sabato 15 giugno 2013

Sulla gestione del rischio

E' da un po' che per motivi vari mi sto dilettando con il divertente argomento della gestione del rischio e del legame fra questo e gli open data. "Ma  non è legato agli open data!!". In realtà è profondamente legato, ma scopriremo fra poco perchè.
Partiamo dall'inizio. Cosa è la gestione dei rischi? 
Il concetto di Risk Management comprende l’insieme delle attività mirate a individuare, valutare, gestire e controllare tutti i tipi di eventi (rischi e opportunità). Uno dei metodi per valutare i rischi cui è esposta una società ed i controlli per mitigarli è il Control Risk Self Assessment (CRSA) basato su un approccio auto-diagnostico. I tratti distintivi di questa metodologia sono determinati:
  • da un approccio auto-diagnostico - da parte dei titolari di processo - all’identificazione dei rischi, dei controlli e delle eventuali azioni correttive/preventive, basato su valutazioni soggettive (conoscenze, esperienze, competenze, ecc.);
  • da una partecipazione attiva dei titolari di processo;
  • dall’utilizzo di meccanismi di facilitazione (questionari, workshop con facilitatori qualificati) che permettono di guidare e massimizzare i contributi dei soggetti coinvolti.
Bel discorso, ma che significa?  Nel paradigma del DoD che amo tantissimo, significa la famosa impresa "di livello 5", ovvero quella che fa auto-analisi dopo le operazioni. Ma cosa significa nel pratico? La cosa qui si fa più complessa, in quanto veramente implica una fase di auto-analisi non dissimile a quanto passa uno psichiatra prima di poter esercitare, in modo da essere libero da influenze interne. E in cosa consiste questa auto-analisi? Diverse teorie sull'argomento, ma quella che personalmente ritengo molto sensata è quella che si basa sulla conoscenza di tutto ciò che è presente all'interno dell'entità che fa questa operazione di Risk Management. Questo significa cercare di avere con massimo dettaglio possibile informazioni su tutti gli asset materiali e immateriali e umani disponibili e le relazioni fra essi. Ovvero sia oggetti (server, switch, router, cavi), che processi (cosa si fa in caso X? come funziona l'operazione Y? cosa implica la legge Z sull'argomento?), che persone (A, con queste esperienze queste conoscenze: 1,2,3, B, con queste esperienze e queste conoscenze:2,5,6,7, C, con queste conoscenze ed esperienze: 1,3,5). In questo modo, capita quale è la struttura delle relazioni fra le entità, e messa nero su bianco, è possibile da un lato capire cosa succede se qualcosa va storto e quantificare eventualmente quanti danni fa. Bisogna ammettere che House ha sempre ragione: il paziente mente sempre, ovvero alcune relazioni che non vengono mai esplicitate devono essere evidenziate e quindi questo processo deve tenerne conto, altrimenti si rischia di valutare in modo scorretto il rischio. Bene in tutto questo discorso cosa c'entrano gli open data? Moltissimo e lo spunto viene da questo interessantissimo keynote dello Skoll World Forum 2013:


Gli open data servono esattamente a questo: a gestire il rischio.
La mappa delle indie rubata ai portoghesi e "lberata" dagli olandesi contribuì a diminuire il rischio di viaggio e in quanto tale consentì di abbassare la barriera all'ingresso nel commercio verso le indie, così come oggi un dato come la densità abitativa o il reddito medio a livello di isolato può essere determinante per definire la posizione di negozi o servizi. Che inevitabilmente andranno a modificare a loro volta il dato nel rilevamento successivo. E anche i dati apparentemente di interesse solo giornalistico come la corruzione e la trasparenza sono fondamentali, perchè in un paese più corrotto avrò più difficoltà a stabilire la mia azienda, perchè magari dovrò pagare questa o quella persona. Da quanto si diceva prima esiste anche un altro dato fondamentale e spesso ignorato utilissimo per l'analisi dei rischi, ovvero la formalizzazione dei processi.
Quando ci sono le grandi fusioni, una fase cospicua del tempo di fusione viene preso nell'analisi dei processi delle parti per arrivare a convergere su punti utili ad entrambi in modo da rendere più semplici le comunicazioni ed interrelazioni fra le parti. Con l'amministrazione, conoscendo i processi in tutti i dettagli, posso decidere automaticamente e con certezza quando avviare una richiesta all'ente X, ma non conoscendo la struttura di questi processi, chi ne è il cosiddetto "process owner" e quali sono i prerequisiti, diventa impossibile se non interagendo con l'amministrazione (si, nella direzione opposta al "Government as a Platform") capire come arrivare a risultati prevedibili (sempre che ciò sia possibile). Quando si dice Open Government Data, spesso si intendono solo le spese, le delibere e poco più. Iniziamo a pensare a dati meta-governativi, quindi su come lo stato si gestisce internamente. Quali sono i processi e quali i risultati. Penso che una mappa dello stato che consenta di sapere come viene generato un permesso sarebbe a dir poco affascinante e utile per il cittadino. Se poi nel proprio comune ci fosse un'istanza di questa mappa (per i permessi dati dal comune) con ad ogni passaggio il responsabile, in modo da consentire la comprensione di come è strutturata una richiesta, sarebbe addirittura istruttivo. Qualcuno dirà "beh per la privacy non puoi saperlo". Io però rispondo con il fatto che quando un call-center chiama a casa la persona che chiama si identifica e se si vuole sporgere reclamo lo si può fare citando la persona specifica. Quindi le regole della privacy valgono per il pubblico e non per il privato? Trasparenza e apertura è da un lato mettersi allo stesso livello dei cittadini che non sono sudditi ma contribuenti e dal'altro anche consentire a tutti di capire che rischi prendono quando intraprendono un viaggio nell'amministrazione.