Riesgos

Los riesgos que afectan a las organizaciones pueden tener consecuencias para el desempeño económico de una empresa, su reputación profesional así como sus resultados ambientales, sociales y de seguridad. En consecuencia, una gestión de riesgos eficaz ayuda a las organizaciones a rendir adecuadamente en un entorno cambiante y repleto de incertidumbres.

La gestión de riesgos es la identificación, evaluación y priorización de riesgos (definidos en la norma ISO 31000 como las incertidumbres que surgen durante la consecución de un objetivo) para minimizar, gestionar, seguir y controlar la probabilidad o el impacto de un evento adverso o para maximizar la realización de oportunidades. Las amenazas pueden venir de incertidumbres económicas, obstáculos legales, problemas de gestión, accidentes, desastres naturales o causas de fuerza mayor o eventos o sucesos con raíces impredecibles o inciertas.

La gestión de riesgos de proyecto es un proceso continuo que empieza en la fase de planificación del proyecto y acaba una vez que el proyecto se ha confirmado y entra en funcionamiento.

En este documento describimos en detalles los pasos clave para la gestión de riesgos.

image2.png

Identificación de riesgos

La identificación de riesgos es el proceso de identificar y enumerar todos los riesgos potenciales que pueden afectar negativamente o positivamente a un proyecto.

Nota

En Sciforma nos centramos principalmente en los riesgos negativos.

¿Qué es un riesgo?

Un riesgo es un evento o una serie de eventos inciertos que, si se producen, afectan al desarrollo de las actividades y objetivos de la empresa.

Los riesgos pueden surgir debido a influencias internas (por sucesos que se producen dentro de la organización) y externas (por sucesos que no están ligados a la organización).

  • Los riesgos internos pueden ser consecuencia de factores (endógenos en las que se puede influir) como:

    • Factores humanos (aptitud de los responsables, huelgas)

    • Factores tecnológicos (tecnologías emergentes)

    • Factores físicos (problemas de maquinaria, incendios, robos)

    • Factores operativos (acceso a crédito, recortes de costos, publicidad)

  • Los riesgos externos pueden ser consecuencia de factores (exógenos, que no se pueden controlar) como:

    • Factores económicos (riesgos del mercado, presión tarifaria)

    • Factores naturales (inundaciones, terremotos)

    • Factores políticos (cumplimiento de requisitos y reglamentos impuestos por los gobiernos)

Durante la fase de identificación y basándose en la experiencia de proyectos previos, los jefes de proyecto deben reunir una lista de riesgos. A partir de la lista inicial con los riesgos identificados se puede crear un registro de riesgos. Este les permite asegurarse de que todos los elementos que suponen un riesgo se analizan, priorizan y controlan.

Es recomendable que el registro de riesgos incluya los siguientes campos:

  • Tipo de riesgo

  • Descripción

  • Impacto en el costo

  • Probabilidad

  • Nivel de riesgo

  • Respuestas posibles

  • Responsable de la acción

Una vez que se han identificado todos los riesgos, se pueden crear planes de mitigación.

Un plan de mitigación de riesgo debe incluir las acciones que debe realizar cada una de las partes implicadas cuando se identifica un riesgo. El plan debe incluir la respuesta por la que se opta, el responsable de llevarla a cabo, los resultados de un análisis cuantitativo y cualitativo y el presupuesto y el marco temporal disponibles para responder al riesgo.

Análisis y priorización de riesgos

La fase de análisis determina el impacto y la probabilidad de que se produzca cada uno de los riesgos identificados y los prioriza para que los revisen los responsables.

El análisis debe enfocarse en dos pasos:

  1. Análisis cualitativo: Hay que asignar una gravedad, probabilidad de que se produzca, así como un impacto en los costos, el tiempo y la calidad a cada riesgo.

  2. Análisis cuantitativo: También hay que evaluar los impactos en los costos y el tiempo en términos monetarios y de días para anticipar las consecuencias (es decir, la penalización) que produce cada riesgo sobre el proyecto.

A continuación estos valores permiten evaluar los riesgos y definir la posición del riesgo en la Matriz de gravedad/probabilidad, que ilustra y compara los riesgos en función de su valor del nivel de riesgo.

El nivel de riesgo es el producto de la probabilidad y la posible gravedad del riesgo.

Esta matriz tiene varios objetivos:

  1. Ofrecer a los directivos una visión comprensiva de todos los riesgos.

  2. Ofrecer una mejor evaluación de los riesgos.

  3. Generar planes de acción para evitar la incidencia de los riesgos y mitigar sus impactos.

Matrix_-_Dashboards_full_screen_view.png

Presenta los siguientes colores:

Probabilidad x Gravedad

Nivel de riesgo

Green.png

1, 2 o 3

Mínimo

Light_Green.png

4 o 6

Bajo

Yellow.png

5, 8 o 9

Moderado

Orange.png

10, 12 o 16

Alto

Red.png

15, 20 o 25

Extremo

Por ejemplo: Si la probabilidad de un riesgo es «Posible» y su gravedad es «Mínima», el nivel de riesgo se calcula de la siguiente manera: 3 (Probabilidad) x 2 (Gravedad) = 6. En consecuencia, el nivel de riesgo se considera «Bajo» (image1.png) y así es como aparece en la matriz.

Mitigación de riesgos

Durante esta fase, el jefe de proyecto evalúa los riesgos de mayor nivel y adopta un plan para paliar sus consecuencias, gracias al control específico de cada riesgo. El objetivo de las estrategias de mitigación es reducir o eliminar totalmente la probabilidad o el impacto de un riesgo conocido o percibido antes de que lleguen a producirse efectos dañinos o desastrosos.

Para responder a los riesgos se pueden tomar varias medidas:

  1. Supresión del riesgo: Aunque eliminar completamente un riesgo es prácticamente imposible, una estrategia de supresión de riesgos puede «bloquear» tantas amenazas como sea posible para evitar las consecuencias costosas y perturbadoras de un evento dañino. Por ejemplo, los jefes de proyecto pueden modificar el plan del proyecto.

  2. Transferencia del riesgo: A veces, las consecuencias de un riesgo se comparten, transfieren o distribuyen entre varios participantes del proyecto o departamentos de la empresa. El riesgo también se puede compartir con un tercero (como un colaborador de la empresa). La transferencia o el reparto de riesgos se suele llevar a cabo mediante acuerdos contractuales.

  3. Reducción del riesgo: A veces, las empresas pueden reducir o mitigar los efectos que ciertos riesgos tienen en sus procesos. Esto puede lograrse ajustando ciertos aspectos del plan global de un proyecto o los procesos de la empresa, así como reduciendo su alcance.

  4. Aceptación del riesgo: A veces, desde el punto de vista empresarial, puede valer la pena aceptar un riesgo así que las organizaciones deciden convivir con él y con sus consecuencias. Este tipo de estrategia suele darse cuando el beneficio previsto de un proyecto es mucho mayor que el costo del riesgo potencial.

En pocas palabras, el objetivo de las estrategias de mitigación es tomar medidas proactivas y con anticipación. La mitigación de riesgos se basa en el dicho «Más vale prevenir que curar».

Puesta en marcha del plan de contingencia

Pese a que los planes de mitigación se ponen en marcha para disminuir la exposición a los riesgos, estos pueden materializarse de todas formas. En consecuencia, los jefes de proyecto deben determinar un plan de contingencia de riesgos para gestionarlos. Los planes de contingencia actúan como un amortiguador y atenúan el choque de los sucesos indeseados. Las respuestas de contingencia deben llevarse a cabo cuando un riesgo es inevitable o cuando se identifican suficientes signos de alerta o desencadenantes.

¿Cuáles son las diferencias principales entre un plan de mitigación y un plan de contingencia?

Plan de mitigación

Plan de contingencia

Es la acción que se lleva a cabo para evitar un riesgo antes de que se produzca.

Es la acción que se lleva a cabo para recuperarse de un riesgo después de que se materialice.

El plan de mitigación se puede considerar como el Plan A.

El plan de contingencia se puede considerar como el Plan B.

Los planes de mitigación son preventivos.

Los planes de contingencia son reactivos.

Las medidas necesarias para tratar los riesgos identificados se planean con antelación independientemente de la gravedad de un riesgo y de si se produce o no.

Las medidas necesarias se planean con antelación y se controlan ciertos signos desencadenantes, pero solo se pasa a la acción cuando aparecen los signos de alerta.

Ayuda a reducir la probabilidad y el impacto del riesgo identificado.

La probabilidad y el impacto no cambian, pero ayuda a controlar el impacto.

Seguimiento y control de riesgos

La fase final de la gestión de riesgos es su seguimiento y control. Esta fase debe organizarse para seguir riesgos potenciales, controlar la puesta en marcha de los planes de riesgo y evaluar la eficacia de los procesos de gestión de riesgos. El seguimiento y el control deben tener lugar durante todo el ciclo de vida del proyecto y mejoran y guían el proceso global de gestión de riesgos. Conviene recordar que los riesgos suelen evolucionar y están sumisos a cambios. Así que es indispensable revisar el proceso para gestionar los riesgos de forma proactiva.

El seguimiento y el control de riesgos son necesarios para:

  • Asegurarse de que se ponen en marcha planes de riesgo y evaluar su eficacia a la hora de reducir un riesgo.

  • Realizar el seguimiento de los riesgos identificados.

  • Controlar las condiciones desencadenantes para la contingencia.

  • Controlar los riesgos residuales e identificar los nuevos riesgos que surgen durante la ejecución del proyecto.

  • Actualizar los activos del proceso de organización.

El objetivo del control de riesgos es determinar si:

  • Las respuestas a los riesgos se han puesto en marcha como estaba previsto.

  • Las medidas de respuesta al riesgo son tan efectivas como esperado o hay que desarrollar nuevas respuestas.

  • Los postulados del proyecto siguen siendo válidos.

  • La exposición al riesgo ha cambiado desde el estado previo (determinado mediante el análisis de tendencia).

  • Se ha producido un desencadenante de riesgo.

  • Se siguen las políticas y los procedimientos adecuados.

  • Se han dado nuevos riesgos que no se habían identificado con anterioridad.

Relaciones con otros objetos de Sciforma

Los riesgos pueden tener una de las siguientes relaciones:

Risk_Relationships.png

Transformed_into.png

Transformado en

Esta relación tiene lugar cuando el riesgo alcanza el estado «Cerrado». A partir de ahí, el riesgo puede transformarse en otro objeto, permitiendo que el usuario siga controlando su evolución.

Los riesgos pueden transformarse en asuntos (1-1) y tareas (1-1).

Attached_to.png

Adjunto a

El riesgo puede adjuntarse a otro objeto, permitiendo que el usuario asocie algunos o todos los elementos que comparten. Esta conexión puede crearse y eliminarse sin ninguna consecuencia.

Los adjuntos (1-N) pueden adjuntarse a los riesgos.

LoopGrey

Duplicar y Adjuntar a

Esta relación se crea cuando el riesgo alcanza el estado «Duplicado». A partir de ahí, el riesgo puede tener una relación de primario-secundario con otro riesgo.

Un riesgo puede adjuntarse a otro riesgo (N-N) cuando se «conectan».