La Risk Analysis (analisi del rischio) prevede una serie di azioni e standard da compiere per gestire al meglio il precesso mitigazione del rischio (Risk Management Process).

Vediamo nel dettaglio quali sono le linee guida del processo di gestione del rischio.

Secondo la norma ISO 31000 "Gestione del rischio – Principi e linee guida di attuazione", il processo di gestione del rischio è costituito da diverse fasi, come segue:

STABILIRE IL CONTESTO

    1. L’identificazione del rischio in un selezionato dominio di interesse.

    2. La pianificazione per il resto del processo.

    3. Delineare inoltre:

•          La portata sociale della gestione del rischio
•          L’identità e gli obiettivi delle parti interessate
•          La base su cui saranno valutati i rischi, i vincoli.

    4. Definizione di un framework e di un’agenda per l’identificazione per le attività.        

    5. Sviluppo di un’analisi dei rischi coinvolti nel processo.

    6. Attenuazione dei rischi utilizzando le tecnologiche disponibili, risorse umane e organizzative.

INDENTIFICAZIONE

Dopo aver stabilito il contesto, il passo successivo nel processo di Risk Management è quello di identificare i rischi potenziali. I rischi sono eventi che, quando attivati, causano problemi. Quindi, l’identificazione del rischio può iniziare con la fonte dei problemi, o con il problema stesso.

• Analisi Fonte: le fonti di rischio possono essere interne o esterne al sistema obiettivo del Risk Management.
  Esempi di fonti di rischio sono: gli stakeholders legati ad un progetto, dipendenti di una società, le condizioni meteorologiche sopra un aeroporto.

• Analisi del problema: I rischi sono legati alle minacce individuate. Ad esempio: la minaccia di perdere il denaro, la minaccia di abuso di informazioni sulla privacy o la minaccia di incidenti e di vittime. Le minacce possono presentarsi sotto diverse entità, ad esempio azionisti, clienti e gli organi legislativi, quali il governo.

Quando sia la sorgente o problema sono noti, possiamo indagare sugli eventi che una sorgente di rischio può far scattare o gli eventi che possono portare a un problema . Ad esempio: i stakeholders che possono fare dei prelievi monetari  nel corso di un progetto possono mettere in pericolo il finanziamento del progetto; l’informativa sulla privacy può essere rubata dai dipendenti, anche all’interno di una rete chiusa, un fulmine colpisce un Boeing 747 durante il decollo causando il decesso di tutte le persone a bordo.

METODOLOGIA

Il metodo scelto per l’identificazione dei rischi può dipendere dalla cultura, dalla prassi del settore e dalla conformità. I metodi di identificazione sono costituiti da modelli(templates) o dallo sviluppo di modelli per l’identificazione sorgenti di rischio, problemi o eventi. Metodi di identificazione comune di rischio sono:

• identificazione dei rischi basata sugli obiettivi: Organizzazioni e gruppi di progetto hanno obiettivi. Qualsiasi evento che possa mettere a rischio il raggiungimento di un obiettivo in parte o completamente è identificato come rischio.

• identificazione dei rischi basata sullo scenario : In questa analisi possono essere creati diversi tipi di scenario. Gli scenari possono essere i modi alternativi per raggiungere un obiettivo, ovvero l’analisi della interazione di forze, ad esempio, di un mercato o di battaglia. Qualsiasi evento che provoca uno scenario alternativo indesiderato è identificato come il rischio.

• identificazione dei rischi basata sulla tassonomia: In quest’analisi La tassonomia è una ripartizione delle fonti di possibile rischio. Sulla base della tassonomia e la conoscenza di buone pratiche, un questionario è stato compilato. Le risposte alle domande rivelano rischi. identificazione dei rischi basata sulla tassonomia per l’industria del software può essere trovata in CMU/SEI-93-TR-6.

• Controllo comune dei rischii: Liste di rischi noti sono nelle documentazioni di molte industrie. Ogni rischio nella lista può essere controllato per l’applicazione ad una particolare situazione. Un esempio di rischi noti nel settore del software è la vulnerabilità e di e la lista delle Esposizioni disponibile sul sito http://cve.mitre.org.

• Grafici di riscio (Crockford, N., "An Introduction to Risk Management, Cambridge, UK, Woodhead-Faulkner 2 edition1986 p. 18) Questo metodo combina gli approcci di cui sopra, elencando le risorse a rischio, i rischi per le risorse. Modifica I fattori che possono aumentare o diminuire i rischi e le conseguenze che si volevano evitare. Con la creazione di una matrice di tali voci si consente una varietà di approcci. Si può iniziare con le risorse e valutare le minacce a cui sono esposti e le conseguenze di ciascuna. In alternativa si può iniziare con le minacce ed esaminare le risorse che possono esserne afflitte, o si può cominciare con le conseguenze e decidere quale combinazione di minacce e di risorse sarebbero coivolte.
   

PROCESSO DI GESTIONE DEL RISCHIO (PMBOK):

Ecco mostrato il processo del Risk Management secondo il PMBOK.

Notiamo che  nel punto 5 (Risk Response Planning), si pianifica la mitigazione del rischio ma non vediamo nessun step in cui si applica questa pianificazione( Risk Response "Doing").  Tuttavia a difesa del PMBOK dobbiamo dire che queste attività vengono incorporate nel Project Plan e schedulate con attività operative regolari.

Il Risk Management consiste nell’identificazione, la valutazione e definizione delle priorità dei rischi seguita dal coordinamento e l’applicazione di risorse economiche per ridurre al minimo, monitorare e controllare la probabilità e / o l’impatto di sfortunati eventi.
Il vocabolario della gestione del rischio è definita nella norma ISO Guide 73, "risk management".

I rischi possono provenire da fattori d’imprevedibilità nei mercati finanziari, insuccesso dei progetti, responsabilità legali, rischi legati al credito, agli incidenti, cause naturali e catastrofi, nonché attacchi da un avversario. Diversi sono gli standard di risk management che sono stati sviluppati, tra cui  il Project Management Institute, l’Istituto Nazionale della Scienza e della Tecnologia, società attuariali, e gli standard ISO. I metodi, le definizioni e gli obiettivi variano notevolmente a seconda che il metodo di gestione del rischio sia nell’ambito del project management, della sicurezza, dell’ingegneria, processi industriali, portafogli finanziari, le valutazioni attuariali, o di sicurezza e sanità pubblica.

Le strategie per il risk management comprendono il trasferimento del rischio ad un altro gruppo, l’elusione dell rischio, la riduzione degli effetti negativi del rischio e l’accettazione di alcune o tutte le conseguenze di un rischio particolare.

Alcuni aspetti di molte delle norme di gestione del rischio sono oggetto di critiche per non aver nessun miglioramento misurabile del rischio, anche se viene incrementata la fiducia nelle stime e le decisioni intraprese.

Nella gestione dei rischi ideale, un processo di definizione delle priorità è segue la filosofia in base alla quale i rischi con la perdita più grande e le maggiori probabilità di verificarsi sono gestiti per prima, ei rischi con una minore probabilità di occorrenza e minore perdita sono gestiti in ordine decrescente. In pratica, il processo può essere molto difficile, e il bilanciamento tra i rischi con un’alta probabilità di verificarsi, ma bassa di perdita, rispetto ad un rischio con alta probabilità di verificarsi, ma con una perdita inferiore probabilità di verificarsi, vengono spesso gestiti male o con difficoltà.

                                                                            Un tipico processo di Risk Management

La gestione dei rischi intangibili identifica un nuovo tipo di rischio che ha una probabilità di verificarsi del 100%, ma viene ignorato da parte dell’organizzazione a causa di una mancanza di capacità di identificarlo. Un altro tipo di rischio si manifesta invece quando si vericano inefficienza nelle relazioni personali o nelle procedure operative. Tali rischi minano direttamente la produttività dei lavoratori, della conoscenza, la redditività, il servizio, la qualità, la reputazione, il valore del marchio, e la qualità degli utili. Il risk management affronta anche le difficoltà della ripartizione delle risorse. Questa è l’idea di costo-opportunità. Risorse spese per la gestione del rischio avrebbe potuto essere speso in attività più redditizie. Ancora una volta, la gestione del rischio ideale minimizza la spesa massimizzando al contempo la riduzione degli effetti negativi dei rischi.

La metodologia del Risk Management segue all’incirca questi criteri:

1.     identificare, caratterizzare e valutare le minacce
2.     valutare la vulnerabilità dei beni essenziali per le minacce specifiche
3.     determinare il rischio (cioè le conseguenze attese di specifici tipi di attacchi contro beni specifici)
4.     individuare i modi per ridurre tali rischi
5.     riduzione del rischio di priorità le misure basate su una strategia

A livello di processo la IOS (International Organization for Standardization) individua i seguenti principi del Risk Management:

•      Il Risk Management dovrebbe creare valore.
•      Il Risk Management dovrebbe essere una parte integrante dei processi organizzativi.
•      Il Risk Management dovrebbe essere parte integrante del processo decisionale.
•      Il Risk Management dovrebbe affrontare in modo esplicito l’incertezza.
•      Il Risk Management dovrebbe essere sistematico e strutturato.
•      Il Risk Management dovrebbe essere basato sulle migliori informazioni disponibili.
•      Il Risk Management dovrebbe essere adattabile.
•      Il Risk Management deve tener conto dei fattori umani.
•      Il Risk Management deve essere trasparente e inclusivo.
•      Il Risk Management dovrebbe essere dinamica, iterativo e di rispondere ai mutamenti.
•      Il Risk Management dovrebbe essere in grado di portare miglioramento continuo e valorizzare.