PMI Mexico Chapter

PMI Mexico Chapter

Gestión de Riesgos

Platicando de la gestión de riesgos...

Estimado Colega, reflexionemos ¿Quieres demostrar tu potencial y tu habilidad en esta profesión? ¿Te has preguntado qué es lo que distingue a un Project Manager regular de uno que sobresale? ¿Tienes ese proyecto en el cual quieres lucirte por la visibilidad que tiene? Hay varios factores que determinan el valor profesional de un Project Manager, pero sin duda te digo, un tema relevante definitivamente es la gestión de riesgos. Ya que este proceso te permitirá llevar por buen camino cualquier proyecto y en un entorno VUCA (Volatilility, Uncertainty, Complexity, Ambiguity), como el que vivimos actualmente, cobra aún más relevancia ya que este entorno está, más pronunciado que nunca… ¡y lo que falta! 

Hagamos este trillado ejercicio juntos por favor: Imagínate que eres ese clásico capitán de barco, que por mala o buena suerte (dependiendo de cómo decides enfrentar los retos de la vida) te encuentras en mar profundo maniobrando en “LA” tormenta perfecta (ya sabes, 3 huracanes convergen, velocidad de aires récord, altura de olas récord, tiburones rondando el barco, ¿Qué más? Icebergs por doquier, rayos cayendo cerca, etc. ¿Qué dices, sobrevivirías tú o quién si lo haría? sabiéndolo, ¿Levantarías la mano para embarcarte? pero ¿estarías preparado? Y aún más relevante, en caso de que te seleccionarán, lo harían… ¿Por qué eres el más “picudo” o por qué eres el prescindible? Definitivamente los más astutos, valientes, disciplinadas, experimentados y entrenadas saldrán adelante. De esto se trata, el capitán con la mejor pericia llegará a su puerto, con su barco, carga y tripulación, listos para festejar, con cicatrices seguro, traumatizados tal vez (mira que los tiburones si dan miedo), pero aun así sabrán mejores esos festejos, ¿No crees? después de esta hazaña ¿cómo te sentirías? ¿Crees que alguien te va a parar algún día? ¡Que esta sea tu motivación! Estos retos o escenarios adversos son los puntos de quiebre donde se separan los capitanes sobresalientes del resto, donde los líderes nacen y/o se consuman. La gestión de riesgos en este escenario es tu faro, que te guía y te mantiene a flote.

 

20200630 riesgos001Este artículo no es la panacea, encontraras esta misma información en mucha otra bibliografía, con más detalle e incluso mejor redactada y explicada (de entrada en nuestro PMBOK) pero hice el esfuerzo de sintetizar los fundamentos, conceptos y proceso de la gestión de riesgos, junto con algunos consejos y ejemplos reales de mi experiencia, que espero te aporten valor si es que eres una Project Manager Junior, para dar pie a que investigues más de este tema; Por otro lado si eres uno colega más Senior, espero al menos te proporcione un repaso muy breve para mantener ese nivel de conocimiento fresco y a la mano (como dice Stephen Covey en su libro  “Los 7 hábitos de la gente altamente efectiva”-Para mantener el hacha afilada-, o por qué no, para debatir conceptos.

A veces usamos este proceso por mero trámite de un proceso organizacional, o para tener tus archivos de análisis de riesgos listos por miedo a esa auditoría y cumplir con la gobernanza, puede ser que tus archivos se hayan quedado olvidados a lo largo de tus proyectos; Y es posible que aun entendiendo el proceso y aplicando las técnicas, los problemas e imprevistos te sigan impactando.  Si te sientes identificado con algo de esto, entonces es buena oportunidad de darte un chapuzón en este proceso, y puedes iniciar con este artículo.

Fundamentos de la Gestión de Riesgos (repaso breve)

¿Cuál es el objetivo de una gestión de este proceso? Aumentar la probabilidad y el impacto de eventos positivos y disminuir la probabilidad y el impacto de eventos negativos.

¿Qué es un riesgo? Una definición alternativa estipulada por Jason Dion es que un riesgo se puede ver como la probabilidad de que una amenaza se materialice (entiéndase por amenaza una condición que puede causar daño, pérdida, o comprometer el proyecto/producto), así como la interacción con la vulnerabilidad (o debilidad) del proyecto/producto. Gráficamente se puede entender mejor así:

 20200630.riesgos002

O bien como lo expresa el PMBOK, es un evento o condición incierta, que si sucede tiene un efecto en por lo menos uno de los objetivos del proyecto (alcance, cronograma, costo y calidad) y se puede detonar por una o varias causas (requisito, supuesto, restricción, condición). De manera general se pueden clasificar en dos categorías:

  1. Conocidos: Pueden ser identificados y manejables, en los que se puede asignar una reserva de contingencia (es decir el presupuesto acotado estimado para contener los riesgos identificados, el cual está incluido en la línea base del presupuesto aprobado)
  2. Desconocidos: No pueden ser adecuadamente entendidos con anticipación o bien con alta incertidumbre a falta de información que hace difícil su análisis, en los que se puede asignar una reserva de administración (es decir el presupuesto estimado para acciones de mitigación de los riesgos que van apareciendo a lo largo del proyecto, típicamente se considera un porcentaje extra al fondeo del proyecto aprobado por el sponsor y cuando se hace uso se genera una nueva línea base del costo)

Igualmente es importante distinguir entre los diferentes tipos de riesgos (hay muchos, enlisto los más relevantes):

  1. Riesgos del negocio/proyecto: Es el riesgo normal de hacer negocios, es decir de ganar o perder beneficio, los cuales se deben de administrar mediante el proceso estándar del PMBOK.
  2. Riesgos asegurables: Son los riesgos a la salud y/o daño a la propiedad, con enfoque a la pérdida, los cuales se deben de administrar mediante seguros: 
    • Daños a la propiedad (fuego, inundación, huracanes-tornados)
    • Perdidas indirectas (ejemplo, costo por limpieza)
    • Responsabilidad legal (lesiones a visitantes, por ejemplo)
    • Lesión personal (por ejemplo, lesión de un empleado, compensación al trabajador)
  3. Riesgos ambientales: Aquellos identificados o provocados por resultado de acciones del proyecto (multas por omisión o violación a regulaciones o leyes ambientales)
  4. Riesgo residual o secundario: Es aquel que permanece después de haber implementado las respuestas a los riesgos
  5. Riesgo colateral: Es aquel que derivado de una acción de contención se deriva un nuevo riesgo con daño potencial, el cual merece ser gestionado

Otras definiciones importantes son:

  1. Tolerancia al riesgo (utility theory): Es el balance entre el riesgo y el beneficio potencial. Ciertos gerentes de proyectos u organizaciones son más adversos o conservadores al riesgo en comparación con otras.
  2. Incertidumbre (uncertainity): El PMI lo define como la falta de información que hace difícil la estimación de la probabilidad e impacto de un evento
  3. Acción o respuestas de contención: Son aquellas ideadas previas a la ocurrencia del evento, es decir previas a que se convierta en un problema real.
  4. Acción o respuestas de mitigación: Son aquellas ideadas ya cuando el riesgo se convirtió en un problema real.
  5. Disparador (trigger): Se entiende como síntoma o señal de aviso que un riesgo está por ocurrir
  6. Riesgos de urgencia (urgency risk): Aquellos riesgos identificados que requieren atención prioritaria e inmediata.
  7. Lista de observación (watch list): Creada para los riesgos clasificados como de baja prioridad que pudieran requerir monitoreo futuro
  8. Plan B o secundario (fallback plan): Es un plan diseñado como precaución en caso de que el plan de respuesta principal de algún riesgo no del resultado o falle.

El proceso indicado por el PMBOK para la gestión de riesgos es el siguiente:

20200603.riesgos.003

Como repaso, aquí la tabla completa donde se muestran las respectivas entradas, herramientas y técnicas y las salidas.

20200630.riesgos.04

A continuación, daremos un repaso a cada uno de los procesos de la gestión del riesgo:

Plan de la gestión del riesgo: Es parte del proceso de Planeación. Su objetivo principal es decidir como conducir las actividades en la gestión de riesgos del proyecto. Esta planeación debe detonarse idealmente al inicio del proyecto y definirse a principios del proceso de planeación. Como resultado (salida) se genera al plan de gestión de riegos, el cual documenta como se hará la identificación, su análisis, respuestas y el control de los riesgos, es decir: metodología, roles y responsabilidades, estimaciones de presupuesto e inclusión al cronograma, categorías de riesgos (RBS– Risk Breakdown Structure), definiciones de probabilidad e impacto y herramienta, tolerancias, formatos de reporteo y seguimiento de los riegos.

Identificación de Riesgos: Es parte del proceso de Planeación. Su objetivo principal es enlistar los Riesgos potenciales que impactarán al proyecto. Es importante recalcar que es un proceso iterativo a lo largo del proyecto. Como resultado (salida) es el registro de Riesgos (risk register), el cual contiene los riesgos y respuestas potenciales.

  • Es muy útil programar las sesiones de identificación de Riesgos con un equipo multidisciplinario (por cierto, una de las entradas al proceso es “stakeholder register”, para evitar sesgos y nutrir el listado con diferentes puntos de vista del negocio y experiencias. Al mismo tiempo se promueve el sentido de pertenencia. 
  • Si se trata de un proyecto estándar para la organización, es recomendable que el Project Manager revise previamente las lecciones aprendidas de proyectos similares (por cierto, una de las entradas a este proceso es OPA: datos históricos de archivos de Proyectos, formatos de Riesgos, lecciones aprendidas), y llene previamente el archivo antes de la sesión, esto ayuda para agilizar la sesión y enfocar esfuerzos en validarlos.
  • Es recomendable apoyarse en un RBS y en cada elemento aplicar “brainstorming” (por cierto, una de las herramientas del proceso), así llevaras un control de identificación y te aseguraras de no pasar por alto un tópico relevante.
  • Otra fuente de identificación de Riesgos puede ser el listado de supuestos (el cual se establecen en la etapa de planeación, y son factores que se consideran verdaderos o reales, sin necesidad de demostrarlo o tener evidencia, las cuales si no se hacen realidad o no se cumplen son Riesgos potenciales.
  • Te comparto un ejemplo de una herramienta para el registro de Riesgos, con campos básicos.

 20200630.riesgos05

Análisis Cualitativo de Riesgos: Es parte del proceso de Planeación. Su objetivo es evaluar la probabilidad e impacto de los Riesgos identificados, así como priorizarlos. A diferencia del análisis cuantitativo donde se usan métodos rigorosos estadísticos como simulaciones (por ejemplo, Monte Carlo), árboles de decisión, diagramas de tornado, valor monetario esperado, entre otros.

  • Existen muchos tipos y variantes de una matriz de probabilidad e impacto, pero aquí te muestro un ejemplo

20200630.riesgos.06

  • Cuando estés realizando este análisis con tu equipo, o que algún integrante es nuevo en el proceso, podrías iniciar mostrando esta caricatura que ronda en internet, la cual explica de forma divertida la diferencia entre probabilidad e impacto en diferentes escenarios  

20200630.riesgos.07

Plan de respuestas: Es parte del proceso de planeación. Su objetivo es decidir cómo mejorar oportunidades y reducir las amenazas. Es necesario que para cada plan de respuesta se asigne a un responsable.

Las estrategias principales son:

  1. Riesgos negativos:

Evitar: Con el objetivo de eliminar la amenaza… ¿Cómo? Puedes ajustar el alcance o algún objetivo del proyecto, y/o ajustar el cronograma, y/o adoptar otro enfoque (o más conservador o ya probado)

Transferir: También conocido en inglés como “deflect”. Con el objetivo de transferir la responsabilidad a otra persona, organización o institución… ¿Cómo? El uso de seguros y/o garantías es lo primero que se nos viene a la mente, pero también puede ser “outsourcing” del trabajo y/o servicio (evaluación de hacer o comparar), y elegir un tipo de contrato de precio fijo (que transfiere el riesgo al proveedor, ya que es obligado a entregar el producto/servicio aún si pierde dinero)

Mitigar: Son las acciones para reducir la probabilidad e impacto del riesgo… ¿Cómo? Usa un enfoque menos complejo o conservador, por ejemplo, puedes incrementar el número de pruebas, puedes incluir sistemas de redundancia o de respaldo, o bien escoger proveedores con experiencia confirmada. 

Aceptar: Este plan está incluida tanto para riesgos negativos como positivos. Se puede aplicar para riesgos de baja prioridad (enlistado en el “watch list” por ejemplo).

  1. Riesgos positivos:

Explotar: Implica aplicar el máximo soporte… ¿Cómo? Asignar a los mejores recursos, o tecnologías. O bien los sponsors pueden influir al máximo, para mejorar alcance, tiempo y costos.

Compartir: Aplica para “join-ventures”, alianzas y otras colaboraciones… ¿Cómo? Se comparten costos y riesgos, o se construyen estrategias de expertos.

Mejorar: El objetivo es incrementar la probabilidad e impacto de una oportunidad… ¿Cómo? Maximizando las ventajas actuales, por ejemplo, infraestructura tecnológica, canales de distribución, enfocar recursos para el término temprano, etc.

Aceptar: Se refiere a aplicar un soporte mínimo de oportunidades pequeñas o de baja prioridad. 

  • Recuerda que los planes de respuesta deben de ser: apropiados de acuerdo con la severidad del riesgo (realista), efectiva en base al costo y al tiempo, acordada y/o negociada.
  • Para la estrategia de Aceptar en caso de riesgos negativos, piensa que, si se materializan, analiza si podrás absorber el impacto (en alcance, tiempo, costo y calidad), si tu respuesta es sí, puedes aceptarlos. Por otro lado, para poder Aceptar las oportunidades, pensar si se dan está bien, pero si se pierden tampoco no hay mayor impacto.
  • Clave, asegúrate que estos planes sean integrados en tu cronograma como actividades específicas (responsable y fechas compromiso) o en tu registro de actividades (activity log), solo así te aseguras de que los estas trabajando.

Control y Monitoreo de Riesgos: Es parte del proceso de Monitoreo y Control. Involucra: Identificación de nuevos riesgos, asegurar la implementación y medir la efectividad de los planes de respuesta. Monitorear los riesgos residuales y los del “watch list”. Decidir cuáles riesgos queda cerrado y abiertos. Cuando se modifica las reservas de costos y tiempo. Se prevé que al implementar los planes de riegos y oportunidades esto implica cambios del proyecto (alcance, tiempo, costo, recursos, calidad, etc.), por lo que nos llevan a dos tipos de acciones: correctivas o preventivas. 

  • Recuerda revisar periódicamente los supuestos del proyecto, si estos aún son válidos.
  • Es recomendable agendar juntas específicamente de seguimiento de riesgos, para mantener el estatus actualizado, más ahora en el entorno VUCA en el que gestionamos proyectos.
  • Este proceso es de suma importancia y es un punto clave que indica el nivel de profesionalismo y madurez del Project Manager. Como decía al principio este artículo es meramente “DISCIPLINA”, por lo que te quiero compartir el siguiente ejemplo de un sistema de monitoreo de riesgos basado en una matriz de análisis cualitativo.

20200630.riesgos.08

Hasta aquí llegamos en el repaso de la gestión de riesgos. Realmente espero te haya servido este breve resumen. Recuerda que tanto este como el resto de los procesos tienen que aportar valor, y nosotros como Project Managers tenemos la obligación máxima conocerlos, dominarlos y aplicarlos en nuestra vida profesional, a fin de lograr el objetivo del proyecto y la satisfacción del cliente. 

“The whole idea of PROJECT MANAGEMENT is about being proactive and not reactive with management. RISK MAMANGEMENT sits at the core of enabling this”

Jesús Pérez López, PMP
Voluntario del Capítulo México
Esta dirección de correo electrónico está protegida contra spambots. Necesita activar JavaScript para visualizarla.