Impostazione generale: dal Risk Assessment al sistema di gestione

Per rischio si intende l’eventualità di un accadimento che comporta un effetto negativo sul sistema in esame; in senso generale è possibile associare all’accadimento un effetto positivo anche se non è comune farlo. L’eventualità dell’accadimento si lega alla misura della sua probabilità. Esso può essere deliberato, ovvero messo in atto volontariamente da qualcuno, oppure non deliberato, ossia non dipendente dalla volontà di alcuno; lo stesso accadimento può essere aspettato, nel senso che si è a conoscenza della sua eventualità prima che questa accada anche se non si è certi che accadrà, oppure può essere inaspettato, ovverosia non si è a conoscenza dell’eventualità o non si reputa che tale eventualità possa accadere.

L’effetto sul sistema, sia esso negativo o positivo, si manifesta con un’alterazione di alcune delle caratteristiche che definiscono il sistema stesso, cioè questo non si comporta più nel modo voluto. Il valore dell’alterazione delle caratteristiche può essere messo in relazione a un valore di soglia sotto il quale l’effetto può ritenersi trascurabile. Nel caso di effetto negativo, l’alterazione dovrà, in generale, essere contrastata e le azioni correttive avranno un certo costo (in termini economici, di tempo o di prestazioni); nel caso di effetto positivo, l’alterazione comporta, in generale, un vantaggio (in termini economici, di tempo o di prestazioni) da gestire opportunamente anche mediante azioni correttive. Se non altrimenti specificato e co munque senza perdita di generalità, considereremo i soli effetti di tipo negativo, quindi dannosi.

8.1.1. Definizione del contesto

Nel porre in atto il processo di gestione del rischio è fondamentale definire i confini del sistema in esame, ovvero del contesto da analizzare per il quale si richiede di identificare le eventualità degli accadimenti che possono alterarne le caratteristiche. È opportuno definire tali confini non

solo dal punto di vista fisico ma anche logico e organizzativo. Pertanto, è necessario individuare correttamente le attività che si svolgono nel sistema in esame, nonché le loro correlazioni, le persone e le cose coinvolte, i rapporti con il contesto esterno, le regole di funzionamento organizzative, tecnologiche, fisiche, economiche e così via. In tal modo, sarà possibile definire le caratteristiche che presumibilmente definiscono il sistema, in modo tale da poterne gestire le alterazioni non volute.

Al termine sistema possiamo associare il concetto di azienda, stabilimento, territorio, impianto, mercato finanziario, Stato o altro, presupponendo, come sopra ricordato, la definizione dei suoi confini dal punto di vista fisico (confini territoriali, mura di cinta ecc.), organizzativo (rapporti di dipendenza lavorativa, rapporti cliente-fornitore, contratti, partecipazioni societarie ecc.) e logico (trasferimento di informazioni, reti di comunicazione, sistemi di autenticazione e così via).

8.1.2 Accadimento e gestione del rischio

Processo di identificazione .individuare i potenziali eventi che, manifestandosi, determinano gli accadimenti di rischio.

 Eventi e accadimenti possono essere rappresentati mediante i diagrammi causa-effetto, sia in forma tabellare sia sotto forma di alberi di guasto (fault trees), che ne evidenziano le relazioni.

 Evidenziare i cosiddetti fattori di rischio, ovvero quelli che si ritengono i parametri e le variabili da tenere sotto osservazione mediante misure di controllo, al fine di comprendere, il più possibile in anticipo, il verificarsi o meno degli eventi che comportano un accadimento di rischio.

 Qualora la struttura del sistema evidenzi una scomposizione in sottosistemi, ferma restando l’interconnessione tra questi, si può procedere all’identificazione del rischio per ciascuno di essi. L’interazione tra i diversi sottosistemi può essere evidenziata me- diante diagrammi di flusso illustranti i processi che avvengono nei e tra i sottosistemi stessi.

 Ne considereremo alcune che possono essere impiegate anche nelle altre fasi del processo di gestione del rischio (analisi e risposta).

o Il metodo Delphi

o La tecnica del brainstorming

o L’erogazione di questionari è la tecnica classica con cui si intervistano le persone ritenute esperte nell’identificare i potenziali accadimenti di rischio.  Una tecnica finalizzata a identificare i potenziali accadimenti con un orizzonte il più

possibile ampio, è la cosiddetta analisi SWOT (Strengths, Weaknesses, Opportunities,

Threats), si utilizza di solito in fase di pianificazione strategica di un sistema.

 Oltre alle tecniche di raccolta di nuove informazioni, è importante utilizzare analoghi dati storici raccolti precedentemente per il sistema in esame o per sistemi simili. I dati vengono presentati in liste di controllo che, se aggiornate, sono un’ottima base di partenza per il processo di identificazione.

 Una tecnica più accurata e utilizzabile, oltre al coinvolgimento degli esperti, è quella di riprodurre in un ambiente virtuale il funzionamento del sistema in esame con un modello di calcolo. Quest’analisi di scenario può essere portata avanti efficacemente con tecniche di simulazione.

Processo di analisi. prende in considerazione gli accadimenti identificati precedentemente e ne determina gli effetti sulle persone, sulle cose e sull’ambiente.

o Fase analisi qualitativa. La prima prevede un’analisi del rischio e degli effetti associati al fine di ordinare gli accadimenti di rischio secondo una scala di priorità che indica

l’importanza con cui prenderli in considerazione, così da definire le azioni correttive di prevenzione e protezione.

Alla fase di analisi qualitativa sono strettamente legati i tre concetti di: 1. probabilità dell’accadimento di rischio.

2. identificazione dei parametri coinvolti.

3. impatto sul sistema in esame dell’accadimento. Tale fase termina, generalmente, con la definizione di matrici bidimensionali di probabilità/impatto, una per ogni parametro o insieme di parametri coinvolti, che esprimono la relazione tra probabilità dell’accadimento di rischio e relativo impatto.

o Fase analisi quantitativa. La seconda analizza più in dettaglio gli accadimenti di rischio e ne misura gli effetti sul sistema in esame, concentrandosi, di solito, sugli accadimenti prioritari che emergono dalla fase di analisi qualitativa.

La fase di analisi quantitativa prevede la stima numerica della probabilità dell’accadimento di rischio, così come la valutazione numerica degli effetti che questo determina sul sistema in esame. Generalmente, segue la fase di analisi qualitativa che viene effettuata per quell’insieme di accadimenti di rischio considerati a più alta priorità.

Per ogni accadimento da analizzare si definisce, mediante il coinvolgimento di esperti del settore e comunque con un’apposita raccolta dei dati, il tipo di distribuzione di probabilità con cui rappresentare l’accadimento che, come detto, dipenderà dalla distribuzione di probabilità degli eventi che lo caratterizzano. Sempre per ogni accadimento, si definisce poi il valore dell’impatto sul parametro o sui parametri del sistema relativamente alterati. La distribuzione di probabilità, definita individuando i valori dei parametri che la caratterizzano, mette quindi in relazione la probabilità dell’accadimento di rischio con le sue conseguenze sul sistema in esame.

La fase di quantificazione dovrebbe prevedere un’analisi di sensibilità, ovvero lo studio di come l’incertezza nella conoscenza di qualche aspetto incide sulla valutazione delle distribuzioni di probabilità e degli impatti degli accadimenti. Questo tipo di analisi necessita di strumenti metodologici complessi come l’approccio simulativo.

Anche la fase di analisi quantitativa del rischio, al pari di quella qualitativa, si conclude fornendo, come risultato, un elenco quantificato degli accadimenti di rischio, in ordine di priorità secondo la misura dell’impatto sui parametri del sistema.

Percezione del rischio. Un ruolo significativo una serie di aspetti soggettivi collegati a colui che effettua l’analisi. Alcuni fattori, quali la probabilità di un accadimento di rischio, sono fortemente influenzati dalla percezione soggettiva, ovvero dal processo psicologico di creazione di una propria immagine del contesto esterno; la gravità e la quantificazione dell’effetto dello stesso sono funzioni, oltre che dell’esperienza, della percezione personale e della propensione al rischio.

In diversi ambiti, per ridurre l’impatto soggettivo sono state redatte precise linee guida che, riconosciute a livello internazionale, facilitano il processo di analisi del rischio nel settore cui si riferiscono.

L’ambito industriale,per es., l’analisi di operabilità (HAZOP, HAZard and OPerability analysis), vengono individuate le anomalie di funzionamento che possono comportare incidenti rilevanti, siano esse dovute a malfunzionamento o a guasti di parti di impianto come a errori umani nella conduzione dell’impianto stesso,

la tecnica di analisi dei guasti FMECA (Failure Mode, Effects, and Criticality Analysis) che, dopo la scomposizione del sistema in unità elementari, suggerisce, al fine di analizzare il rischio, di elencare tutte le possibili anomalie di funzionamento e di determinare per ognuna di esse le possibili cause, i probabili effetti e i controlli da attuare in modo da individuarne con anticipo l’accadimento. Si può definire una scala di priorità moltiplicando tra loro i valori assegnati alla

probabilità di accadimento, alla gravità dell’effetto e all’impossibilità di individuarne l’accadimento in anticipo.

Processo di risposta. Prende in considerazione la pianificazione delle azioni di prevenzione e di protezione per contrastare gli accadimenti di rischio analizzati, oltre alla messa in opera di tali azioni e al monitoraggio e al controllo del sistema al fine di identificare il rischio residuo e collaterale da analizzare ed eventualmente gestire. Quindi, il processo di risposta prosegue per tutto l’orizzonte temporale di funzionamento del sistema in esame; nel momento in cui si identifica il rischio residuo e collaterale, vengono riattivati i processi di identificazione e di analisi sopra esposti.

Pianificazione della risposta. Deve prevedere le specifiche per mettere in atto le azioni da intraprendere allo scopo di contrastare gli accadimenti, in termini sia di attività da svolgere sia di risorse necessarie (persone, strumenti, tempi e così via). Per ogni rischio identificato e analizzato si possono considerare più azioni correttive tra cui scegliere quella da utilizzare. Inoltre, un’azione correttiva può, a sua volta, contrastare più di un accadimento.

Le azioni di prevenzione, che rendono minore la probabilità di un accadimento di rischio, vengono pianificate valutando il compromesso tra il loro costo e il valore del danno legato al manifestarsi del rischio; ovverosia, in senso generale, il costo delle azioni di prevenzione deve essere commisurato al valore dell’effetto negativo sul sistema in cui vi è probabilità che possa verificarsi un accadimento di rischio. Quando il costo dell’azione di prevenzione non è sostenibile, si possono prevedere determinate azioni di protezione per ridurre l’effetto negativo sul sistema; anche in tal caso le azioni correttive vengono valutate in base al compromesso tra il proprio costo e il valore della riduzione del danno.

Se gli accadimenti sono ritenuti molto improbabili è possibile non pianificare nel dettaglio le azioni di risposta, ma prevedere un piano di azioni generali da prendere in considerazione se e quando il rischio dovesse tradursi in atto; in tal caso, è importante il monitoraggio dei fattori di rischio. Infine, per gli accadimenti i cui effetti non superano la soglia considerata durante il processo di analisi, è possibile non prevedere alcuna azione, riservandone la definizione al momento in cui tale rischio si manifesti e il suo effetto contingente si riveli più dannoso del previsto.

La valutazione del compromesso sopra esposto può essere effettuata utilizzando alberi di

decisione, ovvero strutture matematiche che permettono di analizzare le decisioni (di

intraprendere azioni di prevenzione e di protezione) in modo alternativo e concatenato confrontandole con gli effetti sul sistema.

Modelli di simulazione che virtualmente riproducono le dinamiche di un sistema reale possono essere utilizzati efficacemente anche per questa fase della gestione del rischio. Avendo un modello virtuale del sistema, si possono provare tutte o molte delle alternative di risposta misurandone i costi e gli effetti, oltre che riscontrandone il potenziale rischio residuo e collaterale. Quanto più accurato è il modello di simulazione nel descrivere i processi da tenere sotto controllo, tanto maggiore è l’efficacia nel definire e tarare la risposta al rischio.

Come risultato della fase di pianificazione si ha una correlazione tra gli accadimenti di rischio analizzati e le risposte da mettere in atto, sia preventive sia protettive, prima che l’accadimento si manifesti e dopo che questo eventualmente si verifichi. Viene inoltre evidenziato il rischio residuo e collaterale dopo l’attuazione delle azioni correttive.

Monitoraggio e controllo. Misurare i fattori di rischio, in modo tale da anticipare le azioni correttive prima che questo si manifesti, nonché quello di misurare l’efficacia delle azioni di risposta pianificate evidenziando eventuali correzioni su di esse.

 Tenere aggiornato il piano della risposta al rischio, è opportuno prevederne una revisione ogni qual volta viene evidenziato uno scostamento significativo nel comportamento del sistema rispetto a quanto ci si aspetta.

 Scostamento che può far manifestare accadimenti di rischio non precedentemente identificati. Una revisione periodicamente, in quanto possono nascere nuovi effetti, sia endogeni sia esogeni, che vanno a incidere sul funzionamento del sistema in esame. Inoltre, occorre considerare che il progresso tecnico apre ulteriori scenari su nuovi accadimenti di rischio potenziali e su nuove misure atte a contrastarli. Chiaramente, tutti i dati che vengono raccolti durante il processo di gestione del rischio costituiscono una fonte di informazioni per il futuro.

Prospettive. In molti ambiti sta progressivamente aumentando l’attenzione nel considerare l’intero ciclo di vita (life cycle) dei sistemi generici al fine di renderli più efficaci, nel senso del raggiungimento degli obiettivi cui sono preposti, e più efficienti, riguardo un migliore uso delle risorse che richiedono. Questo risulta più importante quando sono coinvolte problematiche legate all’inquinamento ambientale, al sostegno delle fasce di cittadini socialmente deboli, alla sicurezza degli ambienti di lavoro e così via.

Le attività di gestione del rischio dovrebbero essere considerate in ognuno dei processi del ciclo di vita del sistema al fine di poter diminuire la probabilità degli accadimenti e la loro incidenza, garantendone un funzionamento sostenibile dal punto di vista economico, sociale e ambientale.