ANALISI DEL RISCHIO

di Giuseppe Confessore - XXI Secolo (2010)

Analisi del rischio

Giuseppe Confessore

Per analisi del rischio s’intende l’insieme dei processi di identificazione (risk identification), di analisi in senso stretto (risk analysis, a volte risk evaluation o anche risk assessment) e di risposta (risk response) al rischio; in alcuni contesti tale insieme viene complessivamente individuato come processo di gestione del rischio (risk management). In generale, mentre il processo di identificazione definisce i potenziali accadimenti di rischio, l’analisi determina gli effetti degli stessi sul sistema in esame e, infine, il processo di risposta pianifica e mette in opera le azioni di prevenzione e di protezione nonché quelle di monitoraggio e controllo del rischio. A volte, per analisi del rischio s’intende il solo processo di analisi in senso stretto sopra esposto; altre volte coincide sia con il processo di identificazione sia con quello di analisi.

Individueremo nell’analisi del rischio l’insieme di tutti i processi intesi a gestire il rischio.

Per rischio s’intende l’eventualità di un accadimento che comporta un effetto negativo sul sistema in esame; in senso generale è possibile associare all’accadimento un effetto positivo anche se non è comune farlo. L’eventualità dell’accadimento si lega alla misura della sua probabilità. Esso può essere deliberato, ovvero messo in atto volontariamente da qualcuno, oppure non deliberato, ossia non dipendente dalla volontà di alcuno; lo stesso accadimento può essere aspettato, nel senso che si è a conoscenza della sua eventualità prima che questa accada anche se non si è certi che accadrà, oppure può essere inaspettato, ovverosia non si è a conoscenza dell’eventualità o non si reputa che tale eventualità possa accadere.

L’effetto sul sistema, sia esso negativo o positivo, si manifesta con un’alterazione di alcune delle caratteristiche che definiscono il sistema stesso, cioè questo non si comporta più nel modo voluto. Il valore dell’alterazione delle caratteristiche può essere messo in relazione a un valore di soglia sotto il quale l’effetto può ritenersi trascurabile. Nel caso di effetto negativo, l’alterazione dovrà, in generale, essere contrastata e le azioni correttive avranno un certo costo (in termini economici, di tempo o di prestazioni); nel caso di effetto positivo, l’alterazione comporta, in generale, un vantaggio (in termini economici, di tempo o di prestazioni) da gestire opportunamente anche mediante azioni correttive. Se non altrimenti specificato e co­munque senza perdita di generalità, considereremo i soli effetti di tipo negativo, quindi dannosi.

I legislatori di molti Paesi prevedono norme da rispettare obbligatoriamente al fine di ridurre e gestire il rischio connesso alle attività di sistemi complessi: in particolare, l’attenzione verte sul rischio che può comportare, se si manifesta, effetti negativi sulle persone, sulle cose e sull’ambiente. In tal caso, il processo di gestione deve prevedere il coinvolgimento di strutture pubbliche di emergenza (vigili del fuoco, presidi sanitari, protezione civile ecc.) o di controllo (banca centrale, autorità di vigilanza e così via).

Definizione del contesto

Nel porre in atto il processo di gestione del rischio è fondamentale definire i confini del sistema in esame, ovvero del contesto da analizzare per il quale si richiede di identificare le eventualità degli accadimenti che possono alterarne le caratteristiche. È opportuno definire tali confini non solo dal punto di vista fisico ma anche logico e organizzativo. Pertanto, è necessario individuare correttamente le attività che si svolgono nel sistema in esame, nonché le loro correlazioni, le persone e le cose coinvolte, i rapporti con il contesto esterno, le regole di funzionamento organizzative, tecnologiche, fisiche, economiche e così via. In tal modo, sarà possibile definire le caratteristiche che presumibilmente definiscono il sistema, in modo tale da poterne gestire le alterazioni non volute.

I contesti nei quali applicare le considerazioni che andremo a esprimere sono molteplici e nell’elencarli è impossibile essere esaustivi. Tuttavia, se ne individuano alcuni più evoluti dal punto di vista delle norme e delle tecniche applicative per la gestione del rischio; per es. il contesto ambientale, finanziario, industriale, informatico, sanitario, geopolitico. In ognuno di questi settori è possibile specificare alcune caratterizzazioni sorte per l’importanza e per la specificità delle applicazioni: per l’ambiente, i rischi sismici, eolici, idrogeologici, geologici; per l’industria, quelli elettrici, chimici, radioattivi, di incidenti, di esplosioni; per la salute, i rischi alimentare, sanitari; per la finanza, quelli di cambio, di insolvenza, di investimento, di credito; in altri ambiti, quelli di reato, di progetto, di trasporto e così via.

L’obiettivo dell’esemplificazione precedente è quello di far emergere l’enorme differenza dei contesti nei quali poter applicare la metodologia analizzata in questa sede, sulla quale vi è un accordo pressoché unanime: essa è applicabile in modo trasversale, dal punto di vista scientifico-disciplinare, alle specificità dei settori di utilizzo.

Al termine sistema possiamo associare il concetto di azienda, stabilimento, territorio, impianto, mercato finanziario, Stato o altro, presupponendo, come sopra ricordato, la definizione dei suoi confini dal punto di vista fisico (confini territoriali, mura di cinta ecc.), organizzativo (rapporti di dipendenza lavorativa, rapporti cliente-fornitore, contratti, partecipazioni societarie ecc.) e logico (trasferimento di informazioni, reti di comunicazione, sistemi di autenticazione e così via).

Seppur apparentemente semplice, circoscrivere l’ambito di analisi non è banale. Considerando, per es., come sistema un’azienda manifatturiera, l’attivazione del processo di gestione del rischio solitamente ha come scopo quello di preservare la missione dell’azienda stessa. Nel definirne i confini, possiamo riconoscere, senza dubbio, il perimetro fisico del sito (o dei siti) dell’azienda; supponendo poi, come oggi è ovvio, che l’azienda usi sistemi di comunicazione basati su tecnologie informatiche e telematiche per supportare le proprie attività, dovranno essere definiti anche i confini logici legati al sistema di comunicazione utilizzato per lo scambio di dati e informazioni tra chi è all’interno e chi è all’esterno dei confini fisici (come la rete dedicata di computer, la rete Internet, i collegamenti senza fili). Sarà sempre più evidente l’esigenza di poter gestire contemporaneamente, per rimanere sul nostro esempio, il rischio di incidenti che possano coinvolgere le persone, le cose o l’ambiente e quello legato all’accesso alle informazioni elettroniche da parte di persone non autorizzate.

Quando si esamina l’impatto dei processi di gestione del rischio su un sistema, è fondamentale considerare la fase in cui si interviene. Si possono determinare due condizioni, non necessariamente entrambe esperite: nella prima, il sistema è in via di progettazione oppure se ne stanno pianificando modifiche in tutto o in parte; nella seconda, il sistema è in funzione e dev’essere gestito e controllato. Possiamo considerare i due casi reciprocamente come progettazione (off-line) e come gestione e controllo (on-line). In condizione off-line, se il processo di identificazione del rischio fa emergere un accadimento potenziale inammissibile per il buon funzionamento del sistema, si può agire di solito fornendo alcune specifiche per una migliore realizzazione o per la modifica di parti del sistema: un’efficace gestione del rischio dovrebbe iniziare dalla fase di progettazione del sistema. In condizione on-line si può agire di prassi prevedendo e attuando azioni correttive.

Accadimento e gestione del rischio

L’accadimento di rischio può essere determinato dal verificarsi di un evento oppure di una serie di eventi, siano essi contemporanei o in sequenza temporale. Nel primo caso, la probabilità dell’accadimento è legata a quella che si manifesti l’evento singolo; nel secondo caso la probabilità dell’accadimento è una funzione delle probabilità degli eventi che si verificano. Tale funzione può assumere diverse forme matematiche, in accordo con la teoria della probabilità, considerando che gli eventi possono essere o meno correlati tra loro. Si noti inoltre che sia un singolo evento sia un’intera serie possono indurre con una certa prevedibilità anche più di un accadimento di rischio. Considerando un impianto industriale, per es., eventi singoli quali la temperatura dell’ambiente maggiore della norma oppure la fuoriuscita di un prodotto chimico dal contenitore prestabilito possono essere identificati come accadimenti di rischio e quindi da sottoporre al successivo processo di analisi, al fine di individuarne gli effetti sul sistema in esame. La sequenza dei due eventi (oppure il loro contemporaneo manifestarsi) può essere considerata come un ulteriore accadimento i cui effetti sul sistema possono essere diversi rispetto a quanto può accadere in seguito al loro manifestarsi singolarmente. Chiaramente, la probabilità dell’evento combinato è legata a quelle degli eventi singoli, secondo le già ricordate leggi della teoria della probabilità. Nel descrivere i potenziali accadimenti di rischio vanno analizzati, quindi, sia gli eventi singoli con i loro effetti, sia l’eventuale concatenazione di eventi con gli effetti cumulati; quando non viene differentemente indicato, utilizziamo come sinonimi i concetti di rischio e accadimento di rischio.

L’obiettivo principale della gestione del rischio è quello di preservare la missione del sistema in esame con le persone, le cose e l’ambiente coinvolti. Per raggiungere questo obiettivo si definiscono e si compiono azioni correttive al fine di contrastare gli effetti degli accadimenti di rischio sul sistema stesso. Tali azioni possono essere suddivise in due categorie generali: azioni di prevenzione e azioni di protezione.

Le prime hanno l’obiettivo di rendere minore la probabilità degli accadimenti di rischio; le azioni di protezione, invece, hanno come scopo principale quello di depotenziare gli effetti degli accadimenti di rischio sul contesto in esame.

Normalmente, le azioni correttive vanno ad agire sul sistema alterandone in qualche modo il funzionamento: ciò comporta che, a valle di un’azione correttiva, sia essa potenziale o applicata, è necessario identificare nuovamente i possibili accadimenti con i loro effetti. Esemplificando, un’azione correttiva, nonostante sia stata pensata per prevenire o proteggere, deve ugualmente essere valutata dal punto di vista dei potenziali accadimenti di rischio che può causare (rischio collaterale o secondary risk) e dal punto di vista degli accadimenti residui che può non aver contrastato (rischio residuo o residual risk).

Processo di identificazione

Tale processo ha come fine quello di individuare i potenziali eventi che, manifestandosi, determinano gli accadimenti di rischio. Eventi e accadimenti possono essere rappresentati formalmente mediante diagrammi causa-effetto, sia in forma tabellare sia sotto forma di alberi di guasto (fault trees), che ne evidenziano le relazioni. Questi diagrammi illustrano il modo in cui gli eventi identificati (visti come causa) si legano agli accadimenti di rischio (visti, invece, come effetto, da non confondere con gli effetti degli accadimenti di rischio sul sistema); in particolare, evidenziano gli insiemi di eventi statisticamente indipendenti che devono verificarsi in contemporanea per causare un accadimento di rischio. Un albero di guasto costruito per un sistema complesso può contenere molti eventi e un numero ancor più elevato di relazioni tra essi. La determinazione degli insiemi di eventi che comportano gli accadimenti (corrispondenti a sequenze di eventi sulla struttura ad albero) è un’attività che richiede strumenti di elaborazione specifici progettati per l’analisi degli alberi di guasto (fault tree analysis).

Durante il processo di identificazione è opportuno evidenziare i cosiddetti fattori di rischio, ovvero quelli che si ritengono i parametri e le variabili da tenere sotto osservazione mediante misure di controllo, al fine di comprendere, il più possibile in anticipo, il verificarsi o meno degli eventi che comportano un accadimento di rischio.

L’identificazione presume che siano chiari il funzionamento del sistema in esame e gli intervalli all’interno dei quali possono deviare i valori dei fattori di rischio che lo caratterizzano. Se questi valori escono dagli intervalli di riferimento e se si predispongono azioni di misura su tali valori, si può anticipare il verificarsi di un evento permettendo la messa in opera delle azioni correttive.

Qualora la struttura del sistema evidenzi una scomposizione in sottosistemi, ferma restando l’interconnessione tra questi, si può procedere all’identificazione del rischio per ciascuno di essi. L’interazione tra i diversi sottosistemi può essere evidenziata me­diante diagrammi di flusso illustranti i processi che avvengono nei e tra i sottosistemi stessi. Nel caso di un impianto chimico industriale, è possibile individuare come sottosistemi quelle parti dell’impianto caratterizzate da un certo tipo di processo (per es., distillazione, essiccamento o altri); in ogni sottosistema si possono evidenziare diverse sezioni in base all’omogeneità delle condizioni di processo (pressione, temperatura e così via). La struttura gerarchica composta dal sistema, dai sottosistemi e dalle sezioni rende più agevole l’individuazione dei punti di riferimento sui quali effettuare le misurazioni per esaminare i possibili scostamenti dai parametri di processo (fattori di rischio). Tali punti vanno localizzati in prossimità di organi di regolazione, all’interno di recipienti, all’entrata e all’uscita di apparecchiature ecc., e per ognuno di essi devono essere definite le condizioni di funzionamento corretto al fine di comprendere se la misura effettuata rientra nell’intervallo di lavoro o meno.

Durante il processo di identificazione, se un rischio identificato non è ritenuto ammissibile perché, per es., stravolge il funzionamento del sistema in esame, è opportuno considerare la possibilità di agire, sia che ci si trovi in fase di progettazione sia in quelle di gestione e controllo, per ridurre o, se possibile, eliminare del tutto, l’eventualità dell’accadimento di rischio.

Per identificare in modo opportuno e il più possibile esaustivo gli accadimenti, è necessaria una conoscenza approfondita del sistema ma anche del contesto generale nel quale esso opera. Le tecniche solitamente utilizzate prevedono il coinvolgimento di più persone con competenze diverse al fine di raccogliere opinioni e informazioni quanto più complete e oggettive.

Ne considereremo alcune che possono essere impiegate anche nelle altre fasi del processo di gestione del rischio (analisi e risposta).

Il metodo Delphi prevede il coinvolgimento di un gruppo di esperti, che partecipano in forma anonima, non interagendo tra loro, ai quali viene inviato un questionario per raccogliere le idee dei singoli sui potenziali accadimenti di rischio. Le risposte, raccolte da un coordinatore, sono sistematizzate e inviate nuovamente ai compilatori esperti ai quali si richiede una nota di commento. Il procedimento viene reiterato più volte in modo da raggiungere una valutazione che abbia il consenso di tutti; con tale modalità si riduce l’influenza del singolo sul risultato finale.

La tecnica del brainstorming prevede che le informazioni sui potenziali accadimenti vengano esplicitate da un gruppo di esperti guidati da un coordinatore. Ogni membro del gruppo genera alcune ipotesi di accadimento che vengono poi esposte e discusse con tutti i partecipanti al fine di perfezionarle, facendo emergere un documento unico condiviso.

L’erogazione di questionari è la tecnica classica con cui si intervistano le persone ritenute esperte nell’identificare i potenziali accadimenti di rischio. Tali esperti sono selezionati da un coordinatore che, tramite questionari somministrati a distanza o mediante interviste personali, evidenzia a ognuno l’ambito di riferimento in modo tale da ricevere le risposte che poi verranno da lui stesso sistematizzate in un documento contenente i risultati dell’indagine.

Una tecnica comune finalizzata a identificare i potenziali accadimenti con un orizzonte il più possibile ampio, è la cosiddetta analisi SWOT (Strengths, Weaknesses, Opportunities, Threats), condotta valutando i punti di forza e di debolezza propri del contesto in esame, nonché le opportunità e le minacce provenienti dall’esterno e che, comunque, ne alterano il funzionamento. Tale analisi si utilizza di solito in fase di pianificazione strategica di un sistema perché permette di valorizzare i punti di forza e contenere quelli di debolezza sfruttando le opportunità e le minacce con il fine, nel nostro caso, di definire specifiche migliorative per la progettazione o la riprogettazione del sistema per quanto riguarda una più efficace ed efficiente gestione del rischio.

La lista degli accadimenti così compilata sarà più o meno esaustiva in quanto dipendente dalla competenza e dall’esperienza degli esperti coinvolti; in ogni caso, conterrà solo quei rischi che ci si può attendere, ovvero gli accadimenti inaspettati non saranno presenti. Cause di forza maggiore o eventi eccezionali a bassa probabilità, come attacchi terroristici, terremoti, alluvioni, di solito non vengono considerati, e questo è un limite dell’approccio comunemente utilizzato nell’identificazione del rischio e quindi, nei tempi odierni, un punto debole di fronte a catastrofi di problematica gestione. È importante, perciò, esaminando il contesto in cui ci si muove, prevedere in ogni caso anche l’identificazione degli accadimenti di rischio ritenuti di solito poco probabili. Sarà poi cura del successivo processo di analisi determinare la probabilità di tali accadimenti e i loro effetti sul sistema in esame.

Oltre alle tecniche di raccolta di nuove informazioni, è importante utilizzare analoghi dati storici raccolti precedentemente per il sistema in esame o per sistemi simili. I dati vengono presentati in liste di controllo che, se aggiornate, sono un’ottima base di partenza per il processo di identificazione. Una tecnica più accurata e utilizzabile, oltre al coinvolgimento degli esperti, è quella di riprodurre in un ambiente virtuale il funzionamento del sistema in esame con un modello di calcolo. In tale ambiente si può analizzare quanto può accadere al sistema alterandone le caratteristiche, ovverosia è possibile comprendere come il manifestarsi di eventi causi gli accadimenti di rischio. Quest’analisi di scenario può essere portata avanti efficacemente con tecniche di simulazione che approfondiremo.

Processo di analisi

Il processo di analisi del rischio prende in considerazione gli accadimenti identificati precedentemente e ne determina gli effetti sulle persone, sulle cose e sull’ambiente. In generale, include una fase qualitativa seguita da una fase quantitativa: la prima prevede un’analisi del rischio e degli effetti associati al fine di ordinare gli accadimenti di rischio secondo una scala di priorità che indica l’importanza con cui prenderli in considerazione, così da definire le azioni correttive di prevenzione e protezione; la seconda analizza più in dettaglio gli accadimenti di rischio e ne misura gli effetti sul sistema in esame, concentrandosi, di solito, sugli accadimenti prioritari che emergono dalla fase di analisi qualitativa. Le due fasi non sono necessariamente presenti in un generale processo di analisi; l’esistenza o meno di una delle due dipende dal tipo di dati e di informazioni disponibili e dall’obiettivo prefissato nell’ambito del processo complessivo di gestione del rischio.

È possibile prevedere un valore di soglia, qualitativo o quantitativo, in modo tale da ritenere trascurabile l’effetto di un accadimento se questo non lo supera; in tal caso, il rischio identificato non verrà considerato al fine della predisposizione di una risposta anche se, per buona norma, dovrà essere monitorato mediante misure di controllo sui già richiamati fattori di rischio.

Riprendendo il concetto di albero di guasto, la fase di analisi permette di definire una misura delle relazioni eventi-accadimenti secondo un approccio qualitativo o quantitativo.

Analisi qualitativa

Alla fase di analisi qualitativa sono strettamente legati i tre concetti di probabilità dell’accadimento di rischio, di identificazione dei parametri coinvolti e di impatto sul sistema in esame dell’accadimento, qualora questo si manifesti. Tale fase termina, generalmente, con la definizione di matrici bidimensionali di probabilità/impatto, una per ogni parametro o insieme di parametri coinvolti, che esprimono la relazione tra probabilità dell’accadimento di rischio e relativo impatto.

Per probabilità dell’accadimento di rischio s’intende la probabilità che esso abbia luogo, ovvero che si verifichi l’evento oppure la serie di eventi che rappresentano l’accadimento. Tale probabilità può essere descritta mediante l’utilizzo di scale qualitative di tipo numerico o non numerico (un esempio di scala non numerica potrebbe essere: impro­babile, basso, medio, alto, quasi certo).

I parametri coinvolti indicano le grandezze misurabili sulle quali ci si aspetta che l’accadimento di rischio abbia qualche effetto; tali grandezze, caratterizzanti il sistema, possono essere quelle che ne definiscono lo stato o le dinamiche dei processi.

Per impatto dell’accadimento di rischio s’intende, infine, la misura dell’effetto che il suo manifestarsi ha sul sistema in esame e in particolare sui parametri coinvolti. Anche l’impatto può essere descritto mediante l’uso di scale numeriche o non numeriche. Per le scale di tipo numerico possiamo evidenziare scale lineari, in cui i valori sono definiti secondo una funzione matematica lineare, o scale non lineari al fine di assegnare un effetto più rilevante ad accadimenti più probabili, segnalando di prenderli in considerazione con priorità più elevata nel processo di risposta.

Le matrici di probabilità/impatto, definite per ogni parametro o insieme di parametri coinvolti, contengono i valori numerici o non numerici ottenuti dal prodotto o dalla composizione dei valori di probabilità con i valori dell’impatto. I valori risultanti indicano la gravità degli effetti sulle caratteristiche del sistema in esame e possono intendersi come valori di misura del peso del rischio. In generale, più è alto il valore del peso e maggiore è la priorità con la quale lo stesso deve essere considerato al fine di determinare le risposte per contrastarlo. Su tali matrici si possono individuare gruppi di combinazioni probabilità/impatto al fine di definire le cosiddette zone di rischio caratterizzate da una stessa priorità. Il numero delle zone e la loro relazione con una scala di gravità derivano da considerazioni necessariamente soggettive che il responsabile della gestione del rischio effettua secondo la propria percezione. L’oggettivazione di tale processo è un meccanismo complesso e sicuramente legato alla percezione generale in seno all’organizzazione in cui si opera.

Il risultato della fase di analisi qualitativa fornisce l’elenco degli accadimenti di rischio in ordine di priorità, eventualmente riuniti in tipologie alle quali associare una stessa risposta. In generale, per un rischio a più alta priorità s’instaura un processo di approfondimento, di solito quantitativo, per raffinarne l’analisi.

Analisi quantitativa

La fase di analisi quantitativa prevede la stima numerica della probabilità dell’accadimento di rischio, così come la valutazione numerica degli effetti che questo determina sul sistema in esame. Generalmente, segue la fase di analisi qualitativa che viene effettuata per quell’insieme di accadimenti di rischio considerati a più alta priorità.

Per ogni accadimento da analizzare si definisce, mediante il coinvolgimento di esperti del settore e comunque con un’apposita raccolta dei dati, il tipo di distribuzione di probabilità con cui rappresentare l’accadimento che, come detto, dipenderà dalla distribuzione di probabilità degli eventi che lo caratterizzano. Sempre per ogni accadimento, si definisce poi il valore dell’impatto sul parametro o sui parametri del sistema relativamente alterati. La distribuzione di probabilità, definita individuando i valori dei parametri che la caratterizzano, mette quindi in relazione la probabilità dell’accadimento di rischio con le sue conseguenze sul sistema in esame.

La fase di quantificazione dovrebbe prevedere un’analisi di sensibilità, ovvero lo studio di come l’incertezza nella conoscenza di qualche aspetto incide sulla valutazione delle distribuzioni di probabilità e degli impatti degli accadimenti. Questo tipo di analisi necessita di strumenti metodologici complessi come l’approccio simulativo.

Anche la fase di analisi quantitativa del rischio, al pari di quella qualitativa, si conclude fornendo, come risultato, un elenco quantificato degli accadimenti di rischio, in ordine di priorità secondo la misura dell’impatto sui parametri del sistema.

L’analisi del rischio e la predisposizione delle risposte agli accadimenti possono essere effettuate mediante l’introduzione di un modello virtuale del sistema reale in esame che ne simuli il comportamento. Le attuali tecnologie permettono di integrare, nei modelli di simulazione di sistemi reali, comportamenti molto complessi descrivibili attraverso equazioni matematiche contenenti parametri stocastici, sia in tempo continuo sia in tempo discreto. Grazie alla tecnica della simulazione, è possibile effettuare un’analisi più accurata predisponendo, come accade nella realtà, la variazione contemporanea di più fattori del sistema. Per far sì che il processo di simulazione restituisca risultati attendibili, è importante far progettare gli esperimenti di simulazione a esperti della metodologia.

Percezione del rischio

Sia per la fase qualitativa sia per quella quantitativa, gioca un ruolo assai significativo una serie di aspetti soggettivi collegati a colui che effettua l’analisi. Alcuni fattori, quali la probabilità di un accadimento di rischio, sono fortemente influenzati dalla percezione soggettiva, ovvero dal processo psicologico di creazione di una propria immagine del contesto esterno; questo processo cognitivo interpreta le informazioni mediante un modello che può variare notevolmente. È quindi importante effettuare l’analisi ricorrendo alle tecniche sopra ricordate, che cercano di rendere minima l’influenza della singola percezione legata alla soggettiva propensione al rischio. Quest’ultima, seppur basata sulla percezione personale, può essere oggettivata e condivisa dai membri di un’organizzazione.

Non soltanto la stima della probabilità di un accadimento, ma anche quella della gravità e la quantificazione dell’effetto dello stesso sono funzioni, oltre che dell’esperienza, della percezione personale e della propensione al rischio. Su quest’ultimo aspetto conta anche il valore economico dell’oggetto, in senso lato, probabilmente danneggiato: più è alto tale valore e più si è portati a sopravvalutare l’effetto del rischio. In diversi ambiti, per ridurre l’impatto soggettivo sono state redatte precise linee guida che, riconosciute a livello internazionale, facilitano il processo di analisi del rischio nel settore cui si riferiscono.

L’ambito industriale, in cui l’importanza della corretta definizione di misure di prevenzione e protezione è evidente e rappresenta ancora oggi una rilevante sfida sociale, è stato sicuramente tra i primi a essere interessato dallo sviluppo di tecniche ad hoc, generalizzate in questo contesto. Ricordiamo, per es., l’analisi di operabilità (HAZOP, HAZard and OPer­ability analysis) nata e sviluppata per grandi impianti industriali: secondo tale tecnica, vengono individuate le anomalie di funzionamento che possono comportare incidenti rilevanti, siano esse dovute a malfunzionamento o a guasti di parti di impianto come a errori umani nella conduzione dell’impianto stesso, e successivamente vengono definite le azioni di prevenzione e di protezione da intraprendere. La base di quest’analisi è lo studio degli schemi dettagliati dell’impianto dal punto di vista meccanico, di processo, dei locali che ospitano le apparecchiature e così via, e viene svolta da un gruppo multidisciplinare di esperti, secondo le tecniche ricordate nel processo di identificazione del rischio.

Sempre in ambito industriale, è nata e si è sviluppata la tecnica di analisi dei guasti FMECA (Failure Mode, Effects, and Criticality Analysis) che, dopo la scomposizione del sistema in unità elementari, suggerisce, al fine di analizzare il rischio, di elencare tutte le possibili anomalie di funzionamento e di determinare per ognuna di esse le possibili cause, i probabili effetti e i controlli da attuare in modo da individuarne con anticipo l’accadimento. Si può definire una scala di priorità moltiplicando tra loro i valori assegnati alla probabilità di accadimento, alla gravità dell’effetto e all’impossibilità di individuarne l’accadimento in anticipo.

Processo di risposta

Il processo di risposta al rischio prende in considerazione la pianificazione delle azioni di prevenzione e di protezione per contrastare gli accadimenti di rischio analizzati, oltre alla messa in opera di tali azioni e al monitoraggio e al controllo del sistema al fine di identificare il rischio residuo e collaterale da analizzare ed eventualmente gestire.

Quindi, il processo di risposta prosegue per tutto l’orizzonte temporale di funzionamento del sistema in esame; nel momento in cui si identifica il rischio residuo e collaterale, vengono riattivati i processi di identificazione e di analisi sopra esposti.

Pianificazione della risposta

La pianificazione della risposta deve prevedere le specifiche per mettere in atto le azioni da intraprendere allo scopo di contrastare gli accadimenti, in termini sia di attività da svolgere sia di risorse necessarie (persone, strumenti, tempi e così via). Per ogni rischio identificato e analizzato si possono considerare più azioni correttive tra cui scegliere quella da utilizzare. Inoltre, un’azione correttiva può, a sua volta, contrastare più di un accadimento.

Le azioni di prevenzione, che rendono minore la probabilità di un accadimento di rischio, vengono pianificate valutando il compromesso tra il loro costo e il valore del danno legato al manifestarsi del rischio; ovverosia, in senso generale, il costo delle azioni di prevenzione deve essere commisurato al valore dell’effetto negativo sul sistema in cui vi è probabilità che possa verificarsi un accadimento di rischio.

Quando non è possibile ridurre la probabilità del rischio oppure quando il costo dell’azione di prevenzione non è sostenibile, si possono prevedere determinate azioni di protezione per ridurre l’effetto negativo sul sistema; anche in tal caso le azioni correttive vengono valutate in base al compromesso tra il proprio costo e il valore della riduzione del danno.

Se gli accadimenti sono ritenuti molto improbabili è possibile non pianificare nel dettaglio le azioni di risposta, ma prevedere un piano di azioni generali da prendere in considerazione se e quando il rischio dovesse tradursi in atto; in tal caso, è importante il monitoraggio dei fattori di rischio. Infine, per gli accadimenti i cui effetti non superano la soglia considerata durante il processo di analisi, è possibile non prevedere alcuna azione, riservandone la definizione al momento in cui tale rischio si manifesti e il suo effetto contingente si riveli più dannoso del previsto.

La valutazione del compromesso sopra esposto può essere effettuata utilizzando alberi di decisione, ovvero strutture matematiche che permettono di analizzare le decisioni (di intraprendere azioni di prevenzione e di protezione) in modo alternativo e concatenato confrontandole con gli effetti sul sistema.

Come descritto in precedenza, modelli di simulazione che virtualmente riproducono le dinamiche di un sistema reale possono essere utilizzati efficacemente anche per questa fase della gestione del rischio. Avendo un modello virtuale del sistema, si possono provare tutte o molte delle alternative di risposta misurandone i costi e gli effetti, oltre che riscontrandone il potenziale rischio residuo e collaterale. Quanto più accurato è il modello di simulazione nel descrivere i processi da tenere sotto controllo, tanto maggiore è l’efficacia nel definire e tarare la risposta al rischio. Un modello di simulazione può essere utilizzato, inoltre, nella fase di monitoraggio e controllo per comprendere anche dinamicamente le migliori alternative da mettere in pratica sul sistema reale dopo averle provate su quello simulato.

Come risultato della fase di pianificazione si ha una correlazione tra gli accadimenti di rischio analizzati e le risposte da mettere in atto, sia preventive sia protettive, prima che l’accadimento si manifesti e dopo che questo eventualmente si verifichi. Viene inoltre evidenziato il rischio residuo e collaterale dopo l’attuazione delle azioni correttive.

Monitoraggio e controllo

La risposta al rischio, una volta pianificata, deve essere messa in pratica sia ex ante, cioè in termini preventivi e protettivi prima che l’accadimento si manifesti, sia ex post, cioè quando l’accadimento si manifesta.

Obiettivo principale del monitoraggio e del controllo è quello di misurare i fattori di rischio, in modo tale da anticipare le azioni correttive prima che questo si manifesti, nonché quello di misurare l’efficacia delle azioni di risposta pianificate evidenziando eventuali correzioni su di esse.

Al fine di tenere aggiornato il piano della risposta al rischio, è opportuno prevederne una revisione ogni qual volta viene evidenziato uno scostamento significativo nel comportamento del sistema rispetto a quanto ci si aspetta, scostamento che può far manifestare accadimenti di rischio non precedentemente identificati. Una revisione dovrebbe comunque essere messa in atto periodicamente, in quanto possono nascere nuovi effetti, sia endogeni sia esogeni, che vanno a incidere sul funzionamento del sistema in esame. Inoltre, occorre considerare che il progresso tecnico apre ulteriori scenari su nuovi accadimenti di rischio potenziali e su nuove misure atte a contrastarli. Chiaramente, tutti i dati che vengono raccolti durante il processo di gestione del rischio costituiscono una fonte di informazioni per il futuro.

Prospettive

In molti ambiti sta progressivamente aumentando l’attenzione nel considerare l’intero ciclo di vita (life cycle) dei sistemi generici al fine di renderli più efficaci, nel senso del raggiungimento degli obiettivi cui sono preposti, e più efficienti, riguardo un migliore uso delle risorse che richiedono. Questo risulta più importante quando sono coinvolte problematiche legate all’inquinamento ambientale, al sostegno delle fasce di cittadini socialmente deboli, alla sicurezza degli ambienti di lavoro e così via.

Per rendere un prodotto industriale a basso rischio ambientale è conveniente considerare, per es., le attività di dismissione/riciclaggio fin dal momento in cui il prodotto viene concepito e progettato; è importante, cioè, considerare integrate tutte le fasi del suo ciclo di vita, ovvero la sequenza dei processi di progettazione, produzione, distribuzione, uso, manutenzione, dismissione/riciclaggio. Il prodotto cui ci riferiamo può essere sia l’intero impianto industriale, sia un bene di consumo come un elettrodomestico o una scarpa. Ogni processo del ciclo di vita del prodotto ne ha, a sua volta, uno proprio: il processo di produzione, per es., deve essere progettato, messo in opera, gestito/utilizzato, manutenuto, dismesso/riciclato.

Le attività di gestione del rischio dovrebbero essere considerate in ognuno dei processi del ciclo di vita del sistema al fine di poter diminuire la probabilità degli accadimenti e la loro incidenza, garantendone un funzionamento sostenibile dal punto di vista economico, sociale e ambientale. Esemplificando, in fase di progettazione è necessario identificare il rischio in modo da supportare la definizione dei requisiti del sistema; in fase di realizzazione del sistema occorre attivare il processo di identificazione del rischio, nonché quelli di analisi e di risposta, per rispettare le specifiche di progetto prestabilite; in fase operativa è buona norma gestire il rischio al fine di garantire il funzionamento del sistema nei parametri stabiliti; infine, in fase di dismissione ed eventuale riciclaggio, gestire il rischio garantisce il rispetto di vincoli tecnici e normativi.

Le tecnologie oggi disponibili permettono di operare in tal senso, ma è necessaria una maggiore sensibilità dei decisori nel promuovere l’uso di strumenti che possano supportare le attività di gestione del rischio in modo integrato. L’utilizzazione di tecniche di simulazione, interconnesse con tecniche di supporto alle decisioni, permetterebbe un’efficace gestione del rischio lungo tutto il ciclo di vita del sistema; per es., sarebbe superato, o comunque mitigato, l’ostacolo della soggettività nel definire le probabilità di accadimento e gli effetti sul sistema in esame.

La figura professionale dell’analista del rischio dovrebbe essere contemplata anche in settori finora non sensibili a tale problematica; un esempio è la figura del cosiddetto gestore del rischio prevista in ambito clinico da alcune aziende sanitarie locali italiane.

Bibliografia

Project management institute, A guide to the project management body of knowledge, Newtown Square (Pa.) 2000 (trad. it. 2003).

G. Stoneburner, A. Goguen, A. Feringa, Risk management guide for information technology systems, NIST special publication, 800, 30, July 2002.

H.L. Tosi, M. Pilati, N.P. Mero, J.R. Rizzo, Comportamento organizzativo. Persone, gruppi e organizzazione, Milano 2002.

European cooperation for space standardization, Space project management. Risk management, Noordwijk 2004.

T. Altiok, B. Melamed, Simulation modeling and analysis with Arena, Amsterdam 2007.

C. Giustozzi, La sindrome di Fort Apache. La sicurezza delle informazioni nella società postindustriale, Pescara 2007.

Vocabolario
rischio-paese
rischio-paese (rischio Paese), loc. s.le m. Rischio di una grave crisi dell’intera economia nazionale. ◆ Nel 2004 l’economia crescerà almeno del 5%, la disoccupazione è in calo e sui mercati finanziari il Brasile è diventato più «virtuoso»...
rìschio
rischio rìschio (ant. risco) s. m. [der. di rischiare]. – 1. a. Eventualità di subire un danno connessa a circostanze più o meno prevedibili (è quindi più tenue e meno certo che pericolo): la strada è ghiacciata e c’è il r. di scivolare;...