Análisis y gestión de riesgos

Resumen

El análisis y la gestión de riesgos es una práctica clave de la gestión de proyectos para garantizar que se produzcan el menor número de sorpresas mientras el proyecto está en marcha. Aunque nunca podemos predecir el futuro con certeza, podemos aplicar un proceso de gestión de riesgos sencillo y racionalizado para predecir las incertidumbres en los proyectos y minimizar la aparición o el impacto de estas incertidumbres. De este modo, se mejoran las posibilidades de que el proyecto finalice con éxito y se reducen las consecuencias de esos riesgos.

Este documento presenta el proceso estructurado de gestión de riesgos que se sigue en Nokia Siemens Networks y que ayuda a evitar situaciones de crisis e incorpora el aprendizaje de los errores del pasado. Destaca que una identificación y gestión de riesgos eficaz y temprana asegura la consecución de los objetivos del proyecto, lo que conlleva una reducción de los costes de reelaboración.

Introducción

Los miembros del equipo del proyecto, a distintos niveles, identifican y gestionan los riesgos de diferentes formas. Sin embargo, esto será ineficaz sin un marco estructurado de gestión de riesgos, ya que esto conduce a:

  • Evaluación incompleta del impacto, lo que lleva a la pérdida de:
    • Conocimiento del impacto global en los objetivos del proyecto, como alcance, tiempo, coste, y calidad
    • Identificación de los riesgos secundarios o nuevos que surgen de los riesgos ya identificados
  • Falta de transparencia y una brecha de comunicación dentro y fuera del equipo

    Por lo tanto, es muy importante para cualquier organización de proyectos establecer un marco de gestión de riesgos eficaz. Instaurar una práctica de este tipo como cultura del equipo del proyecto asegura:

    • Identificación y gestión de riesgos consciente y enfocada
    • El progreso del proyecto según lo deseado, con la menor cantidad de desviaciones o sorpresas, y en consonancia con los objetivos del proyecto y de la organización
    • Comunicación temprana y eficaz de los problemas del proyecto a la organización y a los interesados en el mismo
    • Una herramienta eficaz de creación de equipos, ya que se asegura el compromiso y la aceptación del equipo

    El ejemplo 1 muestra que la gestión de riesgos es un proceso iterativo y que cada faceta de la gestión de riesgos debe ser planificada y seguida durante cada fase del proyecto.

    Proceso de gestión de riesgos

    Exhibición 1 – Proceso de gestión de riesgos

    El marco de gestión de riesgos que se sigue en Nokia Siemens Networks proporciona directrices para:

    • Identificación continua de riesgos
    • Evaluación de riesgos
    • Definición de medidas de mitigación y contingencia de los riesgos
    • Seguimiento y control de riesgos
    • Medición de la eficacia de la identificación de riesgos
    • El marco de gestión de riesgos también proporciona plantillas y herramientas, tales como:

      • Un registro de riesgos para cada proyecto para hacer un seguimiento de los riesgos y problemas identificados
      • Una lista de comprobación de riesgos, que es una guía para identificar los riesgos basada en las fases del ciclo de vida del proyecto
      • Un repositorio de riesgos, que son todos los riesgos identificados a través de los proyectos hasta el momento

      Marco de gestión de riesgos

      Plan de gestión de riesgos

      El marco de gestión de riesgos exigido por la organización se revisa y se adapta para definir el plan de gestión de riesgos del proyecto cuando éste se inicia. El plan de gestión de riesgos incluye estas definiciones y directrices:

      • Lista de posibles fuentes y categorías de riesgo
      • Matriz de impacto y probabilidad
      • Plan de acción y reducción de riesgos
      • Plan de contingencia
      • Umbral de riesgo y métricas

      Identificación de riesgos

      Los riesgos deben ser identificados y tratados lo antes posible en el proyecto. La identificación de riesgos se realiza a lo largo del ciclo de vida del proyecto, con especial énfasis durante los hitos clave.

      La identificación de riesgos es uno de los temas clave en las reuniones periódicas de estado e informe del proyecto. Algunos riesgos pueden ser fácilmente evidentes para el equipo del proyecto -riesgos conocidos-; otros requerirán más rigor para ser descubiertos, pero siguen siendo predecibles.

      El medio para registrar todos los riesgos identificados a lo largo del proyecto es el registro de riesgos, que se almacena en el servidor central del proyecto.

      Las siguientes herramientas y directrices se utilizan para identificar los riesgos de forma estructurada y disciplinada, lo que garantiza que no se pase por alto ningún riesgo potencial significativo.

      1. Fuentes de riesgo

      Fuentes de riesgo

      Exhibición 2 – Fuentes de riesgo

      2. Categoría de riesgo

      La categoría de riesgo proporciona una lista de áreas que son propensas a los eventos de riesgo. La organización recomienda categorías estándar de alto nivel, que deben ser ampliadas en función del tipo de proyecto.

      Categorías de riesgo estándar proporcionadas por la organización

      Exhibit 3 – Categorías de riesgo estándar proporcionadas por la organización

      Análisis de riesgos

      El análisis de riesgos implica examinar cómo los resultados y objetivos del proyecto podrían cambiar debido al impacto del evento de riesgo.

      Una vez identificados los riesgos, se analizan para identificar el impacto cualitativo y cuantitativo del riesgo en el proyecto, de manera que se puedan tomar las medidas adecuadas para mitigarlos. Para analizar los riesgos se utilizan las siguientes pautas.

      3. Probabilidad de ocurrencia del riesgo

      1. Probabilidad alta – (80 % ≤ x ≤ 100%)
      2. Media-Probabilidad alta – (60 % ≤ x < 80%)
      3. Medio-Probabilidad baja – (30 % ≤ x < 60%)
      4. Probabilidad baja (0 % < x < 30%)
      5. 4. Impacto del riesgo

        1. Alto – Catastrófico (Calificación A – 100)
        2. Medio – Crítico. (Calificación B – 50)
        3. Bajo – Marginal (Calificación C – 10)
        4. Como guía para la Clasificación de Impacto se utiliza la siguiente matriz:

          Directriz de clasificación de impactos

          Exhibición 4 – Directriz de clasificación de impactos

          La puntuación representa los umbrales inferiores para la clasificación de los riesgos asumiendo condiciones «normales». Es necesario subir la puntuación al siguiente nivel o incluso al siguiente + 1, si el riesgo se ve impactado por factores críticos como:

          • Qué importancia tiene el cliente concreto
          • Si el proyecto es crítico para el desarrollo posterior de la relación con el cliente
          • El riesgo ya está en el punto de mira del cliente
          • Las penalizaciones específicas por desviaciones de los objetivos del proyecto están acordadas en el contrato con el cliente

          5. Exposición al Riesgo

          La Exposición al Riesgo o Puntuación de Riesgo es el valor que se determina multiplicando la Calificación de Impacto por la Probabilidad de Riesgo como se muestra en el Anexo 5.

          Matriz de Impacto-Probabilidad

          Exhibición 5 – Matriz de Impacto-Probabilidad

          Los colores representan la urgencia de la planificación de la respuesta al riesgo y determinan los niveles de información.

          6. Calendario de ocurrencia del riesgo

          Se identifica el calendario en el que este riesgo tendrá un impacto. Se clasifica en uno de los siguientes:

          Tiempo de ocurrencia del riesgo

          Exhibición 6 -Tiempo de ocurrencia del riesgo

          Además de clasificar los riesgos de acuerdo a las pautas anteriores, también es necesario describir el impacto en el costo, el cronograma, el alcance y la calidad con el mayor detalle posible según la naturaleza del riesgo.

          7. Ejemplos de clasificación de riesgos:

          Ejemplos de clasificación de riesgos

          Ejemplo 7 – Ejemplos de clasificación de riesgos

          Planificación de la respuesta a los riesgos

          Puede que no haya soluciones rápidas para reducir o eliminar todos los riesgos a los que se enfrenta un proyecto. Es posible que algunos riesgos deban ser gestionados y reducidos estratégicamente a lo largo de períodos más largos. Por lo tanto, deben elaborarse planes de acción para reducir estos riesgos. Estos planes de acción deben incluir:

          • Descripción del riesgo con la evaluación del mismo
          • Descripción de la acción para reducir el riesgo
          • Propietario de la acción de riesgo
          • Fecha de finalización comprometida de la acción de riesgo

          Todos los planes de acción de riesgo deben asignarse a la persona identificada para llevar a cabo el plan de acción.

          1. Planes de respuesta al riesgo

          Para cada riesgo, debe documentarse una respuesta al riesgo en el registro de riesgos de acuerdo con las partes interesadas. Esto debe ser garantizado por el director del proyecto.

          Los planes de respuesta a los riesgos se dirigen a los siguientes objetivos:

          1. Eliminar el riesgo
          2. Bajar la probabilidad de ocurrencia del riesgo

          3. Aminorar el impacto del riesgo en los objetivos del proyecto
          4. Los planes de respuesta al riesgo suelen tener un impacto en el tiempo y en los costes. Por ello, es obligatorio calcular con la mayor precisión posible el tiempo y el coste del plan de respuesta definido. Esto también ayuda a seleccionar un plan de respuesta entre las alternativas, y a verificar si el plan de respuesta es más costoso o tiene más impacto en uno de los objetivos del proyecto que el propio riesgo.

            Después de implementar con éxito un conjunto de planes de respuesta, la puntuación de un riesgo podría reducirse en consulta con las partes interesadas.

            Ejemplos:

            Respuesta al riesgo - Ejemplos

            Ejemplo 8 – Respuesta al riesgo – Ejemplos

            2. Desencadenantes del riesgo

            Para cada riesgo debe documentarse un desencadenante en el registro de riesgos. El desencadenante identifica los síntomas de riesgo o las señales de alerta. Indica que un riesgo ha ocurrido o está a punto de ocurrir. El desencadenante del riesgo también da una indicación de cuándo se espera que ocurra un determinado riesgo.

            Ejemplos:

            Ejemplos de desencadenantes de riesgos

            Ejemplo 9 – Ejemplos de desencadenantes de riesgos

            3. Propiedad del riesgo

            La regla básica es que la responsabilidad de la gestión de todos los riesgos en el proyecto recae en el director del proyecto.

            En base a esta regla básica se debe determinar un Propietario del riesgo (que no es necesariamente el director del proyecto) y nombrarlo en el Registro de riesgos. El Propietario de Riesgos es normalmente el que mejor puede supervisar el desencadenamiento del riesgo, pero también puede ser el que mejor puede impulsar las contramedidas definidas. El Propietario del Riesgo es responsable de informar inmediatamente de cualquier cambio en el estado de activación del riesgo y de impulsar las contramedidas definidas.

            Ejemplos:

            Ejemplos de Propietarios de Riesgos

            Ejemplo 10 – Ejemplos de Propietarios de Riesgos

            Seguimiento y control de riesgos

            El seguimiento y control de riesgos incluye:

            • Identificar nuevos riesgos y planificarlos
            • Seguir los riesgos existentes para comprobar si:
              • Es necesaria la reevaluación de los riesgos
              • Se ha disparado alguna de las condiciones de riesgo
              • .

              • Supervisar cualquier riesgo que pueda volverse más crítico con el tiempo
              • Abordar los riesgos restantes que requieren unplazo, planificado y gestionado con planes de acción de riesgos
            • Reclasificación de riesgos

              Para los riesgos que no se pueden cerrar, la criticidad tiene que bajar en un periodo de tiempo debido a la implementación del plan de acción. Si este no es el caso, entonces el plan de acción podría no ser efectivo y debería ser reexaminado.

            • Información de riesgos

              El registro de riesgos se actualiza continuamente, desde la identificación del riesgo hasta la planificación de la respuesta al riesgo y la actualización del estado durante el seguimiento y control del mismo. Este registro de riesgos del proyecto es la principal herramienta de información de riesgos y está disponible en el servidor central del proyecto, al que pueden acceder todas las partes interesadas.

              • La supervisión y el control de riesgos o la revisión de riesgos es un proceso iterativo que utiliza los informes de estado de progreso y el estado de los entregables para supervisar y controlar los riesgos. Esto es posible gracias a varios informes de estado, como los informes de calidad, los informes de progreso, los informes de seguimiento, etc..

                Las revisiones de riesgos son un punto obligatorio de las reuniones de hitos y/o de las reuniones regulares del proyecto, pero también pueden ejecutarse durante reuniones de revisión de riesgos planificadas por separado. Estas revisiones de riesgos deben realizarse regularmente. La frecuencia también podría determinarse en función del nivel de riesgo global de un proyecto.

                Umbral de riesgo

                Las prioridades de riesgo tienen que establecerse para dirigir el enfoque donde es más crítico. Los riesgos con la calificación de exposición al riesgo más alta son la prioridad más alta.

                Los riesgos con exposición baja pueden ser eliminados de los planes de mitigación, pero pueden necesitar ser revisados más adelante en el proyecto.

                El mandato de la organización es que si los proyectos tienen al menos un riesgo «Muy alto» o más de 3 riesgos «Altos», se debe buscar orientación de la dirección y de las partes interesadas, ya que el proyecto puede estar en alto riesgo de fracaso. Este es el umbral de riesgo recomendado. Los proyectos pueden personalizar el umbral en función de las necesidades del proyecto.

                Medición de la eficiencia de los riesgos

                Métricas de riesgo

                La eficiencia del análisis y la gestión de los riesgos se mide capturando las siguientes métricas durante el cierre del proyecto. Los resultados del análisis se utilizan para descifrar las lecciones aprendidas, que se actualizan en la base de datos de lecciones aprendidas de la organización.

                • Número de riesgos que se produjeron / Número de riesgos que se identificaron
                • ¿Fue el impacto de los riesgos tan grave como se pensó originalmente?
                • ¿Cuántos riesgos se repitieron?
                • ¿Cómo difieren los problemas y cuestiones reales que se enfrentan en un proyecto de los riesgos previstos?

                  Auditoría de Riesgos

                  Se trata de un análisis experto independiente de los riesgos, con recomendaciones para mejorar la madurez o la eficacia de la gestión de riesgos en la organización. Se evalúa:

                  • ¿Cómo de buenos somos en la identificación de riesgos?
                  • Exhaustividad y granularidad de los riesgos identificados
                  • Eficacia del plan de mitigación o contingencia
                  • Vinculación de los riesgos del proyecto con los riesgos de la organización

                  No se trata de una auditoría de «cumplimiento de procesos», sino una ayuda para mejorar la calidad de la identificación y el análisis de riesgos. También se utiliza como un foro para comparar e identificar las buenas prácticas de gestión de riesgos entre varios proyectos de la organización.

                  La auditoría de riesgos es realizada por un grupo de expertos independientes de dominio o técnicos a través de la revisión de documentación y entrevistas. Los entregables clave de esta auditoría de riesgos son:

                  • Lista de comprobación personalizada para evaluar los riesgos de un proyecto
                  • Identificar las áreas de importancia para el análisis de riesgos de un proyecto (taxonomía de riesgos)
                  • Radar de riesgos: áreasáreas propensas del grupo de productos
                  • Potenciales riesgos adicionales identificados en base a la revisión
                  • Los 10 principales riesgos de la organización de los proyectos clave, que requieren la atención de la dirección

                  Conclusión

                  La gestión de riesgos se está convirtiendo en el aspecto más desafiante de la gestión de proyectos de software. Aunque nunca podemos predecir el futuro con certeza, podemos aplicar un proceso de gestión de riesgos sencillo y racionalizado para predecir las incertidumbres en los proyectos y minimizar la aparición o el impacto de estas incertidumbres.

                  La gestión de riesgos no sólo ayuda a evitar situaciones de crisis, sino que también ayuda a recordar y aprender de los errores del pasado. Esto mejora la posibilidad de completar el proyecto con éxito y reduce las consecuencias de esos riesgos.

                  Esto ciertamente no es el final del viaje para nosotros en la gestión eficaz de los riesgos. Es un proceso de aprendizaje constante para poder mejorar constantemente nuestras prácticas para aumentar la eficiencia de nuestros procesos.