Risk Management Process – Processo di gestione del rischio

La Risk Analysis (analisi del rischio) prevede una serie di azioni e standard da compiere per gestire al meglio il precesso mitigazione del rischio (Risk Management Process).

Vediamo nel dettaglio quali sono le linee guida del processo di gestione del rischio.

Secondo la norma ISO 31000 "Gestione del rischio – Principi e linee guida di attuazione", il processo di gestione del rischio è costituito da diverse fasi, come segue:

STABILIRE IL CONTESTO

    1. L’identificazione del rischio in un selezionato dominio di interesse.

    2. La pianificazione per il resto del processo.

    3. Delineare inoltre:

•          La portata sociale della gestione del rischio
•          L’identità e gli obiettivi delle parti interessate
•          La base su cui saranno valutati i rischi, i vincoli.

    4. Definizione di un framework e di un’agenda per l’identificazione per le attività.        

    5. Sviluppo di un’analisi dei rischi coinvolti nel processo.

    6. Attenuazione dei rischi utilizzando le tecnologiche disponibili, risorse umane e organizzative.

INDENTIFICAZIONE

Dopo aver stabilito il contesto, il passo successivo nel processo di Risk Management è quello di identificare i rischi potenziali. I rischi sono eventi che, quando attivati, causano problemi. Quindi, l’identificazione del rischio può iniziare con la fonte dei problemi, o con il problema stesso.

• Analisi Fonte: le fonti di rischio possono essere interne o esterne al sistema obiettivo del Risk Management.
  Esempi di fonti di rischio sono: gli stakeholders legati ad un progetto, dipendenti di una società, le condizioni meteorologiche sopra un aeroporto.

• Analisi del problema: I rischi sono legati alle minacce individuate. Ad esempio: la minaccia di perdere il denaro, la minaccia di abuso di informazioni sulla privacy o la minaccia di incidenti e di vittime. Le minacce possono presentarsi sotto diverse entità, ad esempio azionisti, clienti e gli organi legislativi, quali il governo.

Quando sia la sorgente o problema sono noti, possiamo indagare sugli eventi che una sorgente di rischio può far scattare o gli eventi che possono portare a un problema . Ad esempio: i stakeholders che possono fare dei prelievi monetari  nel corso di un progetto possono mettere in pericolo il finanziamento del progetto; l’informativa sulla privacy può essere rubata dai dipendenti, anche all’interno di una rete chiusa, un fulmine colpisce un Boeing 747 durante il decollo causando il decesso di tutte le persone a bordo.

METODOLOGIA

Il metodo scelto per l’identificazione dei rischi può dipendere dalla cultura, dalla prassi del settore e dalla conformità. I metodi di identificazione sono costituiti da modelli(templates) o dallo sviluppo di modelli per l’identificazione sorgenti di rischio, problemi o eventi. Metodi di identificazione comune di rischio sono:

• identificazione dei rischi basata sugli obiettivi: Organizzazioni e gruppi di progetto hanno obiettivi. Qualsiasi evento che possa mettere a rischio il raggiungimento di un obiettivo in parte o completamente è identificato come rischio.

• identificazione dei rischi basata sullo scenario : In questa analisi possono essere creati diversi tipi di scenario. Gli scenari possono essere i modi alternativi per raggiungere un obiettivo, ovvero l’analisi della interazione di forze, ad esempio, di un mercato o di battaglia. Qualsiasi evento che provoca uno scenario alternativo indesiderato è identificato come il rischio.

• identificazione dei rischi basata sulla tassonomia: In quest’analisi La tassonomia è una ripartizione delle fonti di possibile rischio. Sulla base della tassonomia e la conoscenza di buone pratiche, un questionario è stato compilato. Le risposte alle domande rivelano rischi. identificazione dei rischi basata sulla tassonomia per l’industria del software può essere trovata in CMU/SEI-93-TR-6.

• Controllo comune dei rischii: Liste di rischi noti sono nelle documentazioni di molte industrie. Ogni rischio nella lista può essere controllato per l’applicazione ad una particolare situazione. Un esempio di rischi noti nel settore del software è la vulnerabilità e di e la lista delle Esposizioni disponibile sul sito http://cve.mitre.org.

• Grafici di riscio (Crockford, N., "An Introduction to Risk Management, Cambridge, UK, Woodhead-Faulkner 2 edition1986 p. 18) Questo metodo combina gli approcci di cui sopra, elencando le risorse a rischio, i rischi per le risorse. Modifica I fattori che possono aumentare o diminuire i rischi e le conseguenze che si volevano evitare. Con la creazione di una matrice di tali voci si consente una varietà di approcci. Si può iniziare con le risorse e valutare le minacce a cui sono esposti e le conseguenze di ciascuna. In alternativa si può iniziare con le minacce ed esaminare le risorse che possono esserne afflitte, o si può cominciare con le conseguenze e decidere quale combinazione di minacce e di risorse sarebbero coivolte.
   

PROCESSO DI GESTIONE DEL RISCHIO (PMBOK):

Ecco mostrato il processo del Risk Management secondo il PMBOK.

Notiamo che  nel punto 5 (Risk Response Planning), si pianifica la mitigazione del rischio ma non vediamo nessun step in cui si applica questa pianificazione( Risk Response "Doing").  Tuttavia a difesa del PMBOK dobbiamo dire che queste attività vengono incorporate nel Project Plan e schedulate con attività operative regolari.

Segnala presso: