Parte 2

Gestión de Riesgos en el proyecto

* ¿Cuáles son los procesos a realizar para gestionar los riesgos en el proyecto?[1]

1) Planificar la Gestión de los Riesgos

* A través de este proceso el DP planifica cómo identificar y analizar los diferentes riesgos que puede enfrentar el proyecto, luego prepara una estrategia para hacer frente a los riesgos que se presenten y finalmente cómo controlar si la estrategia da o no resultado y qué hacer.

* De una planificación cuidadosa y explícita dependerá el éxito de los otros procesos de gestión de Riesgos y la asignación de recursos para la gestión de riesgos. Dada la importancia de estos procesos, la planificación debe darse al comienzo de la planificación del Plan para la dirección del proyecto e ir completándose poca poco a medida que se van planificando las otras áreas.

* Para adelantar esta tarea el DP puede utilizar técnicas analíticas (identificar la aversión al riesgo entre los interesados, por ejemplo), reuniones o acudir al juicio de expertos para definir qué pasos seguir y cómo hacerlo.

* Al final el “El plan de gestión de los riesgos incluye (PMBOK, p. 316-318) lo siguiente:

– Metodología. Define los enfoques, las herramientas y las fuentes de datos que se utilizarán para llevar a cabo la gestión de riesgos en el proyecto.

– Roles y responsabilidades. Define el líder, el apoyo y los miembros del equipo de gestión de riesgos para cada tipo de actividad del plan de gestión de los riesgos, y explica sus responsabilidades.

– Presupuesto. Estima, sobre la base de los recursos asignados, los fondos necesarios para su inclusión en la línea base de costos, y establece los protocolos para la aplicación de la reserva para contingencias y la reserva de gestión.

– Calendario. Define cuándo y con qué frecuencia se llevarán a cabo los procesos de gestión de riesgos a lo largo del ciclo de vida del proyecto, establece los protocolos para la utilización de las reservas para contingencias del cronograma y establece las actividades de gestión de riesgos a incluir en el cronograma del proyecto.

– Categorías de riesgo. Proporcionan un medio para agrupar las causas potenciales de riesgo. Se pueden utilizar diversos enfoques, por ejemplo, una estructura basada en los objetivos del proyecto por categoría. Una estructura de desglose de riesgos (RBS) ayuda al equipo del proyecto a tener en cuenta las numerosas fuentes que pueden dar lugar a riesgos del proyecto en un ejercicio de identificación de riesgos.

– Definiciones de la probabilidad e impacto de los riesgos. La calidad y la credibilidad del análisis de riesgos requieren que se definan distintos niveles de probabilidad e impacto de los riesgos específicos para el contexto del proyecto. Las definiciones generales de los niveles de probabilidad e impacto se adaptan a cada proyecto individual durante el proceso Planificar la Gestión de los Riesgos para su uso en procesos subsiguientes. La Tabla anexa es un ejemplo de definiciones de impactos negativos que se podrían utilizar en la evaluación de los impactos de riesgos relacionados con cuatro objetivos del proyecto. (También pueden elaborarse tablas similares desde una perspectiva de impactos positivos).

– Matriz de probabilidad e impacto. Una matriz de probabilidad e impacto es una cuadrícula para vincular la probabilidad de ocurrencia de cada riesgo con su impacto sobre los objetivos del proyecto en caso de que ocurra dicho riesgo. Los riesgos se priorizan de acuerdo con sus implicaciones potenciales de tener un efecto sobre los objetivos del proyecto.

El enfoque típico para priorizar los riesgos consiste en utilizar una tabla de búsqueda o una matriz de probabilidad e impacto. La organización es la que fija normalmente las combinaciones específicas de probabilidad e impacto que llevan a calificar un riesgo de importancia “alta”, “moderada” o “baja”.

– Revisión de las tolerancias o aversión al riesgo de los interesados. Las tolerancias de los interesados, según se aplican al proyecto específico, se pueden revisar en el marco del proceso Planificar la Gestión de los Riesgos.

– Formatos de los informes. Los formatos de los informes definen cómo se documentarán, analizarán y comunicarán los resultados del proceso de gestión de riesgos. Describen el contenido y el formato del registro de riesgos, así como de cualquier otro informe de riesgos requerido.

– Seguimiento. El seguimiento documenta cómo se registrarán las actividades de gestión de riesgos para beneficio del proyecto en curso y cómo se auditarán los procesos de gestión de riesgos.

2) Identificar los riesgos.

* Frame[2] nos indica que riesgos hay en todas partes, en todas las áreas. Solo cuando tomamos decisiones con certeza total (situación muy difícil de obtener) podríamos decir que no corremos riesgos. La identificación y clasificación de los riesgos, de acuerdo a la planificación realizada, es tarea vital para el DP.

Como los riesgos están en todas las áreas, el DP debe revisar en primer término todos los documentos existentes del proyecto. Puede complementar con la realización de reuniones con el Equipo o con los Interesados para discutir fuentes de riesgo y análisis de los supuestos. También puede llevar a cabo un análisis DOFA o un análisis casusa-efecto y consultar expertos para que ayuden en la identificación. Debe tener en cuenta que “identificar los riesgos es un proceso iterativo debido a que pueden evolucionar o se pueden descubrir nuevos riesgos conforme el proyecto avanza a lo largo de su ciclo de vida. La frecuencia de iteración y la participación en cada ciclo varía de una situación a otra” (PMBOK p. 321).

* El resultado de este proceso será un documento de registro de los riesgos identificados, colocando en algunos casos la causa o el efecto del riesgo identificado y las sugerencias dadas para poder enfrentarlo, si se presenta. La identificación debe describir de la manera más clara y sucinta cada uno de los riesgos.

  1. Para ver todos los detalles de la gestión de recursos humanos ver el capítulo 13 correspondiente en: Project Management Institute. 2013. Guía de los Fundamentos para la Dirección de Proyectos (Guía del PMBOK). Quinta Edición, Pensilvania, USA y Mulcahy, Rita. 2013. Preparación para el Examen PMP. Octava Edición. RMC Publications. USA y Lledó Pablo. 2013. Administración de proyectos: El ABC para un director de proyectos exitoso. 3ra Ed. Victoria, BC, Canadá.
  2. Frame, Davidson J. 2011. Nueva Dirección de proyectos. La herramienta para una era de cambios rápidos. Primera edición de la reimpresión. Granica Buenos Aires, Argentina. P.124

3) Realizar el análisis cualitativo de riesgos.

* El PMBOK establece que el análisis cualitativo es el proceso de priorizar riesgos para análisis o acción posterior, evaluando y combinando la probabilidad de ocurrencia e impacto de dichos riesgos.

* Categorización de riesgos:

Los riesgos se pueden clasificar teniendo en cuenta varias categorías. La clasificación es útil para comprender mejor los riesgos y encontrar las estrategias de respuesta. Las categorías más usadas son[3]:

a) Según su origen, pueden ser riesgos externos o internos (dependiendo si su causa viene de la propia organización, o de fuera de ella).

– Externos: regulaciones, impactos ambientales, movimientos del mercado, variaciones climáticas, ausencia de fuentes de financiamiento; asistencia técnica deficiente; cambios en actitud o interés del cliente, diferencias culturales, proveedores, actitud de socios y aliados, burocratización.

– Internos: Falta de alineación de los objetivos con planeación estratégica; cambios al alcance, al cronograma, a los costos, a los estándares de calidad; experiencia del equipo; disponibilidad de equipos y materiales; calidad de Dirección; procesos no alineados a la estrategia; falta de liderazgo; fallas en capacitación; falta de consenso; incoherencias en la planificación, ejecución y control; falla en información de desempeño; fallas en la comunicación; grado de participación y compromiso; perdidas de material.

b) Según su causa, pueden ser riesgos de acciones fortuitas (por ejemplo, un desastre natural), o de acciones intencionadas (como por ejemplo de que un empleado descontento haga una acción indeseada).

– Por causas políticas: Cambios de legislación o de prioridades en el gobierno, cambios en la opinión pública, fortaleza del gobierno, grado de violencia existente; huelgas y problemas laborales.

– Por cambios tecnológicos. Tipos de equipos, de metodologías, de productos.

– Por causas económicas: Inflación, tipo de competencia, tipo de cambio, variaciones en oferta, demanda y precios, recesión económica; tasas de interés, grado de liquidez.

c) Según su ámbito, pueden ser riesgos estratégicos (pérdida de clientes, problemas con proveedores…), riesgos del mercado (aparición de competidores o de productos sustitutivos…), riesgos económicos o financieros (problemas de liquidez, aumento del precio de materias primas…), riesgos de producción (escasez de materias primas, rotura de una máquina…), riesgos laborales (todo lo referente a problemas laborales, riesgos ambientales (incendios, inundaciones…), etc.

* Para hacer el análisis cualitativo de los riesgos es necesario tener en cuenta los siguientes pasos:

a) evaluación de la probabilidad y el impacto. Se puede realizar en reuniones del equipo o de grupos de clientes, ayudados por expertos que pueden calificar los riesgos.
b) Elaboración de la matriz de probabilidad e impacto.
c) Evaluación de las prioridades y definir qué riesgos tienen urgencia de unarespuesta rápida.
d) Actualizar los riesgos, definir lecciones aprendidas y archivo en el sistema de información de la organización, para que otros lo puedan usar.

En el análisis cualitativo usamos la tabla presentada arriba. Hay siempre que evaluar la calidad de los datos que se utilizan para hacer los análisis. Si la calidad es baja, los resultados también lo serán.

4) Realizar el análisis cuantitativo de riesgos

* Es el proceso de analizar numéricamente el efecto de los riesgos identificados y priorizados sobre los objetivos generales del proyecto; hallamos qué probabilidad existe de alcanzar los objetivos. Sirve para apoyar una mejor toma de decisiones, pues mediante el análisis se puede comprobar mejor qué riesgos ameritan o no una respuesta; nos permite hacer un cálculo de la reserva de contingencia y nos da al final una mejor priorización de los riesgos.

El análisis cuantitativo es una evaluación más objetiva que el cualitativo, se basa más en el valor esperado del impacto expresado en forma monetaria.

* El PMBOK indica que “por lo general, el proceso Realizar el Análisis Cuantitativo de Riesgos se realiza después del proceso Realizar el Análisis Cualitativo. En algunos casos puede que no sea posible llevar a cabo el proceso cuantitativo, debido a la falta de datos suficientes para desarrollar los modelos adecuados o de recursos para llevarlo a cabo. El director del proyecto debe utilizar el juicio de expertos para determinar la necesidad y la viabilidad del análisis cuantitativo de riesgos.

El proceso Realizar el Análisis Cuantitativo de Riesgos debe repetirse, según las necesidades, como parte del proceso Controlar los Riesgos, para determinar si se ha reducido satisfactoriamente el riesgo global del proyecto. Las tendencias pueden indicar la necesidad de una mayor o menor atención a las actividades adecuadas en materia de gestión de riesgos”.

* Hay varias técnicas para hacer el análisis cuantitativo: entrevistas con expertos, uso de registros históricos, análisis del valor monetario esperado, análisis Monte Carlo y análisis por árboles de decisión y análisis de sensibilidad. Muchos de estos métodos están apoyados por software especializado que permite hacer los análisis.

5) Planificar la respuesta a los riesgos

* La planificación de la respuesta a los riesgos es un proceso que consiste en elaborar estrategias para enfrentar los riesgos priorizados, si se presentan. Los de menor prioridad se archivan en una lista y se monitorean para ver la evolución.

* Las respuestas a los riesgos requiere definir la estrategia a seguir y designar una persona que asuma la responsabilidad de poner en marcha la estrategia al momento en que se presente el riesgo. También es importante pensar que variables o hechos nos pueden servir de alerta para la presencia del riesgo.

* “Las respuestas a los riesgos deben adecuarse a la importancia del riesgo, ser rentables con relación al desafío a cumplir, realistas dentro del contexto del proyecto, acordadas por todas las partes involucradas. A menudo es necesario seleccionar la respuesta óptima a los riesgos entre varias opciones” (PMBOK, p.343).

* Para definir las estrategias hay varias opciones[4]:

a) Para amenazas o riesgos negativos.

– Evitar. Se trata de eliminar la causa que está generando el riesgo. Implica cambiar las condiciones o eliminar un paquete de trabajo del proyecto. Esta situación puede llegar hasta la cancelación del proyecto.

– Mitigar. En esta estrategia se busca disminuir el impacto que se genera o disminuir la probabilidad de ocurrencia. Ejemplos de mitigación son los que presenta Soto[5]

– Transferir. Trasladar el riesgo hacia un tercero, por ejemplo, mediante la contratación de un seguro.

– Aceptar. Si el análisis muestra que no se puede hacer nada, se acepta que el riesgo se pueda presentar. Se distingue entre aceptación pasiva (no se prevé nada) y activa (se plantea una forma de actuar, si se presenta el riesgo y se involucra en la contingencia). Esta estrategia es común para riesgos con impactos positivos u oportunidades.

Por lo general evitar y mitigar se utilizan para riesgos de alta prioridad y transferir y aceptar para los de baja. Un seguro no elimina el riesgo, lo transfiere; pero se pueden generar riesgos secundarios por incumplimiento de la aseguradora o por falta de liquidez en la organización.

* Las estrategias para dar respuesta a oportunidades o riesgos con impacto positivo son, además de aceptar:

– Explotar: realizar acciones en el proyecto que permitan concretar la oportunidad. Es lo contrario a evitar.

– Mejorar: Llevar a cabo actividades que aumenten la probabilidad de que el riesgo ocurre o mejore su impacto. Lo contrario a mitigar.

– Compartir. Aprovechar las posibilidades de cooperación con otra organización o persona que tiene mayores posibilidades de lograr usar la oportunidad.

* Al final de la implementación de las estrategias la organización debe actualizar su registro de riesgos, pues es factible que hayan quedado riesgos residuales o que se hayan originado riesgos secundarios como efecto de la implementación. Juntos tipos de riesgos hay que analizarlos y documentarlos. También es necesario que se actualicen los documentos y estrategias de otras áreas para ver el impacto de los riesgos. Las estrategias de riesgos deben ser comunicadas a los interesados.

5) Controlar los riesgos.

* El PMBPOK (P.349) define este proceso como: “el proceso de implementar los planes de respuesta a los riesgos, dar seguimiento a los riesgos identificados, monitorear los riesgos residuales, identificar nuevos riesgos y evaluar la efectividad del proceso de gestión de los riesgos a través del proyecto”.

* En el proceso se recoge información sobre la implementación de las estrategias, se analiza su efectividad, para dar recomendaciones sobre acciones correctivas, se documentan las soluciones tomadas ante riesgos no previstos, se recogen y analizan los riesgos residuales y secundarios, se reevalúan los riesgos que no se han presentado para actualizar sus estrategias, se cierran riesgos que no se consideran ya prioritarios y se evalúan las reservas de contingencia y de gestión, para actualizarlas. También se hace una evaluación del desempeño del trabajo de los encargados de los riesgos y se presentan solicitudes de cambio de algunas estrategias. Los resultados de toda la observación sirven entonces para actualizar todo el proceso.

  1. PMBOK, op. Cit. P.344-345; Lledo, op. Cit. P. 294-295 y Mulcahy, op. Cit. 428-429.
  2. Soto Daniels, Juan R. 2011. Ejemplos de mitigación de riesgos.