestione del rischio tra i vari progetti nell’organizzazione.

L’audit del rischio viene fatto da un gruppo di esperti indipendenti di dominio o tecnici attraverso la revisione della documentazione e le interviste. I risultati chiave di questo audit dei rischi sono:

  • Checklist personalizzata per valutare i rischi di un progetto
  • Identificare le aree di importanza per l’analisi dei rischi di un progetto (tassonomia dei rischi)
  • Risk radar – aree a rischioaree a rischio del gruppo di prodotti
  • Potenziali rischi aggiuntivi identificati sulla base della revisione
  • Il top 10 dei rischi nell’organizzazione dai progetti chiave, che richiedono l’attenzione del management

Conclusione

La gestione del rischio sta diventando l’aspetto più impegnativo della gestione dei progetti software. Anche se non possiamo mai prevedere il futuro con certezza, possiamo applicare un processo di gestione del rischio semplice e snello per prevedere le incertezze nei progetti e minimizzare il verificarsi o l’impatto di queste incertezze.

La gestione del rischio non solo aiuta ad evitare situazioni di crisi ma aiuta anche a ricordare e imparare dagli errori passati. Questo migliora la possibilità di completare con successo il progetto e riduce le conseguenze di tali rischi.

Questa certamente non è la fine del viaggio per noi sulla gestione efficace del rischio. È un processo di apprendimento costante per essere in grado di migliorare costantemente le nostre pratiche per aumentare l’efficienza del nostro processo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *