COME SI PUÒ CONTROLLARE IL RISCHIO TECNOLOGICO

In un contesto in cui nei processi aziendali l’applicazione delle tecnologie è pervasiva e in continua evoluzione, è fondamentale poter dare una definizione del rischio tecnologico. Come ogni risk manager sa bene, l’identificazione corretta e specifica di un rischio consente di valutarlo più facilmente e di focalizzarsi sulle più efficaci azioni di controllo. Allo stesso modo, giungere a una definizione del rischio tecnologico valida per il business in cui si opera è il primo passo fondamentale per costruire un framework di controllo. Per le imprese che lavorano a progetto, il rischio derivante da tecnologie non sufficientemente consolidate si può essenzialmente associare a un processo o a un prodotto tecnologico che non si comporta come atteso. Tale comportamento inatteso, imprevedibile o incontrollato può trovare una causa nelle decisioni prese o nelle attività svolte durante il ciclo di vita della tecnologia, quindi durante lo sviluppo, la progettazione, l’installazione o il suo utilizzo a progetto. Affinché sia identificato un rischio tecnologico, serve infine che il comportamento inatteso della tecnologia possa generare un potenziale impatto sugli obiettivi (di performance, costi e tempi) del progetto, o sulla salute e sicurezza delle persone, o sull’ambiente. Questa descrizione può essere applicata sia a prodotti fisici come impianti, parti meccaniche o strumenti utilizzati, sia ai software o ai processi che li controllano. Per chi vuole approfondire, suggerisco di leggere l’articolo A novel approach to identify, assess, and manage technological risks di Giacomo Dei1, Paolo Trucco1, Giorgio Locatelli1, Cristian Scaini2.

Gestire il rischio tecnologico in un’impresa è una sfida che deve tenere conto di molte interdipendenze e complessità. Se volessimo inserire in una tassonomia di rischi di progetto una classe dedicata a un rischio tecnologico omnicomprensivo non faremmo tanta strada, poiché ci accorgeremmo immediatamente che sarebbe difficile segregarlo, ossia che molti altri rischi potrebbero avere una forte interdipendenza con questo blocco: ad esempio, se la supply chain non è in grado di produrre la nuova tecnologia in tempo, il rischio tecnologico si intreccia al rischio di supply chain; analogamente, la tecnologia potrebbe richiedere personale di progetto con formazione specifica, non disponibile localmente; oppure gli iter di istruttoria per le autorizzazioni a costruire o a erogare linee di finanziamento potrebbero allungarsi. Il fatto che il rischio tecnologico abbia tante interdipendenze con altri fattori di rischio ordinari aggiunge certamente complessità, ma è da considerare primariamente una leva di efficacia per l’analisi, poiché stimola a evitare l’approccio a silos: infatti, in presenza di rischio tecnologico, più di un rischio nella heatmap sarà sollecitato e pertanto più di un risk owner potrà essere chiamato a rispondere per mantenere l’esposizione entro livelli accettabili. Fin dalle primissime fasi di sviluppo dell’offerta, è sicuramente importante riuscire a classificare il progetto che adotta una tecnologia innovativa secondo una scala di complessità che comprende la valutazione del rischio tecnologico, ed è importante mantenere aggiornata questa classificazione man mano che il progetto viene implementato. Per l’analisi del rischio, considerando la definizione che abbiamo dato prima, più che distinguere la tipologia tecnologica, che è sicuramente legata al tipo e alla magnitudine dell’impatto teorico, vale la pena partire quanto prima dall’analisi delle potenziali cause di una prestazione o di un comportamento inatteso e imprevedibile della tecnologia, qualsiasi essa sia, per andare a scovare le cause ancora poco visibili o addirittura latenti allo stato di sviluppo corrente e per poter intervenire quanto prima.

Un framework di gestione del rischio consente di adattare le classiche attività di identificazione, valutazione, controllo e monitoraggio dei rischi al contesto dell’organizzazione che si trova ad accettare nel proprio perimetro e a reagire al nuovo rischio tecnologico. Il framework crea e orchestra strumenti diversi, siano essi attività, controlli o indicatori, per ruoli diversi nell’organizzazione, al fine di garantire che il processo di gestione del rischio diventi un efficace ed efficiente supporto alle decisioni. Per fare qualche esempio, grazie a un buon framework, la funzione legale saprà di dover valutare l’applicazione di specifiche clausole contrattuali, la funzione strategia di dover integrare la valutazione di specifici Kri nell’aggiornamento del piano tecnologico, la funzione commerciale di dover usare una griglia predefinita per valutare la complessità tecnologica fin dalle primissime fasi di ingaggio del cliente, la funzione progetto di poter disporre di una tassonomia che si articola in modo da facilitare l’identificazione di fattori di rischio tecnologico multidisciplinare, la funzione rischi di dover seguire criteri ad hoc per il controllo di secondo livello di alcune tipologie di rischio, e così via. 

Detto questo, è fondamentale che l’attività di controllo sia continua e coerente con i cambiamenti. L’innovazione tecnologica è un fattore strutturale dell’economia e ha permeato l’evoluzione della maggior parte dei settori del mercato. Il progresso tecnologico potrebbe essere letto come l’esito positivo della gestione dell’incertezza e della complessità insite nell’innovazione. Un’organizzazione che vuole crescere in questo flusso deve perseguire un controllo dinamico della propria esposizione a questo rischio: la valutazione della propria esposizione può cambiare in fretta, essenzialmente perché le tecnologie hanno una maturazione non lineare nel tempo e nello spazio, perché la disponibilità di risorse competenti e ottimali per gestirle è variabile (sia in termini di persone, che di asset, che di supply chain di supporto) e perché l’efficacia delle azioni di mitigazione, di prevenzione e di trasferimento del rischio è fortemente legata allo stato corrente del contesto e dell’organizzazione stessa.

È quindi importante adottare un approccio di definizione di nuovi criteri per identificare, classificare e misurare il rischio tecnologico nei progetti che utilizzano tecnologie non consolidate. 

Una start up identifica e valuta l’esposizione al rischio/opportunità di una tecnologia pronta per il passaggio di scala in modo molto diverso rispetto a un contrattista che si impegna a costruire un impianto con determinate performance, in un determinato periodo e con una spesa massima per un cliente. Il primo passo, quindi, è capire cosa per una organizzazione è e rimane fuori dall’appetito di rischio, perché inconciliabile con gli obiettivi nell’orizzonte di piano. Se da un lato il mercato dell’impiantistica segue con entusiasmo l’innovazione, dall’altro la contrattualistica si adatta al flusso prudenzialmente: in questa asincronia, molti rischi legati all’adozione di una nuova tecnologia restano nel perimetro del contrattista, che deve darsi delle regole per essere sicuro di potersi muovere entro una determinata tolleranza. Qui entra in gioco la governance del rischio, che stabilisce le regole di ingaggio: con quali semplici criteri si può classificare la complessità portata dall’innovazione? Quando la valutazione del rischio tecnologico necessita di scalare all’interno dell’organizzazione per agganciare il contributo di determinati ruoli competenti che hanno un punto di vista più distaccato rispetto ai ruoli di progetto? Quali analisi sono necessarie in caso di elevata complessità e quali informazioni minime, anche contrattuali, devono essere prodotte e portate all’attenzione di chi deve decidere se il progetto può gestire quel determinato rischio? 

Classificare i rischi può portare diversi benefici alle attività che tipicamente sono in carico a una funzione di risk management: consente la storicizzazione delle informazioni di rischio, il calcolo di parametri di frequenza e di impatto, la raccolta di lesson learned, facilita il reporting, supporta le sessioni di identificazione rischi, affianca le analisi di portafoglio e correlazione, incentiva una robusta identificazione dei rischi emergenti. Tuttavia, l’evoluzione della tassonomia dei rischi in una organizzazione deve rispondere primariamente alla necessità delle funzioni operative di riconoscere nella classificazione le aree di incertezza che affrontano ogni giorno. È bene quindi evitare di modellare una classificazione astratta o generica, che non sia pensata per essere usata dalle persone che identificano, valutano e gestiscono i rischi facendo business. Tenere aggiornata una tassonomia fruibile dalle operazioni del business consente di migliorare la comunicazione delle informazioni di rischio sul nascere, da parte dei risk owner, e ne facilita il fluire tra le diverse funzioni anche al fine di perseguire piani di controllo condivisi e sinergici, soprattutto per i rischi complessi. Infine, una buona alberatura, ragionata tenendo conto dei principali processi di gestione aziendale, consente di disporre di informazioni di rischio aggregabili, utili per il mantenimento di un cruscotto di controllo davvero integrato. 

1 Politecnico di Milano, School of Management, Milan, Italy

2 Saipem S.p.A., Milan, Italy