La gestión de riesgos es un área de conocimiento en la dirección de proyectos que usualmente se la pasa por alto. Las consecuencias de esta acción son catastróficas ya que expone al proyecto a la indefensión ante eventos inesperados.
A continuación se detalla la forma de realizar un plan de riesgos básico. Permitirá descubrir los principales riesgos a los que está expuesto el proyecto y definir medidas de mitigación y contingencia para manejarlos de forma adecuada. Pero antes se intentará definir lo que es el riesgo.
Qué es riesgo?
Según el PMBOK, el riesgo de un proyecto es «un evento o condición incierta que, de producirse, tiene un efecto positivo o negativo en uno o más objetivos del proyecto, como el alcance, el cronograma, el costo y la calidad». Es decir, los riesgos del proyecto son situaciones que pensamos pueden ocurrir y que podrían cambiar al proyecto, de suceder. A pesar que el PMBOK señala que un riesgo puede ser positivo, en la práctica solo se consideran los riesgos negativos para ser gestionados.
Pasos para la gestión de riesgos de manera cualitativa
Existen cuatro pasos fundamentales para la gestión cualitativa del riesgo, que son:
- Identificación y enfoque del riesgo
- Priorización
- Medidas de mitigación
- Planes de contingencia
Estos pasos nos brindarán una comprensión detallada tanto de los riesgos a los que estamos expuestos como de las estrategias que podemos utilizar para protegernos de los mismos. Esta técnica de gestión de riesgos se expone a continuación:
1. Identificación y enfoque del riesgo
La gestión del riesgo se la empieza con una sesión de lluvia de ideas donde participan los principales interesados del proyecto, así como el equipo. En este espacio se invita a los participantes a compartir todo lo que se les ocurra que les preocupe en el proyecto, y todo es anotado para su posterior análisis.
Una vez que haya terminado la lluvia de ideas se procede a diferenciar entre riesgos propiamente dichos, causas de riesgos, y consecuencias de los mismos. De esta manera se organizan las ideas en tres columnas: Causas, riesgos y consecuencias. De existir espacios vacíos, se los completa a fin de que todos los riesgos tengan identificada sus causas y sus consecuencias.
2. Priorización de los riesgos
Una vez se han logrado identificar y enfocar los riesgos, para cada riesgo se estima tanto la probabilidad de ocurrencia como el índice de impacto (sobre 10) que tendría su ocurrencia sobre el proyecto. Un mayor número implica un mayor impacto negativo sobre el proyecto.
La multiplicación de ambos números da como resultado la exposición que se tiene ante ese riesgo. En base a este número se ordena la lista de riesgos de mayor a menor exposición. Los riesgos que queden en la parte superior serán aquellos priorizados ya que se tendrá una mayor exposición ante el ellos.
3. Medidas de mitigación
Con este apartado se empiezan a definirse para manejar los riesgos. En este caso concreto, se revisan los principales riesgos priorizados para encontrar formas de evitar que sucedan sus causas, y de esta manera mitigarlos.
Se debe poner atención a los nuevos riesgos que surgen tras la aplicación de las medidas de mitigación, ya que en el peor de los casos estaremos generando riesgos más graves al intentar evitar que sucedan riesgos priorizados con los cuales se encontrarán fuera del radar de la gestión del riesgo.
4. Planes de contingencia
En este paso se toman los principales riesgos priorizados que pueden ser los primeros 5 por ejemplo, dependiendo de la tolerancia al riesgo que se tenga por parte de los interesados clave. Sobre estos riesgos se analizan las consecuencias de que sucedan, y se realizan planes que ayuden a disminuir el impacto de su ocurrencia.
Para empezar definimos un indicador y un evento sobre el mismo que va a disparar la ejecución del plan de contingencia. De igual manera, definimos un responsable que será el encargado de supervisar la ejecución de este plan. También detallamos los insumos necesarios para su ejecución, los cuales deben estar a la completa disposición del responsable.
Luego definimos las acciones que deben ser tomadas como las cuales pueden ser solamente un listado de acciones o estar definidas dentro de su propio cronograma, dependiendo de la sofisticación y complejidad del plan de contingencia.
Como todo plan, debe contar también con su propio plan de riesgos.
Para finalizar, se especifica la ventana temporal qué tendrá el plan para ser aplicado.
Análisis cuantitativo del riesgo
A diferencia del análisis cualitativo, con el manejo cuantitativo del riesgo se realizan simulaciones masivas de cronogramas. Por ejemplo, el método de Montecarlo permite simular de manera estadística el resultado final de una serie de sucesos sujetos a variabilidad, como es el caso del tiempo o el costo de un proyecto. Estas simulaciones permiten identificar escenarios de alto riesgo de manera automática, si bien su uso es un poco avanzado.
La gestión del riesgo de proyectos complejos se nutre de estas técnicas ya que ofrecen resultados que no son posibles de obtener mediante técnicas cualitativas, como las anteriormente descritas.
La amenaza constante de los riesgos no identificados
La gestión de riesgos sirve para minimizar el impacto que tiene un hecho negativo imprevisto sobre el proyecto. Sin embargo, esto no equivale a tener una bola de cristal que nos advierta de todos los hechos negativos que pueden ocurrir a futuro. La naturaleza aleatoria de la realidad muchas veces nos ofrece eventos totalmente imprevistos que cambia los planes. Ante esto, podemos decir que siempre estaremos expuestos el riesgo de lo imprevisible cuyas causas son imposibles de mitigar. Pero sus consecuencias pueden ser manejadas con metodologías ágiles, que nos permiten reaccionar de forma rápida e inteligente.
Nassim Nicolas Taleb, en su libro Antifragile, ofrece una forma de transformar esta circunstancias aparentemente negativas y aprovecharlas en nuestro beneficio, permaneciendo atentos a las oportunidades imprevistas que muchas veces se disfrazan de calamidades.
Y eso es todo por ahora. En próximas entregas se detallarán aspectos más sofisticados, relacionados con la gestión de riesgos.