Gestionando los riesgos de un proyecto

Publicado el 09 octubre 2016 por Esparza @jamaesparza @innovatic2000
Tiempo estimado 3:02 minutos. 

Existen acontecimientos en el transcurso de un proyecto que pueden hacer que no se consigan los objetivos marcados y que impactan sobre aspectos como el coste, tiempo o alcance. Posiblemente a cualquier director de proyecto se le ocurrirían multitud de ejemplos reales y que han impactado alguna vez en su gestión,

“Se reestructura la organización y cambia el equipo de proyecto”“Se vende parte de la compañía afectando al alcance del proyecto”“Surge un nuevo negocio o cambia el mercado y el proyecto deja de ser rentable”“Los equipos previstos para la compra dejan de fabricarse”“Las condiciones climatológicas impactan considerablemente en la duración del proyecto”“El software base sobre la construcción del proyecto queda obsoleto y deja de mantenerse”….
Es imposible controlar y conocer a priori todos los acontecimientos que pudieran ocurrir, sin embargo, sí es posible intentar anticiparse y gestionar de manera formal mediante técnicas de gestión de riesgos.¿Qué es un riesgo?Un riesgo es la probabilidad de ocurrencia de un evento que pueda impactar de forma negativa (amenaza) o positiva (oportunidad) en el proyecto. Por su naturaleza se trata de algo dinámico, es decir, aparecen y desaparecen riesgos, cambian las probabilidades de ocurrencia en el tiempo etc., por lo que su detección a tiempo es primordial y su gestión debe de ser continuada.

Todo riesgo tiene al menos las siguientes características:Nombre y descripción del riesgoTipo: Estratégico, organizativo, funcional, técnico etc.Externo o interno al proyectoTipo de impacto: Positivo (oportunidad) – Negativo (amenaza)Probabilidad de ocurrencia del eventoImpacto: cuanto afecta al proyecto y en que dimensiones (alcance, tiempo, coste etc.)Gestionar el riesgoLa gestión del riesgo es el proceso de planificar, detectar, analizar, responder y controlar los riesgos. Con la planificación básicamente estaremos definiendo como vamos a realizar las tareas de detección, análisis, respuesta y control. Se suele determinar o definir la metodología que usaremos, el equipo de gestión de riesgos, el formato de los riesgos, la definición de cómo se va a evaluar la probabilidad y el impacto, la matriz de riegos que usaremos (combinación entre la probabilidad de ocurrencia y el impacto),  se podrá definir una “Risk Breakdown Structure” o estructura de desglose de riesgos para categorizar etc.

Ejemplo de diseño de matrices de riesgo


La detección y análisis no es sencilla y el resultado sería una lista de riesgos con el formato y características definidas en el plan. No hay que confundir un riesgo con un hecho, es decir, el riesgo es siempre una probabilidad mientras que el hecho ya ha ocurrido.

Durante el análisis del riesgo, tanto en la probabilidad de ocurrencia como en el impacto, se podrá evaluar de forma cualitativa o cuantitativa en función de las necesidades y del grado de exactitud que podamos tener en cada fase del proyecto:Cualitativamente con valores discretos: Por ejemplo, probabilidad de ocurrencia (muy alta, alta, media, baja) o impacto (crítico, alto, medio, bajo)Cuantitativamente(probabilidad de ocurrencia entre 0 y 1 o %, Impacto cuantificado en euros etc.)A partir de los valores anteriores podremos confeccionar las matrices de riesgos, conforme  se haya definido en el plan, y de esta forma tendremos clasificados los riesgos para su tratamiento.Una vez que hemos detectado, analizado y clasificados los riesgos es necesario establecer una respuestapara cada riesgo. Existen las siguientes posibilidades de tratamiento:1 Eliminar: acciones para eliminar completamente el riesgo. No siempre es posible o las acciones son muy costosas.2 Mitigar o reducir: acciones con el objetivo de reducir la probabilidad de ocurrencia intentando que no se materialice. Se trata de respuestas preventivas como las anteriores aunque habitualmente más realistas y menos costosas.3 Transferir: acciones que transfieran el riesgo fuera del proyecto ó incluso la organización etc. Por ejemplo contratar un seguro que cubra el impacto en caso de materializarse.4 Asumir el riesgo y no hacer nada o  establecer un conjunto de acciones que se realizarán solo si ocurre el evento. 5 Provocar: en el caso de las oportunidades podrían establecerse acciones para intentar que el acontecimiento se produzca e impactar favorablemente en el proyecto.Como es de imaginar todas las acciones anteriores tendrán un coste y un esfuerzo y no tendría sentido implantar respuestas o medidas cuyo coste fuera inviable con respecto al impacto o probabilidad del riesgo.Finalmente, el control del riesgo se refiere a la medición y puntos de control de los riesgos durante el proyecto y que servirá para mantener la lista de riesgos actualizada así como medir el impacto real en caso de producirse algún acontecimiento.Podremos observar que el objetivo final es intentar anticipar los riesgos, conocerlos y tener mecanismos de respuesta en el caso de que se materialicen y además realizando la gestión de forma continuada durante el proyecto.Una vez expuestos los conceptos básicos del tratamiento de los riesgos en un proyecto (especialmente proyectos grandes en entornos cambiantes), reseñar que la gestión de riesgos es de aplicación en muchas otras áreas  en las organizaciones como pudieran ser en la ejecución de políticas o estrategias, impactos normativos, economía, finanzas, seguridad, industria etc.  También mencionar que existen variedad de certificaciones, metodologías, estándares y herramientas que nos permitirán tener una gestión conforme áreas de aplicación y necesidades.

Ejemplo de RBS

Certificación de PMI Risk Management Professional (Project Management Institute)https://www.pmi.org/Certification/risk-management-professional-rmp.aspx(Handbook PMI-RMP) http://www.pmi.org/Certification/~/media/PDF/Certifications/PMI-RMP_Handbook.ashx
Prince2 y la gestión de riesgos http://prince2.wiki/RiskITIL y la gestión de riesgos http://wiki.es.it-processmaps.com/index.php/ITIL_Gestion_del_Riesgo

MAGERIT V.3.: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Informaciónhttp://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html