Cos'è l'Analisi Quantitativa del Rischio?

"Non puoi gestire quello che non puoi misurare." 

Un classico del management e una falsità. Peter Drucker non l'ha mai detto. Quello che in realtà aveva avvertito era quasi l'opposto, un'idea più strettamente allineata con la critica articolata da V. F. Ridgway nel suo celebre articolo Dysfunctional Consequences of Performance Measurements (1956): quello che viene misurato viene gestito, anche quando è inutile misurarlo e gestirlo. La sua preoccupazione non era per la misurazione in sé, ma per l'illusione che i numeri raccontino l'intera storia.

Tuttavia la citazione sopravvive perché alimenta una credenza rassicurante: che se possiamo quantificare qualcosa, possiamo controllarla. Ma può davvero la gestione del rischio digitale essere quantitativa, o i numeri semplicemente mascherano le nostre paure e speranze?

Può e deve esserlo. Ma non come una scienza statica dei fatti. Piuttosto, è un esercizio continuo di modellazione, una disciplina che trasforma dati, percezione e contesto in intuizione. 

La gestione quantitativa del rischio può migliorare la preparazione, ma non dovrebbe mai promettere risultati deterministici; il suo potere risiede nell'iterazione, non nell'illusione. E la mente umana rimane lo strumento di misurazione più sofisticato che abbiamo. Siamo capaci di percepire schemi che nessun set di dati può catturare completamente.

In termini pratici, l'analisi quantitativa del rischio è lo sforzo di modellizzazione che utilizza stime numeriche, spesso monetarie, per valutare la frequenza e l'entità del potenziale effetto di un rischio, sia esso un'opportunità o una minaccia. Questo rende i rischi direttamente confrontabili con altri elementi nei backlog dell'azienda e quindi più facili da prioritizzare.

Anche se l'analisi quantitativa rimane costosa e parzialmente basata sul giudizio, lo sforzo di modellizzare i rischi migliora la capacità dell'organizzazione di affrontare l'imprevisto. Consente di ottimizzare le capacità di controllo del rischio dell'azienda per gestire sia le opportunità che le minacce.

Gli eventi di rischio frequenti sono meglio compresi e più facilmente quantificabili, permettendo alle organizzazioni di rafforzare le loro misure difensive, proprio come l'architettura sismica del Giappone o l'uso della rarità statistica delle precipitazioni estreme nella pianificazione della protezione civile. 

Per affrontare questa sfida, la gestione quantitativa del rischio si basa sulla scomposizione concettuale, suddividendo un rischio complesso e opaco in componenti più semplici e generiche che possono essere stimate, modellate e infine confrontate. Senza questo sforzo di modellazione, i rischi rari rimangono ingestibili, rendendo impossibile per l'organizzazione valutare in modo significativo la propria esposizione o dare priorità agli investimenti.

Una metafora utile all'interno di DARE25 - Digital Approach to Risk for Enterprise -  è quella di un gioco competitivo, dove l'Attacco rappresenta gli attori che tentano di sfidare o appropriarsi di un asset, e la Difesa rappresenta coloro che sono responsabili di proteggerlo. Questi sono ruoli sistemici ampi che descrivono come gli attori in interazione si posizionano attorno a un asset in qualsiasi contesto organizzativo o strategico. Tuttavia questo non è un gioco con regole fisse: le forze in gioco possono evolversi dinamicamente man mano che nuovi giocatori entrano, ed entrambe le parti adattano le loro strategie in tempo reale. L'analisi quantitativa, in questo senso, fornisce la lente strutturata attraverso cui queste dinamiche mutevoli possono essere modellate.

In tale contesto, la domanda chiave diventa: quali capacità e controlli può dispiegare ciascuna parte per aumentare sia la probabilità che l'entità del proprio successo? Nel mondo digitale, il probabile vincitore è la parte che detiene informazioni fruibili sia sull'asset che sul proprio avversario e può assorbire e tradurre quella conoscenza in azione pratica.

All'inizio, la Difesa applicherà un controllo di segregazione per nascondere l'asset o renderlo inaccessibile. Potrebbe anche tentare di influenzare il business case dell'Attacco attraverso controlli di deterrenza, riducendo i benefici percepiti dell'attacco e/o aumentando i costi percepiti e la minaccia di una reazione difensiva. 

Ad esempio, se noi siamo l'Attacco che mira a soppiantare un concorrente in una specifica nicchia di mercato, il concorrente (la Difesa) potrebbe cercare di nascondere i suoi dati chiave sui clienti, proteggere i canali di distribuzione, o vincolare i partner attraverso accordi esclusivi, rendendo il mercato target meno accessibile e riducendo l'attrattiva del nostro business case.

L'Attacco, al contrario, potrebbe tentare di aggirare le barriere di segregazione, aumentando la sua conoscenza dell'asset e della Difesa, raccogliendo pazientemente informazioni passo dopo passo, proprio come un osservatore esperto apprende i modelli di comportamento prima di pianificare un corso d'azione. Nel nostro esempio, questo potrebbe comportare l'apprendimento graduale di come opera il concorrente — comprendendo la sua strategia di prezzo, i metodi di acquisizione clienti e le debolezze operative — così da poter elaborare una strategia di ingresso più efficace.

L'Attacco potrebbe anche essere incoraggiato da una cultura di sperimentazione all'interno dell'azienda a ignorare le misure deterrenti della Difesa. Nel nostro scenario, una cultura che premia la sperimentazione potrebbe spingerci a testare tattiche di marketing non convenzionali o bundle di prodotti alternativi, anche se il concorrente cerca di scoraggiare i nuovi entranti attraverso prezzi aggressivi o pressione contrattuale sui fornitori.

L'Attacco potrebbe anche lanciare un attacco non convenzionale che rimane invisibile, riuscendo semplicemente perché la Difesa non riconosce mai che il gioco è iniziato. La capacità di rilevamento, quindi, diventa un asset difensivo cruciale. In pratica, questo potrebbe significare entrare nel mercato attraverso un nuovo segmento di clienti o un canale indiretto che il concorrente trascura — permettendoci di guadagnare terreno prima che la Difesa si renda conto che la sua posizione viene messa in discussione.

Una volta che questo "gioco della conoscenza" è in movimento, l'esito dipende dalla forza relativa delle risorse e delle capacità di apprendimento impiegate da entrambe le parti. Se due aziende stanno competendo in un segmento di mercato, il probabile vincitore è quello che per primo comprende i bisogni emergenti dei clienti e anticipa le mosse del concorrente. Le organizzazioni costruite per l'apprendimento e il trasferimento rapido della conoscenza, come le organizzazioni frattali, detengono un vantaggio strategico.

Anche dopo che il gioco è stato giocato, la Difesa potrebbe ancora recuperare parte della perdita attraverso controlli reattivi, mentre l'Attacco, se ha preparato opzioni multiple, può perseguire il percorso più vantaggioso (una forma di pensiero opzionale). 

Forti competenze di gestione degli stakeholder sono essenziali per entrambe le parti: la Difesa tenterà di minimizzare l'impatto reputazionale, mentre l'Attacco cercherà di sfruttare le prime vittorie per costruire slancio e rafforzare il supporto degli stakeholder. Il concorrente potrebbe ancora cercare di riconquistare terreno migliorando la sua offerta o impegnandosi in comunicazione difensiva. Allo stesso modo, le prime vittorie nella nicchia target possono aiutarci a garantire un supporto interno più ampio da stakeholder, investitori o partner, consentendo un'ulteriore espansione.

Questi elementi definiscono un insieme di variabili che devono essere valutate e, ove possibile, quantificate. 

Per ogni variabile, assegniamo una distribuzione di probabilità e poi calcoliamo il rischio complessivo utilizzando una simulazione Monte Carlo, producendo una distribuzione aggregata del rischio.

In termini quantitativi, il rischio complessivo si ottiene moltiplicando la Frequenza degli Effetti (quante volte il rischio produce un effetto tangibile durante il periodo di trasformazione; elemento 1) per la Dimensione dell'Effetto (impatto; elemento 2), come illustrato nel diagramma RCD.

La distribuzione di probabilità della Frequenza degli Effetti è determinata da:

• Accessibilità degli Asset (elemento 3): la capacità di nascondere o segregare gli asset critici rispetto alla capacità dell'Offesa di aggirare le barriere protettive, che determina quanto spesso l'Offesa si trova nella posizione di innescare il gioco.

• Innesco del Gioco (elemento 4): la forza delle misure di deterrenza rispetto ai meccanismi che modellano gli incentivi, che determina la probabilità che l'Offesa scelga effettivamente di agire.

• Innesco della Difesa (elemento 5): la natura innovativa delle strategie offensive rispetto alla maturità di rilevamento della Difesa, che determina la probabilità che la Difesa riconosca e risponda alla sfida.

• Risultato del Gioco (elemento 6): le relative capacità di apprendimento e assorbimento delle parti avverse (elementi 7 e 8), che influenzano l'esito finale.

La distribuzione di probabilità della Dimensione dell'Effetto dipende principalmente dall'efficacia dei controlli reattivi, che modellano la Dimensione dell'Effetto del Gioco (elemento 9), e dalla robustezza delle capacità di gestione degli stakeholder, che determinano l'Effetto Esterno (elemento 10) generato dai sostenitori del gioco.

In conclusione, la tecnica Monte Carlo può simulare numericamente la sequenza:

Accesso → Decisione → Rilevamento → Apprendimento → Risultato → Impatto Esteso

Ad esempio, modellando una distribuzione per la probabilità di un tentativo di ingresso nel mercato e una distribuzione per il suo potenziale impatto finanziario, Monte Carlo può simulare migliaia di combinazioni possibili per derivare un valore monetario atteso e un intervallo.

Da questo, possiamo derivare:

• il valore monetario più probabile del rischio;
• i risultati nel migliore dei casi e nel peggiore dei casi.

Questa tecnica può anche essere combinata con l'Analisi dell'Albero delle Decisioni per confrontare diverse opzioni strategiche, ad esempio, decidere se puntare su un concorrente in una nicchia di mercato ristretta o estendere la sfida a un segmento globale.

L'analisi quantitativa del rischio offre alle organizzazioni un approccio disciplinato per comprendere l'incertezza in termini misurabili e confrontabili. Modellando i rischi anziché affidarsi esclusivamente all'intuizione o ai pattern storici, consente un processo decisionale più informato, trasparente e difendibile.

Inoltre, nel mondo digitale di oggi, ciò che conta davvero è dare ai team il potere di prendere decisioni dove risiedono effettivamente le informazioni e la conoscenza. La gestione quantitativa del rischio dovrebbe quindi supportare il processo decisionale a ogni livello dell'azienda, non solo a livello esecutivo o di portafoglio. Questo significa che i team stessi devono essere dotati degli strumenti concettuali necessari per interpretare l'incertezza, modellare scenari e utilizzare insight quantitativi nel loro lavoro quotidiano.

I principali vantaggi dell'analisi quantitativa del rischio includono:

• chiara prioritizzazione dei rischi: le stime numeriche aiutano a confrontare i rischi e altri elementi del backlog su base omogenea;

• migliore allocazione delle risorse: la quantificazione supporta investimenti più razionali in controlli e risposte;

• pianificazione degli scenari migliorata: le simulazioni rivelano i risultati migliori, peggiori e più probabili;

• maggiore comprensione della sensibilità: l'analisi mostra quali ipotesi guidano la variabilità;

• capacità di valutare rischi rari: la modellazione supporta la valutazione di eventi a bassa frequenza e alto impatto;

• supporto per l'apprendimento continuo: la modellazione iterativa rafforza l'apprendimento e l'adattamento.

I metodi di analisi qualitativa del rischio si basano su giudizi intrinsecamente soggettivi, tuttavia svolgono un ruolo cruciale nell'informare e guidare le successive valutazioni quantitative. La loro popolarità tra le organizzazioni, in particolare per i progetti più piccoli, deriva dalla loro accessibilità: non richiedono modellazione numerica o simulazioni e permettono di classificare i rischi in ampie categorie di probabilità e impatto sugli stakeholder. Il processo produce tipicamente un elenco prioritario di rischi. Supporta una comprensione più chiara delle loro potenziali implicazioni, culminando spesso nell'assegnazione di punteggi di rischio attraverso una matrice o un quadro.

I metodi quantitativi, al contrario, tentano di valutare il rischio utilizzando variabili che rappresentano la frequenza e l'entità dei potenziali effetti. Sebbene concepiti per minimizzare la soggettività, non possono eliminarla, specialmente quando il comportamento umano e la cultura organizzativa influenzano le dinamiche di rischio sottostanti. Per questa ragione, gli approcci quantitativi contemporanei integrano sempre più dimensioni sistemiche, comportamentali e culturali per ottenere una valutazione più robusta e realistica.

Se è vero che i metodi quantitativi contengono inevitabilmente elementi soggettivi, è vero anche il contrario: i metodi qualitativi incorporano giudizi quantitativi quando definiscono le classi utilizzate nelle griglie che combinano probabilità (Frequenza dell'Effetto) e impatto (Dimensione dell'Effetto). Per descrivere un rischio come potenzialmente critico, si deve confrontare la scala del suo effetto con le dimensioni dell'impresa, come il suo fatturato complessivo, o, in alternativa, con il fatturato del progetto specifico in esame. Allo stesso modo, per classificare un rischio come frequente, la sua ricorrenza deve essere valutata in relazione al timeframe dell'iniziativa.

L'analisi qualitativa mira a dare priorità ai rischi più rilevanti, identificando quelli che dovrebbero essere selezionati per ulteriori valutazioni quantitative più intensive in termini di impegno.

L'analisi quantitativa del rischio diventa essenziale proprio quando la misurazione deve servire l'apprendimento piuttosto che l'illusione. Come sostenuto fin dall'inizio, i numeri non garantiscono il controllo: forniscono un modo disciplinato per sperimentare, confrontare alternative e affinare la nostra comprensione dell'incertezza.

L'analisi quantitativa è particolarmente efficace quando l'incertezza deve essere tradotta in termini economici che supportano la definizione delle priorità, l'allocazione delle risorse e la pianificazione basata su scenari. Lungi dall'offrire certezza numerica, fornisce alle organizzazioni qualcosa di più prezioso: un modo sistematico per imparare più velocemente dei rischi che affrontano. 

Il vero valore dell'integrazione tra intuizioni qualitative e rigore quantitativo risiede nel modo in cui rimodella il processo decisionale: spinge l'azienda a confrontarsi con l'incertezza, mettere in discussione le ipotesi e agire con maggiore disciplina strategica. In un'era digitale in cui i rischi cambiano più velocemente dei piani, questa capacità dovrebbe essere una componente standard del kit di sopravvivenza di qualsiasi organizzazione.