PMTSI di Vito Madaio - Tel. 348-3974474

 Risk Appetite? No Grazie

Che cosa è il “risk appetite” nella Gestione del Rischio

Rischio

Il rischio è una condizione di incertezza che se si verifica, avrà un effetto su uno o più obiettivi del progetto, con effetto positivo (un’opportunità da cogliere), oppure negativo (una minaccia da scongiurare).

Ad esempio, è un rischio tradurre dei documenti dall’inglese in italiano, perché spesso si perde il senso contenuto nel testo originale.

Eccone un esempio dal  PMBOK ® Guide 5th Edition:

For example, causes could include the requirement of an environmental permit to do work, or having limited personnel assigned to design the project. The risk is that the permitting agency may take longer than planned to issue a permit; or, in the case of an opportunity, additional development personnel may become available who can participate in design, and they can be assigned to the project.

La traduzione in Italiano dello stesso PMI riporta:

Ad esempio, le cause possono includere il requisito di un permesso ambientale per svolgere un lavoro o di risorse di personale limitate assegnate alla progettazione del progetto. Il rischio è la possibilità che l’ente di concessione possa richiedere tempi più lunghi per emettere un permesso o, nel caso di un’opportunità, personale aggiuntivo di progettazione disponibile da assegnare al progetto.

Vi sembra la stessa cosa?

Purtroppo, si fa fatica a cogliere lo stesso significato con una simile traduzione. Ma, prendendo per buono l’esempio in lingua inglese, se si verifica uno di questi eventi incerti, ci potrà essere un impatto positivo o negativo su un aspetto del progetto.

Può costituire un rischio anche l’ambiente organizzativo come

  • la scarsa conoscenza dei processi  di project management,
  • la mancanza di sistemi integrati,
  • la contesa di più progetti o
  • le dipendenze da fattori esterni.

Il rischio è funzione del grado di incertezza in ogni progetto.

  • I rischi conosciuti si identificano, si analizzano e si rispondono.
  • Ai rischi conosciuti si assegna una riserva per contingenza.
  • Ai rischi sconosciuti, si assegna una riserva per imprevisti.

Quando un rischio si avvera  ci troviamo di fronte ad un problema o una opportunità.

Parlando di rischio bisogna sempre distinguere tra:

  1. Rischio individuale e
  2. Rischio complessivo.

Mentre il rischio individuale riguarda l’effetto di una incertezza su un singolo obiettivo, il rischio complessivo rappresenta l’effetto di una incertezza sull’intero progetto.

Quello che va osservato è che il rischio complessivo non è la somma di tanti rischi individuali, ma l’esposizione ad una incertezza di carattere più generale. Ad esempio, il morale del team di progetto; la carenza di competenze, non riguardano uno specifico obiettivo, ma l’intera atmosfera in cui si sviluppa il progetto.

Gli stakeholder percepiscono il rischio come l’effetto dell’incertezza sugli obiettivi  e sono disposti ad accettare diversi gradi di rischio in base alla loro attitudine al rischio, che dipende da molti fattori, di solito così classificati:

  1. Risk appetite – è il livello di incertezza che un ente è disposto ad accettare a fronte di una ricompensa. (ambizione)
  2. Risk tolerance – è il grado, ammontare o volume di rischio che una organizzazione o un individuo può sopportare – fino a che punto regge (stato di fatto).
  3. Risk threshold – fin dove uno stakeholder è interessato a sostenere l’effetto del rischio.

In pratica, un’organizzazione può avere un “risk appetite” ossia essere disposta a correre un rischio, ma solo fino a una “risk threshold” oppure avere una “risk tolerance” oltre la  quale dovrà cambiare risposta al rischio.

Facile a dirsi in termini teorici, ma all’atto pratico è un po’ più complicato:  Chi dichiara la tolleranza al rischio o il proprio “Appetite”? L’attitudine al rischio emerge chiara se si comunica in modo onesto e aperto. Ma non è sempre così.

Ecco perché la gestione del rischio deve essere integrata nell’intero processo organizzativo, in base alla cultura condivisa di tutta l’organizzazione e non di un singolo project manager.

Fin qui, abbiamo visto come il PMI tratta la Gestione  del Rischio, adesso vediamo cosa dice la  norma ISO 31000:

Risk appetite = amount and type of risk that an organization is prepared to pursue, retain or take.

In pratica quanto sei disposto a perdere!

Qualcuno tradurrebbe quanto sei affamato di rischio.  Ci sta, quando si tratta di una opportunità, ossia alla domanda: quanto vorresti guadagnare in una circostanza positiva?

Ma se si tratta di un rischio negativo, ossia: quanto vorresti farti male in una circostanza negativa? E’ evidente che non ha senso.

Purtroppo, anche se non c’è “appetito” di fatti negativi, essi possono sempre verificarsi e allora bisogna tollerare un certo livello di rischio, perché eliminarlo potrebbe essere impossibile a meno che non si cambi il progetto. Se non fai niente, non rischi niente?

Il Risk Management è “l’insieme di attività, metodologie e risorse coordinate per guidare e tenere sotto controllo compreso i rischi.” (UNI 11230: 2007). I suoi obiettivi sono:

  • Proteggere e incrementare il valore di un’azienda
  • Sostenere gli obiettivi dell’organizzazione
  • Migliorare il processo decisionale
  • Pianificare e mettere in priorità le attività
  • Allocare efficacemente capitali e risorse
  • Proteggere il patrimonio, l’immagine aziendale e il know how
  • Ottimizzare l’efficienza operativa
  • Stabilire un processo continuo graduale e proattivo
  • Integrare il risk management nella cultura dell’organizzazione
  • Considerare il potenziale impatto dei rischi su processi aziendali, attività, operatori, prodotti e servizi.

In ogni azienda, un comitato di direzione dovrebbe assumersi la responsabilità di definire il proprio “Risk Appetite“.

Non esiste uno specifico metodo per determinarlo, perciò, dovrebbe essere espresso attraverso una metrica misurabile per i rischi individuali e per quelli collettivi.

Ovviamente, si  può parlare di “Risk Appetite” solo se i rischi sono stati opportunamente classificati in fase di identificazione ed analisi.  Il monitoraggio dei rischi dovrebbe includere anche il controllo del  “Risk Appetite“, da riportare sistematicamente al comitato di direzione per il miglioramento continuo.

A questo punto viene da ridere quando si legge su autorevoli riviste finanziarie “In Europa torna l’appetito per il rischio .

Buon appetito!

Vuoi saperne di più

Iscriviti a PMI PMP-Prep

oppure

Iscriviti a  Risk Management con  31000 e 31010

PMTSI è una emanazione di TenStep Italia

Business Analysis e Data Science SeiSigma una competenza necessaria