Agile e Risk Management

Velocità di risposta e capacità di adattamento sono attitudini fondamentali per qualsiasi organizzazione che voglia rispondere adeguatamente alle esigenze dei mercati e alla loro volatilità; per raggiungere tali obbiettivi, è d’obbligo che le stesse valutino costantemente con attenzione i rischi (e opportunità) inerenti servizi e prodotti in sviluppo.
Approcci tradizionali alla gestione del rischio, in quei contesti, non sono in grado di rispondere adeguatamente. In questo articolo vedremo come Agile rappresenti un ottimo approccio di gestione dei rischi nel loro intero ciclo di vita.

La gestione del rischio può essere definita un’arte, un’attività in grado di bilanciare attitudine, disciplina e intuito. Nell organizzazioni, come si traducono queste tre caratteristiche?

L’attitudine di un’azienda alla gestione del rischio può essere dedotta analizzando la sua cultura, i valori e principi di riferimento e come questi vengono messi in pratica: apertura all’innovazione, accettazione dell’errore, approccio imprenditoriale delle persone, sono tutti fattori che fanno propendere per una buona propensione.

Una cultura del rischio efficace è quella che investe nella formazione delle proprie persone, le abilita e le premia in funzione della loro capacità di analizzare, capire e gestire il rischio, che le supporta nel cogliere opportunità ancora nascoste ai più.

Data importanza e centralità nella creazione di prodotti e servizi in qualsiasi industria e settore commerciale, la gestione del rischio viene energicamente accompagnata nel suo sviluppo, a partire dalla fine della seconda guerra mondiale, dalle maggiori istituzioni di Project Management; nel corso degli anni si susseguono quindi studi, approcci e linee guida capaci di divenire vere e proprie metodologie di riferimento.

Il Project Management Institute (PMI), per citare un esempio, nel suo manuale di riferimento (PMBOK) dedica un intero gruppo di processi, attività, tecniche e strumenti per la gestione del rischio nel suo intero ciclo di vita: Pianificazione, Identificazione, Analisi (qualitativa e quantitativa), Controllo e Risposta.

Non è un quindi un caso se il PMI stesso dedica all’argomento una certificazione apposita: PMI Risk Management Professional (PMI-RMP).

La rilevanza di tematiche come la gestione del rischio, richiedono da parte delle organizzazioni l’adozione di quelle metodologie, accompagnate da una ferrea disciplina nella loro applicazione al fine di trarne i benefici promessi.

L’intuito, infine, possiamo definirlo come qualcosa che da un lato nasce da una propria predisposizione, dall’altro da un’attenzione continua a eventi e situazioni in grado di condizionare, positivamente o negativamente, lo svolgimento di determinate attività cui si è chiamati a rispondere.

Dal nostro punto di vista, Agile interpreta egregiamente e fa suoi i punti di vista sopra esposti; in aggiunta, la metodologia è in grado di amplificare enormemente l’efficacia della gestione del rischio grazie ad alcune caratteristiche basilari che andremo ad approfondire nel corso dell’articolo.

Una questione di Consapevolezza

Un famoso detto cita: “Un pesce capisce cos’è il mare solo dopo aver balzato al di sopra della superficie e averlo visto per la prima volta”, solo in quel momento, vedendolo e sperimentandolo in prima persona, ne diventa consapevole.

Qual è il rapporto tra i rischi e la nostra consapevolezza?

Innanzitutto, esperienza e conoscenza guidano il processo di identificazione di possibili aree soggette a determinati tipi di rischio.

In secondo luogo, una continua scansione del contesto in cui operiamo, permette l’individuazione di rischi di cui non eravamo consci.

Infine, un evento inaspettato accaduto oggi, rappresenta di fatto un rischio (o un’opportunità) non previsto o sottovalutato nel passato. Di quell’evento diveniamo solo oggi pienamente consapevoli, in quanto materializzatosi nel mondo reale.

Il risk management cataloga i rischi, in relazione alla nostra consapevolezza, come segue:

• Known Knowns (ne siamo a conoscenza): rischi che sappiamo esistere, dei quali siamo consapevoli e che siamo in grado di valutare in termini di natura, impatto e ipotizzarne le probabilità di accadimento. Sappiamo discernere quando ignorarli in quanto poco impattanti, o quando agire attivamente per gestirli, mitigarli, o trasferirli a terzi.
• Known Unknowns (sappiamo di non sapere): cose che sappiamo di non conoscere o situazioni incerte di cui non conosciamo eventualità e potenziali impatti. Non è possibile quindi misurarli con accuratezza, ma siamo coscienti che in quell’area potrebbero insorgere problemi o sorprese.
• Unknown Unknowns (non sappiamo di non sapere): questi sono i tipi di rischi più insidiosi, in quanto sono fortemente collegati con incertezza e variabilità.
  Per questa tipologia non esiste in noi alcuna consapevolezza, neanche la più remota, che possano esistere rischi o opportunità in determinate aree o dietro a particolari situazioni. Eventi appartenenti a questa categoria potrebbero manifestarsi inaspettatamente e impattare seriamente sulla nostra iniziativa.

Quando il contesto di riferimento in cui stiamo lavorando è ad alta complessità, saremo chiamati a spostare maggiormente la nostra attenzione dalla prima categoria (Known Knowns) alla terza (Unknown Unknownws), il che richiede appunto attitudine, disciplina e intuito.

Qui entra in gioco Agile.

Una gestione agile dei rischi

Se osserviamo da vicino Agile e il framework Scrum, vi sono diverse pratiche e principi che, per come sono stati disegnati, predispongono i team di lavoro a gestire i rischi in maniera efficace e proattiva.

Innanzitutto, la metodologia suggerisce di lavorare per iterazioni di durata limitata (da due a quattro settimane), in cui ognuna termina con la creazione di un incremento di prodotto tangibile, seppur parziale nelle sue fasi intermedie, da far validare al cliente/utente finale.

Questo approccio, al contrario di approcci più tradizionali (stage and gate), genera cicli di feedback molto rapidi, in cui i rischi, derivanti da ipotesi e assunzioni errati, vengono verificati e gestiti a stretto giro.

Come è possibile notare dall’immagine sopra riportata, approcci iterativi agili permettono di gestire eventuali deviazioni (e rischi interconnessi) nel brevissimo periodo, al contrario di quanto accade in approcci tradizionali.

Un altro effetto positivo risiede nella capacità del team di lavoro di verificare a breve scadenza il risultato delle azioni portate a termine dallo stesso: ciò genera, nel suo complesso, un’accelerazione nell’apprendimento e di accumulo di conoscenza da parte dei singoli membri.

Un altro pilastro della metodologia (e della gestione puntuale del rischio) è l’evento Daily Scrum.

Questo è un meeting operativo giornaliero della durata massima di 15 minuti.

Qui, tutti i membri del team si incontrano davanti alle lavagne di lavoro, al fine di:

1. aggiornarsi gli uni con gli altri sui progressi nella giornata lavorativa precedente;
2. pianificare il lavoro da svolgere nella giornata lavorativa in partenza;
3. valutare eventuali impedimenti presentatisi o rischi identificati.

Questa pratica, se ben applicata, è molto potente. Permette ai team di pensare proattivamente a rischi e opportunità, valutarne gli impatti e indirizzare azioni puntuali e solerti.

La metodologia si basa sul controllo di processo empirico. In Scrum, tra gli altri, esistono due eventi in particolare che sono stati studiati appositamente in tal senso. Questi eventi si svolgono a termine iterazione (Sprint), dove i team effettuano le seguenti ispezioni:

1. ispezione di prodotto (Sprint Review): viene verificato che quanto prodotto a fine iterazione, sia rispondente alle attese degli stakeholder, si raccolgono eventuali feedback e si verifica il lavoro rimanente da svolgere nelle iterazioni future;
2. ispezione di processo (Sprint Retrospective): il team riflette sul processo utilizzato per la creazione del valore, sulle modalità lavorative applicate nell’iterazione appena conclusa, al fine di apportare eventuali azioni di miglioramento.

I due eventi appena descritti permettono di catturare eventuali rischi derivanti da ipotesi errate, cambiamenti di scenario o eventi inaspettati, oppure di trarre beneficio da situazioni positive di cui non si era consci precedentemente.

Un altro elemento, che indirettamente permette una migliore gestione rischio, riguarda la natura multidisciplinare dei team Agile.

Questa caratteristica nasce primariamente per assolvere a due scopi. Innanzitutto si vuole accelerare il processo di creazione del valore, portando tutte le figure professionali necessarie per lo svolgimento del compito, all’interno del team. Ciò rende il gruppo di lavoro autonomo, evita dipendenze esterne, incrementandone, nel complesso, efficienza e qualità di quanto prodotto.

Inoltre, la diversità dei membri di quei team in termini di esperienza, provenienza, anzianità (e perché no di genere, estrazione culturale, ecc.), ha impatti positivi anche su creatività e gestione al rischio grazie ad un processo analitico e di problem-solving potenziato dai diversi punti di vista in gioco.

È importante sottolineare come la componente rischio influenzi fortemente anche le priorità del lavoro da svolgere.

In agile, il lavoro che deve essere effettuato è riportato in un backlog di lavoro (Product Backlog). Per semplicità, possiamo definire il Product Backlog come un contenitore che organizza, per priorità, le funzionalità del prodotto in fase di sviluppo.

Il product backlog è un artefatto in continua evoluzione e modifica a seguito dei feedback raccolti sul campo durante le varie attività e quindi anche il processo di priorizzazione è tale da essere continuo durante il corso di tutto il progetto.

Uno degli algoritmi più usati per l’assegnazione delle priorità è chiamato Cost of Delay (COD), identificabile come il costo che l’azienda si ipotizza debba sostenere se ritarderà la messa sul mercato di una determinata funzionalità di prodotto.

Quell’algoritmo (valuta ogni singolo elemento del backlog attraverso tre elementi:

• VB: valore di business e per l’utente finale;
• CT: criticità temporale;
• RO: potenziale di riduzione del rischio o di sfruttamento di un’opportunità.

Il valore risultante dalla loro somma (COD = VB + CT + RO) permette, quindi, l’assegnazione della priorità e la conseguente scelta di quale lavoro svolgere prima.

In conclusione, quanto abbiamo riportato in questo articolo dovrebbe far propendere anche i più scettici verso una valutazione seria della metodologia Agile come strumento ottimale per affrontare l’incertezza. In quei contesti rischio e opportunità sono facce della stessa medaglia e la transizione da una faccia all’altra è solo una questione di velocità di risposta e adattamento agli eventi.

 

Articolo a cura di Emiliano Soldi