ISO 31000 (Risk Management) e i principi di General Management
Purtroppo, non sempre, quando le normative ISO o le altre tipologie di standard vengono aggiornate, i fattori che le hanno rese uniche permangono nel tempo. Questo è il caso della ISO 31000, la normativa ISO inerente la gestione dei rischi. Nella sua penultima versione (2009) aveva elencato una serie di principi di General Management che non hanno trovato una precisa rispondenza nella sua ultima versione (2018).
In questo articolo voglio ridare vita a questi elementi di cruciale importanza per una corretta gestione del rischio all’interno di un contesto organizzativo e progettuale. Pertanto, partirò dalla versione del 2009 che integrerò con elementi della versione del 2018, nell’ipotesi in cui fossero migliorativi.
Partiamo comunque dal presupposto che un’organizzazione, per aver successo in qualunque contesto si trovi a operare, non può prescindere da una approfondita analisi dei rischi. In ambito progettuale la mancata gestione dei rischi è una delle primarie cause di fallimento dei progetti (solo il 30% di progetti hanno successo). In un mercato in continua trasformazione e in cui la concorrenza riduce i margini di guadagno, diviene fondamentale che le organizzazioni sviluppino una cultura di gestione dei rischi che non sia appannaggio di una singola divisione o di un singolo dipartimento ma che coinvolga l’intera l’organizzazione.
a) La gestione del rischio crea e protegge il valore. Le politiche organizzative per la gestione del rischio contribuiscono in modo determinante al raggiungimento degli obiettivi ed al miglioramento delle prestazioni. Solo attraverso la definizione di regole, procedure, processi e attività si sarà in grado di proteggere gli interessi dell’organizzazione;
b) la gestione dei rischi è parte integrante di tutti i processi organizzativi. La gestione dei rischi, o per meglio dire lo sviluppo di una cultura improntata ad una gestione efficace ed efficiente dei rischi, è responsabilità primaria della direzione dell’organizzazione. Pertanto, non deve essere considerata come un’attività autonoma e separata dei processi dell’organizzazione (tra cui la pianificazione strategica) ma deve esserne parte integrante. La gestione dei rischi migliora il processo decisionale a tutti i livelli e ciascuno, all’interno dell’organizzazione, deve averne la responsabilità per la propria parte di competenza;
c) la gestione dei rischi è parte integrante del processo decisionale. In relazione all’analisi dei rischi e delle relative minacce e opportunità, chi dovrà prendere decisioni, in merito a progetti o altre attività, sarà alimentato da informazioni che consentiranno di fare scelte opportune, dare priorità alle azioni e di comprendere la strategia più opportuna;
d) la gestione dei rischi affronta esplicitamente l’incertezza. Tutte le nostre azioni e scelte avranno un risultato nel futuro, ma quale certezza potremo avere sui risultati che effettivamente potremo registrare? A volte poca o nulla. Come faremo a ridurre l’incertezza del risultato? Lo potremo fare solo attraverso l’analisi del rischio che, attraverso azioni di mitigazione o di risposte ai rischi, potrà consentire di definire un quadro più realistico dei possibili risultati;
e) la gestione dei rischi è sistematica, strutturata e tempestiva. Un approccio strutturato alla gestione del rischio, sviluppato anche mediante azioni di forecast, contribuirà all’efficienza e a ottenere risultati coerenti, comparabili e affidabili;
f) la gestione dei rischi si basa sulle migliori informazioni disponibili. Per poter prendere decisioni di successo si deve fare affidamento su informazioni corrette e pertinenti: ci si dovrà basare su dati storici, stando attenti al loro essere obsoleti, sui feedback da parte degli stakeholders, sulle osservazioni, sulle previsioni e sul giudizio degli esperti;
g) la gestione dei rischi è personalizzata. Non esiste un approccio unico alla gestione dei rischi: esistono linee guida e standard e, come in ogni altro contesto, è l’organizzazione che, in base alle sue peculiarità, dovrà definire la propria strategia di gestione dei rischi. Si dovrà, eventualmente, definire anche il team che avrà il compito di definire regole, processi e governance per la gestione dei rischi al fine di sviluppare una cultura improntata alla gestione del rischio in tutta l’organizzazione;
h) la gestione dei rischi tiene conto dei fattori umani e culturali. L’organizzazione deve riconoscere e sfruttare le capacità, le percezioni, le conoscenze di chi, interno o esterno, può facilitare o ostacolare il raggiungimento degli obiettivi;
i) la gestione dei rischi è trasparente e inclusiva. Tutti gli stakeholder devono essere coinvolti poiché con le loro esperienze e le loro opinioni possono garantire che l’identificazione dei rischi possa essere esaustiva e che la gestione dei rischi rimanga pertinente e aggiornata;
j) la gestione dei rischi è dinamica, iterativa e reattiva ai cambiamenti. Più le attività evolvono, più la conoscenza migliora con il passare del tempo, più le richieste di cambiamento modificano lo scenario iniziale e più la gestione dei rischi si rivela indispensabile. L’evolversi del progetto aprirà la strada a nuovi rischi e opportunità o ad una mutazione della probabilità e impatto dei rischi già identificati. È in questo contesto che la gestione del rischio rileva continuamente i cambiamenti e dispone le opportune contromisure;
k) la gestione dei rischi facilita il miglioramento continuo dell’organizzazione. Le organizzazioni dovrebbero sviluppare una cultura improntata alla gestione dei rischi che abbracci tutta l’organizzazione al fine di sviluppare e attuare strategie che costantemente possano migliorare la gestione dei rischi. Il miglioramento potrà essere raggiunto anche attraverso la raccolta, la catalogazione e la distribuzione delle esperienze che sono state maturate in progetti similari all’interno della stessa organizzazione;
l) migliori informazioni possibili. Per poter godere di una checklist dei rischi o più semplicemente di una RBS (Risk Breakdown Structure) che elenchi i possibili rischi per categorie e sottocategorie, fondamentale sarà l’utilizzo di informazioni storiche relative a progetti similari. Da queste informazioni sarà possibile ricavare non solo l’elenco dei rischi che potrebbero interessare i nuovi progetti ma anche tutte le informazioni di gestione, mitigazione e miglioramento che consentirebbero di ridurre il tempo di analisi e anche le relative contingency da applicare alla pianificazione dei progetti riducendone, di fatto, la durata.
Gli strumenti per ridurre l’incertezza delle decisioni sono disponibili; l’importante è comprenderne l’efficacia e sviluppare una strategia improntata allo sviluppo di una cultura del rischio.
Articolo a cura di Antonio Bassi
Antonio Bassi, PMP®. Dopo aver dedicato 25 anni in aziende di natura bancaria, informatica, telecomunicazioni e della consulenza, approda in SUPSI (Scuola Universitaria Professionale della Svizzera Italiana), dove è docente di Project Management sia nella formazione di base che nella formazione continua. Responsabile del Master SUPSI in Project, Program e Portfolio Management. Presidente dell’Associazione di Project Management-Ticino (APM-Ticino).