En este artículo se indican claramente 7 pasos para la adecuada gestión de riesgos en los proyectos, que pueden ser usados en cualquier tipo de organización y para cualquier tipo de proyecto, así como 15 metodologías de gestión de riesgos que le ayudarán en la implementación de cada paso.
Estos pasos están basados en la Guía de los fundamentos para la dirección de proyectos del Project Management Body of Knowledge, Sexta Edición, en la Guía Práctica de Ágil del Project Management Institute y también en los libros Director de Proyectos y Profesional Ágil de Pablo Lledó.
Así, si la Gestión de Riesgos es el talón de Aquiles de sus proyectos, lo invitamos a que nos acompañe paso a paso en esta guía y garantice de esta forma una administración del riesgo exitosa que le permita una postura predictiva y no reactiva.
1. Planificación del riesgo
El primer paso consiste en decidir cómo se va a planificar la administración del riesgo en las distintas actividades del proyecto.
En este paso es clave definir la manera como se llevarán a cabo las actividades de identificación, análisis, respuesta y monitoreo de riesgos.
La principal metodología de gestión de riesgos a utilizar es el Análisis de Interesados. Este análisis es un proceso que consiste en recopilar y analizar de manera sistemática las informaciones cuantitativas y cualitativas, esto con el fin de determinar qué intereses particulares deben tenerse en cuenta a lo largo del proyecto. Permite identificar los intereses, las expectativas y la influencia de los interesados, y los relaciona con la finalidad del proyecto. También, permite determinar el apetito de riesgo de los interesados del proyecto, es decir, el grado de incertidumbre que están dispuestos a aceptar para obtener una posible recompensa a futuro.
Igualmente, es importante definir las escalas de probabilidad e impacto adecuadas para poder evaluar los diferentes riesgos de la organización y poder priorizarlos, en los pasos posteriores
Una vez realizado este paso debe poder responder a las siguientes preguntas:
- ¿Quiénes van a identificar los riesgos?
- ¿Cuándo se llevará a cabo la identificación de los riesgos?
- ¿Qué escala se utilizará para el análisis cualitativo de riesgos?
- ¿Cómo se priorizarán los riesgos?
- ¿Qué herramientas se utilizarán para el análisis cuantitativo?
- ¿Cuáles serán las estrategias a implementar para cada riesgo?
- ¿Con qué frecuencia se realizará el monitoreo de riesgos?
2. Identificación del riesgo
En la identificación de riesgos se determinan cuáles riesgos podrían llegar a afectar al proyecto y se documentan las principales características de cada uno de ellos.
Las técnicas utilizadas para realizar esta etapa son principalmente:
Lluvia de Ideas
Esta técnica grupal puede consolidarse como una metodología de gestión de riesgos que nos permite identificar riesgos con equipos multidisciplinarios externos al proyecto. Un facilitador experto puede ayudar a los participantes a mantenerse centrados en la tarea de análisis de riesgos, seguir con precisión el método asociado con la técnica, llegar a un consenso sobre riesgos identificados, evaluaciones de probabilidad e impactos, identificar y superar las fuentes del sesgo, y resolver los desacuerdos que puedan surgir.
La técnica Delphi
Técnica en la que se separa físicamente a los miembros del grupo y un coordinador general contacta a todos los miembros para que opinen sobre potenciales riesgos, manteniendo el anonimato de los involucrados. El coordinador le informa a los participantes las razones que justifican distintas opiniones sobre los riesgos identificados y les solicita que reevalúen su respuesta para profundizar el análisis. Esta herramienta de gestión de riesgos debe continuar con la retroalimentación iterativa hasta que no haya más cambios que realizar.
El Análisis de Causa Raíz
Técnica utilizada para identificar cuáles son las principales causas que ocasionan los riesgos. Es una metodología de gestión de riesgos que sirve para estructurar debates grupales sobre las posibles causas planteadas y su principal objetivo es llegar al fondo del riesgo específico, descartando las respuestas más inmediatas y superficiales.
Para hacer una análisis de causas efectivo, se sugiere seguir los siguientes pasos:
- Establecer el problema
- Reunir personas que pueden contribuir con el análisis
- Hacer una lluvia de ideas aplicando las 6Ms: Mano de obra, Métodos, Materiales, Máquinas, Medio ambiente y Medidas
- Definir los plazos y responsables para ejecutar las ideas más viables
- Verificar los resultados obtenidos con cada acción
El Análisis DOFA
El análisis DOFA es una herramienta de gestión de riesgos negativos internos que nos permite identificarlos a partir de debilidades, de riesgos negativos externos a partir de amenazas, de riesgos positivos internos a partir de fortalezas y riesgos positivos externos oportunidades.
Una vez realizado este paso se tendrá un Registro de riesgos que incluye el nombre de los riesgos identificados, el nombre del responsable del riesgo, una lista de posibles respuestas y las causas de los riesgos.
3. Análisis cualitativo del riesgo
En este paso se evalúa el impacto y la probabilidad de los riesgos identificados. Se priorizan los riesgos según su potencial impacto sobre el proyecto. Para esta priorización también se evalúan otras características dando respuestas a estas preguntas:
- ¿La materialización del riesgo impactará los objetivos estratégicos de la organización?
- ¿El riesgo es fácil o difícil de detectar?
- ¿Si ocurre el riesgo, desencadenará otros riesgos?
- ¿El riesgo es fácil o difícil de gestionar?
- ¿Otros interesados pueden ser afectados por la materialización de este riesgo?
Las metodologías de gestión de riesgos más usadas para esta evaluación y priorización de los riesgos son:
Matriz de probabilidad e impacto
En esta metodología de gestión de riesgos se representa con una tabla de doble entrada que combina la probabilidad y el impacto para luego priorizar los riesgos. Puede construirse una matriz diferente para cada objetivo del proyecto (alcance, tiempo, costo).
Luego de obtener el puntaje del impacto y la probabilidad de ocurrencia de cada riesgo, se asigna la calificación multiplicando el impacto por la probabilidad de ocurrencia.
Diagrama de burbujas
Es un gráfico de dispersión en el cual se representan los puntos en forma de burbujas. El tamaño de las burbujas corresponde a la cantidad de riesgos ubicados en cada zona. Esta herramienta de gestión de riesgos gráfica permite representar hasta tres dimensiones (Urgencia, Detectabilidad, Impacto).
4. Análisis cuantitativo del riesgo:
En este paso se analiza numéricamente la probabilidad de cada riesgo y su consecuencia sobre los objetivos del proyecto. Se realiza para riesgos priorizados que presentan un potencial significativo para afectar el cumplimiento de los objetivos del proyecto.
Las principales herramientas para este paso son:
Análisis de Montecarlo
Es un método utilizado para, mediante una simulación matemática compleja, realizar estimaciones en caso de que existan parámetros que muestran variabilidad. Para el riesgo de costo la simulación utiliza las estimaciones de costos del proyecto. Para el riesgo de cronograma se utilizan el diagrama de red del cronograma y las estimaciones de duración. Un análisis cuantitativo integral del riesgo de costos-cronograma utiliza ambas entradas.
Valor monetario esperado
Es una técnica de análisis que hace el cálculo para determinar el promedio de todos los resultados posibles cuando el futuro exige una serie de situaciones particulares que pueden o no en última instancia suceder. Se obtiene de multiplicar la probabilidad de ocurrencia de cada situación por su impacto monetario y es una metodología de gestión de riesgos común.
Árbol de decisión
Es un diagrama que describe las implicaciones de elegir una u otra alternativa entre todas las alternativas disponibles. La resolución del árbol de decisión indica qué alternativa produce el mejor valor esperado para el tomador de decisiones cuando todas las implicaciones, costos y beneficios son cuantificados.
5. Planeamiento de la respuesta al riesgo:
En este paso se desarrollan opciones y se determinan acciones para mejorar las oportunidades y reducir las amenazas.
Estrategias para Amenazas
Las amenazas no gestionadas pueden llevar a retrasos, sobrecostos, déficit en el desempeño o pérdida de reputación. Para contrarrestar esas amenazas se pueden usar las siguientes estrategias:
Escalar: cuando el riesgo está fuera de los límites del proyecto o autoridad del Director de Proyecto. Consiste en trasladar la decisión sobre la respuesta del riesgo a un nivel superior (ej. Director de programa, Director de portafolio o Patrocinador).
Evitar: esta estrategia consiste en cambiar las condiciones originales de realización del proyecto para eliminar la probabilidad de ocurrencia del riesgo identificado. Los ejemplos de las acciones evasivas pueden incluir la eliminación de la causa de una amenaza, la extensión del cronograma, el cambio de la estrategia del proyecto o la reducción del alcance.
Transferir: trasladar el impacto negativo del riesgo hacia un tercero puede ser otra estrategia para responder a las amenazas. Un ejemplo clásico de esta estrategia consiste en contratar un seguro o colocar una penalidad en el contrato con el proveedor en caso de incumplimiento.
Mitigar: consiste en realizar actividades que permitan disminuir la probabilidad de ocurrencia y/o el impacto. Por ejemplo, instalar un sistema de alarmas en caso de incendio para disminuir el impacto.
Aceptar: se basa en no realizar actividades previas a la materialización del riesgo. La aceptación puede ser activa o pasiva. En la aceptación activa se define cómo actuar en caso de que ocurra el riesgo. Por ejemplo, se determinan instrucciones de cómo seguir facturando si hay un corte de energía o se establece una reserva para contingencias. Por otro lado, en una aceptación pasiva, no se planifican acciones o reservas con anticipación, sino que se actúa sobre el riesgo una vez que aparece, se revisa periódicamente para asegurarse de que no cambie.
Estrategias para oportunidades
Las oportunidades aprovechadas pueden conducir a reducción de tiempo y costo, mejora en el desempeño o buena reputación.
Escalar: si la oportunidad excede los límites del proyecto o autoridad del Director de Proyecto, esta estrategia consiste en notificar sobre ese riesgo positivo a un superior (ej. Director de Programa o Portafolio o Patrocinador del proyecto).
Explotar: consiste en realizar acciones para asegurar que la probabilidad de ocurrencia de esa oportunidad sea 100%. Por ejemplo, utilizar una nueva tecnología o contratar un miembro del equipo con excelentes competencias.
Compartir: se basa en aprovechar las sinergias de otra persona u organización mejor capacitada para capturar las oportunidades del mercado. Por ejemplo, una unión transitoria de empresas aumentará la probabilidad de ganar una licitación, aunque seguramente habrá que repartir los beneficios entre esas empresas.
Mejorar: en esta estrategia se realizan acciones para aumentar la probabilidad de ocurrencia y el impacto. Por ejemplo, se implementan metodologías ágiles con recursos 100% dedicados al proyecto para acortar la duración.
Aceptar: si las oportunidades son de baja prioridad o no son rentables las otras alternativas (explotar, compartir, mejorar), una aceptación pasiva sería dejar esa oportunidad en la lista de observación por si cambia su estado a futuro. Por su parte, la aceptación activa podría ser dejar una reserva para contingencias (recursos, dinero) para aprovechar la oportunidad en caso de que ocurra.
Para seleccionar la mejor estrategia se deben tener en cuenta criterios como el costo de la respuesta, la efectividad de la respuesta, la disponibilidad de recursos, las restricciones en tiempo y la introducción de riesgos adicionales generados por la implementación de la estrategia inicial.
6. Implementación de la respuesta a los riesgos
En este paso, es importante resaltar que la implementación de las actividades necesarias, de acuerdo con la estrategia seleccionada en el paso anterior, está a cargo de quien se haya definido como responsable de cada uno de los riesgos. Recuerde que la gestión de riesgos es una cuestión de trabajo en equipo y aunque el director del proyecto no es responsable de todos los riesgos del proyecto, su función principal es influir sobre su equipo, y en él sobre los responsables de cada riesgo, para que ejecuten las respuestas.
7. Monitoreo y control del riesgo:
En este paso se lleva a cabo el seguimiento de los riesgos identificados, se detectan aquellos riesgos residuales no identificados con anterioridad y se identifican nuevos riesgos.
Las principales herramientas de gestión de riesgo utilizadas en este paso son:
Análisis del desempeño técnico: consiste en comparar los datos técnicos del proyecto con el plan original. Por ejemplo, cantidad de defectos, capacidad de almacenamiento, tiempo de procesamiento, etc. Las desviaciones entre los datos y el plan sirven de señal de advertencia para detectar riesgos potenciales.
Análisis de reserva: se basa en comparar la reserva de contingencia que está quedando en relación con los riesgos restantes. El resultado de la aplicación de esta herramienta es la respuesta a la pregunta ¿la reserva restante es suficiente?
Auditorías de riesgos: evalúa la efectividad de los procesos de gestión de riesgos y las respuestas implementadas a cada riesgo.
Reuniones de revisión de riesgos: son reuniones en las que se actualiza el estado de los riesgos identificados e identificar nuevos riesgos.
Los resultados de este paso son respuestas a las siguientes preguntas:
- ¿El nivel de riesgo general del proyecto ha cambiado?
- ¿El enfoque de gestión de riesgos sigue siendo adecuado?
- ¿Los supuestos siguen siendo válidos?
- ¿Se respetan las políticas y procedimientos de gestión de riesgos establecidos?
Para finalizar, es importante resaltar que estos siete pasos son aplicables tanto para proyectos predictivos como para proyectos iterativos o ágiles. En el caso de proyectos ágiles se debe tener en cuenta que en este tipo de proyectos hay mayor incertidumbre y riesgo, por lo tanto, los riesgos se consideran en el momento de seleccionar el contenido de cada iteración y se gestionan durante cada iteración.
Esperamos que este artículo, junto con otros relacionados que hemos dado a conocer anteriormente, sean una ayuda para la implementación o mejoramiento de la gestión de riesgos en su organización. No olvide que puede recibir este y otros contenidos relacionados vía email subscribiéndose a nuestro blog. También, recuerde que en Pensemos hemos desarrollado un Software de Gestión de Riesgos, una herramienta que ayuda a identificar, gerenciar y reducir el impacto de las amenazas en su organización. Asimismo, hemos ideado una solución que le brinda una visión global del estado de cosas en su organización y una mejor gestión de riesgos, de auditoría interna y cumplimiento que puede conocer aquí.
Contáctenos si quiere conocer cómo esta herramienta se ajusta a las necesidades de su empresa.