“If you don’t actively attack the risks, they will actively attack you”
Tom Gilb
Nei loro recenti articoli su Ingenium, Chiara Ruffino e André Chaussod hanno affrontato un tema d’interesse cruciale: in che modo innovazione e trasformazione digitale possono contribuire alla gestione del rischio ambientale. Sensori intelligenti collocati sul territorio generano continui stream di dati eterogenei, su cui attivare event correlation, calcolo di metriche e statistiche ed elaborazioni predittive.
Se possiamo farlo per i fenomeni idrogeologici, per gli incendi e per gli eventi metereologici intensi, potremmo (e dovremmo) farlo anche in relazione alle opere dell’uomo, materiali e immateriali e più in generale in tutti i processi produttivi e di servizio.
Ad esempio, consideriamo la gestione da parte di un’azienda o di un’amministrazione pubblica del proprio parco applicativo software. Essa non può più limitarsi, come accade ancora nella maggior parte dei casi, ad un insieme di “silos” di attività le une avulse dalle altre. Le attività di sviluppo distinte da quelle di manutenzione. Quelle di evoluzione distinte da quelle di adeguamento.
L’obiettivo non è quello di guadagnare efficienza su ogni singolo servizio secondo una logica di “divide et impera”, ma quello più generale di migliorare costantemente la qualità dell’intero ecosistema applicativo, aumentando il valore di business che questo genera per l’organizzazione.
Per essere più brutali, più che il report semestrale prodotto dall’IT che mostra quanto rapidamente ed efficacemente siano stati risolti problemi e bug dal supporto tecnico, al CEO dovrebbe importare quanti interventi correttivi in meno sono stati necessari rispetto al semestre precedente, grazie a sviluppi ed evoluzioni “preventivi” che, migliorando la qualità del software, ne abbiano diminuito la difettosità e, contestualmente, probabilità ed impatto dei rischi negativi associati agli eventuali malfunzionamenti.
È solo la manifestazione di una legge di buon senso, ubiqua e generale, secondo cui il costo di prevenzione di un problema sarà sempre e comunque molto minore del costo di risoluzione. Vale per oggetti intangibili (software) come per le infrastrutture materiali (autostrade e ponti). I tragici eventi di questa estate a Bologna e Genova ce lo hanno ricordato in modo brusco e drammatico.
Prevenzione e rischio: Cassandra e Mister Wolf
Prevenire dunque, ma qualsiasi forma di prevenzione discende da un’analisi del rischio, che a sua volta è una concettualizzazione del grado di incertezza insito in qualsiasi attività o iniziativa. Un rischio è semplicemente un evento “incerto”, con una determinata probabilità di verificarsi e in grado di determinare impatti. Se questi sono negativi parliamo di “minaccia”, se sono positivi parliamo di “opportunità”.
Gran parte dei problemi conclamati rappresenta l’evoluzione di minacce (rischi negativi) non considerati o mal gestiti. Finché sono rischi sono cose che “potrebbero” accadere. Quando però si verificano, cessano di essere ipotetici e diventano una realtà da fronteggiare.
Oggi, con la nostra capacità di gestire i Big Data e i nostri mirabolanti algoritmi predittivi siamo tecnicamente in grado di costruire dashboard per confrontare dati e tendenze, ipotizzare scenari e costruire mappe di rischio praticamente su qualsiasi cosa. Ma, come sempre accade, la soluzione non è (solo) tecnologica. Nessuna nuova iniezione di tecnologia può migliorare processi pensati quando questa non esisteva e che per questo devono essere ridisegnati. Il Risk Management non è un insieme di strumenti più o meno sofisticati. Il Risk Management è un insieme di processi di management e, prima ancora, un’attitudine.
Di solito, chi prova a preoccuparsi a ragion veduta di ciò che potrebbe accadere viene considerato un menagramo. Come Cassandra, quando mise tutti in guardia dai rischi che si correvano portando quello strano cavallo di legno dentro le mura di Troia. Nessuno le diede retta e sappiamo come finì.
Nella mitologia greca come nel business moderno, prevenire, anticipare, pianificare non sono mai state considerate attività abbastanza sexy, come lo è invece “risolvere problemi”. La prova? Per qualsiasi posizione professionale aziende e recruiter continuano a richiedere ai candidati una “spiccata capacità di problem solving“. Non ho mai visto un job posting in cui si cercasse qualcuno con “spiccata attitudine a prevenire ed evitare problemi“.
Confidare sulla propria capacità di salvare la situazione con una genialata ad effetto ci fa sentire come il Mister Wolf di Pulp Fiction (“I’m Winston Wolfe. I solve problems” cit.). Un problem fixer, un cleaner, che risolve situazioni critiche sotto la pressione del risultato con classe ed efficienza.
In realtà, agire così asseconda una pigrizia gestionale di fondo, perché rimanda l’eventuale questione a data da destinarsi, secondo il precetto caro a molti manager del “perché preoccuparcene adesso? Se poi il problema si verifica lo gestiamo…“.
Questo approccio “reattivo”, basato sull’abilità di mitigare l’effetto del problema, anche con workaround temporanei in attesa di una soluzione definitiva, oltre a determinare costi maggiori non dà garanzie di successo. Quando il problema si manifesterà con un’anomalia o un incidente non avremo alcuna certezza di avere “in quel momento” capacità e risorse per potervi far fronte.
È perciò di fondamentale importanza provare a cambiare la cultura e la mentalità delle organizzazioni, promuovendo un approccio proattivo, idealmente addirittura predittivo, dove lo scopo sia anticipare il problema o intercettarlo il prima possibile per poterlo disinnescare al meglio. Lo strumento per farlo è il Risk Management.
Gestire il rischio con agilità
Qualsiasi disciplina manageriale, dal Project al Program al Portfolio Management, definisce specifici processi di gestione del rischio, individuando deliverable canonici, ruoli e responsabilità che sarebbe opportuno integrare in tutti i processi operativi e di business delle organizzazioni, pubbliche e private.
Analizzare i rischi costringe a pensare a un problema prima che questo si verifichi, vincendo la pigrizia del “caso mai lo gestiamo” che, in fondo, non è che una manifestazione di resistenza al cambiamento.
Cambiamento e innovazione spaventano, perché costringono persone e organizzazioni a uscire dalla propria comfort zone. È umano. Ci si mette tanto per capire un contesto, darsi delle regole, scrivere delle procedure e individuare delle best practice, che il pensiero di rimettere qualcosa in discussione spinge all’inazione. Il problema però è che anche se si decide di non cambiare “perché abbiamo sempre fatto così e guarda dove siamo arrivati…” sarà il contesto in cui ci muoviamo a cambiare. Continuamente. E sempre più velocemente.
“L‘unica costante è il cambiamento“, diceva Eraclito di Efeso venticinque secoli fa. Continuare a fare sempre nello stesso modo, cristallizzando framework e pratiche, non darà più lo stesso effetto su scenari che nel frattempo si saranno modificati.
È necessario governare il cambiamento gestendo l’incertezza e i rischi associati
Per fare questo ci sono due modi. Il primo, che risponde ad una impostazione di management tradizionale, è quello “predittivo/deterministico” proposto da anni in diverse varianti da analisti e consulenti. Una sequenza di fasi costituita da una valutazione di dettaglio dell’AS-IS, definizione di dettaglio del TO-BE, analisi del gap da attraversare, pianificazione attenta e puntuale degli interventi, implementazione. La modalità con cui il cambiamento viene affrontato è di tipo “big bang”, con rilascio dei risultati al termine dell’intero processo.
Volendo fare un paragone, è come pianificare un viaggio in aereo. La rotta viene definita all’inizio, in base a indicazioni precise e il controllo è centralizzato.
Il secondo approccio è quello “adattivo/agile“, dove si cerca di diminuire il rischio associato al prendere una direzione sbagliata sulla base di informazioni inizialmente ancora incomplete, organizzando il processo di cambiamento in cicli di lavoro iterativi. Ogni ciclo porta a casa un risultato parziale che incrementa quello precedente, con il vantaggio di poter correggere più facilmente il tiro tra una iterazione e la successiva.
Proseguendo con il paragone di prima, è come pianificare un viaggio in automobile. La rotta inizialmente stabilita può essere facilmente variata secondo necessità, in funzione degli imprevisti (condizioni di traffico, chiusura di strade, …) e il controllo è distribuito. Sono gli occupanti dell’auto (il team) che decidono, non la torre di controllo.
Parlando di “agile” di solito si fa riferimento a specifiche metodologie sviluppatesi nell’ambito dei progetti software a partire dalla seconda metà degli anni ’90 (Scrum, XP, DSDM, …), i cui valori e principi sono stati fissati nel 2001 dal Manifesto Agile. La ragione del loro successo consiste nell’essersi dimostrate più efficaci nel governare progetti a produzione immateriale, caratterizzati da un maggiore grado di rischio ed incertezza. In altre parole, in determinati scenari produttivi e di servizio i metodi agili disinnescano alcune minacce ricorrenti, come la difficoltà di consolidare un insieme di requisiti di dettaglio nelle fasi iniziali di lavoro.
Tuttavia, l’agilità di cui c’è bisogno non è solo quella metodologica, circoscritta a un framework e a un settore specifico. L’agilità di cui c’è bisogno è prima di tutto etimologica, la capacità di variare facilmente i propri parametri operativi per adattarsi ad ambienti e contesti volatili, incerti, complessi e ambigui (VUCA, Volatility, Uncertainty, Complexity, Ambiguity). L’agilità di cui c’è bisogno, prima di esprimersi con delle tecniche, è un mindset, un’attitudine personale e organizzativa che vince la pigrizia e muove al cambiamento e al miglioramento continuo, un passo alla volta, lentamente ma incessantemente.
Non basta “fare le cose” in modo agile applicando un metodo. È necessario essere agili. Per un’azienda o un’amministrazione questo significa (ri)organizzarsi attraverso il de-scaling delle attività, con piccoli team cross-funzionali che operano su task all’interno di cicli di lavoro iterativi, con l’ossessione di rilasciare il “più valore possibile il prima possibile”, coordinando il lavoro attraverso network interattivi.
Con questo diverso modus operandi, contrariamente a quanto potrebbe suggerire una lettura superficiale, la pianificazione continua ad avere un ruolo fondamentale. Essere agili e adattivi non significa improvvisare o navigare a vista. Questo fraintendimento può generare un rimedio peggiore del male. Pianificare significa tentare di anticipare, prevedere, prevenire problemi analizzando e valutando i rischi. Si tratta solo di spendere al momento giusto il giusto impegno di pianificazione.
L’approccio predittivo/deterministico lo concentra in gran parte all’inizio di una iniziativa, cercando di ottenere un quadro di massimo dettaglio in avvio, per poi cercare di rispettarlo discostandosene il meno possibile. L’approccio agile/adattivo non prevede meno pianificazione, semplicemente la spende in maniera diversa, operando ad un livello alto nelle fasi iniziali e ad un livello di dettaglio distribuito in maniera uniforme lungo tutta la timeline dell’iniziativa.
La pianificazione adattiva che caratterizza il mindset agile diventa così un fattore intrinseco di diminuzione del rischio. Il ciclo di lavoro iterativo e le comunicazioni meno formali e più frequenti moltiplicano i momenti di confronto e di controllo, rimandando le scelte al momento in cui siano disponibili più informazioni, secondo un principio di late decision.
Conclusione
Molte scelte manageriali e amministrative, in tema di ambiente come in altri ambiti, sono asservite a una logica emergenziale, di problem solving reattivo. L’innovazione tecnologica da sola non è sufficiente. Siamo in grado di raccogliere enormi quantità di dati, elaborarli analiticamente e portarli sulle dashboard per prendere decisioni più informate, anticipando problemi e valutando scenari, ma tutto questo non porta a risultati apprezzabili senza una reale attitudine alla prevenzione.
Prevenire un problema costa molto meno che risolverlo e la prevenzione incrocia in maniera naturale il sentiero del Risk Management. Identificare e analizzare i rischi consente di fronteggiare l’incertezza insita in qualsiasi impresa o iniziativa. Non basta sperare che le cose vadano per il meglio: è necessario vincere la pigrizia mettendo in moto un cambiamento per adattarsi in modo agile a scenari sempre più dinamici e mutevoli.
L’agilità non si esaurisce però solo con l’apprendimento e la pratica di uno dei tanti metodi, come Scrum, circoscritti ad ambiti ben definiti. È necessario costruire un’attitudine all’agilità, un mindset che, operando in modo adattivo e in un’ottica di miglioramento continuo, diventi un fattore di diminuzione del rischio by design.
La transizione agile è un obiettivo particolarmente sfidante e impegnativo per qualsiasi organizzazione, che si tratti di una azienda o di una PA, ma c’è una buona notizia. Non c’è bisogno di avviare rivoluzioni sanguinose, di immaginare per forza piani triennali o quinquennali. Valori e princìpi del mindset agile possono essere introdotti progressivamente, anch’essi in modo incrementale e iterativo, partendo da progetti e iniziative sulle aree più critiche, prendendo il toro per le corna e ottenendo dei quick win in breve tempo, per poi diffondersi ed estendersi a tutta la dimensione organizzativa e operativa.
Come direbbe Lao Tzu “A journey of a thousand miles begins with a single step“.
Marco Caressa
