Procesos de Gestión de Riesgos - PARTE I
En este articulo presentamos la primer parte de una descripción narrativa de la metodología de Gestión de Riesgos, como parte de la metodología de Dirección de Proyectos, basándonos en lo enunciado en el Pmbok® (A Guide to the Project Management Body of Knowledge, Fourth Edition®) emitido por el Project Management Institute (PMI®), con información adicional que ayuda a entender la metodología y su aplicación al día a día, tanto en proyectos como en gerencias.
Acompañamos esta narración con un gráfico que intenta mostrar la relación entre todos los procesos de gestión de riesgos y la secuencia de tratamiento de la información respectiva.
Comencemos con una definición importante: un riesgo es un evento o condición incierta que, si sucede, tiene un efecto positivo o negativo en por lo menos uno de los objetivos del proyecto pmbok®.
Dicho esto último conviene aclarar que vamos a encontrarnos con dos tipos definidos de riesgos, los puros o asegurables y los de negocios. Los primeros generan únicamente amenazas y los segundos, generan amenazas y oportunidades, en estos tendremos la posibilidad de ganar o perder ante la ocurrencia del evento (ejemplo: invertir en una empresa), mientras que en los primeros solo existe la posibilidad de pérdida ante la ocurrencia del evento (asegurar o no al auto, pago al asegurarlo y pago al tener el siniestro sin seguro).
En esta primer parte trataremos los procesos de gestión Planificación de la Gestión de Riesgos e Identificación de Riesgos
.
El primer proceso de los seis que conforman esta metodología, Planificación de la Gestión de Riesgos, atiende a la necesidad de poner en claro las reglas de juego a seguir para gestionar los riesgos durante todo el proyecto, esto es indispensable para que todos los contribuyentes al proyecto enfrenten, con procedimientos y respuestas consensuadas y homogéneas, a la incertidumbre de ocurrencia de eventos que puedan afectar positiva o negativamente al proyecto. Este proceso debe ser realizado en detalle si no existe ninguna política preestablecida por la empresa para gestionar los riesgos, en caso de existir esa política, deberá normar en las particularidades del proyecto no cubiertas en la misma.
La fijación de normas está claramente relacionada con las políticas de la empresa para hacer frente a los riesgos, por ejemplo:
• ¿Vale la pena hacer gestión de riesgos?
Parece insólita esta pregunta pero cuantas empresas realmente están haciendo gestión de riesgos en sus proyectos, más aún, las empresas a las que los lectores están de alguna forma vinculados realmente están haciendo algo al respecto?.
Mi visión particular es que esto lo veo practicado en empresas de servicio que tienen necesidad de cuidar su margen de ganancia (fundamental- mente para subsistir), y también lo veo en empresas relacionadas con el petróleo que lo hacen con mucho profesionalismo, sin embargo veo también grandes empresas que no lo hacen como debieran y que sus esfuerzos de gestión de riesgos varían de acuerdo al país y al proyecto.
• ¿Hasta cuanto quiere arriesgar una empresa en un proyecto?
• ¿Hasta cuanto piensa invertir en planear la respuesta a los riesgos?
• ¿Quién será el responsable de la gestión de riesgos?
• ¿Qué metodología (conformada por procesos) se va a usar?
En nuestro caso: Identificación, Cualificación, Cuantificación, Respuesta y Control de los Riesgos.
• ¿Qué categorías para una mejor identificación de riesgos vamos a usar?
Este tema será abordado en la explicación del proceso de identificación.
• ¿Qué escalas usaremos para cualificar los riesgos? ¿alto, medio, bajo o alto, alto-medio, medio, medio-bajo, bajo o verde, amarillo, rojo, o…?
Por supuesto cada adjetivo asociado a un valor numérico también predefinido en la planificación, por ejemplo si nos referimos a probabilidad podríamos definir que baja está entre 1 y 33%, media entre 34 y 66% mientras que alta es cualquier valor entre 67 y 99%.
• Por último aquí tendríamos que tener en claro los documentos a usar y como y cuando ellos deben ser utilizados.
También es parte de este primer proceso tomar en cuenta políticas generales de gestión de riesgos vigentes en algunas empresas tales como: “Se deberán tratar de mitigar todos los riesgos identificados, aquellos que no podamos identificar los evitaremos cambiando el plan en esa área (por ejemplo: en vez de transportar algo por vía terrestre lo haremos por vía aérea) y únicamente aceptaremos las amenazas de impacto y probabilidad de ocurrencia bajos”.
De los cinco procesos restantes quiero destacar dos de ellos por la importancia que tienen, el de identificación y el de respuesta.
• El proceso de identificación es fundamental ya que si no logro identificar los posibles riesgos únicamente los podré relativamente manejar constituyendo una reserva de imprevistos (en ciertas industrias difícil de cuantificar), ya que al no conocerlos no puedo diseñar respuestas para los mismos. Cuanto menos identifiquemos mayor probabilidad de problemas (riesgos fundamentalmente como amenazas) en el proyecto. generalmente materializados por un sinnúmero de cambios que hacen extender los plazos, los costos y provocan lucro cesante.
• El proceso de respuesta a amenazas y oportunidades es donde realmente se actúa para dar respuestas concretas a los riesgos, minimizándolos (amenazas) o maximizándolos (oportunidades).
Empecemos ahora por el Proceso de Identificación. Normalmente nos preguntamos:
• ¿Que tenemos que hacer nosotros para identificar los riesgos en un proyecto?, la respuesta a ello es que no tenemos que reinventar la rueda, en otras palabras tenemos que buscar en lecciones aprendidas de otros proyectos, mejores prácticas, encontrar a personas que tienen conocimientos en proyectos similares al que vamos a realizar (el Pmbok® enfatiza consultar a los expertos), en foros de la industria, usar técnicas grupales para encontrar riesgos, etc.
• ¿Qué seguridad tenemos que la identificación que hacemos de los riesgos (y que luego procesamos en los otros procesos metodológicos) es correcta?, la respuesta es que si bien puede no ser perfecta es al menos mucho mejor que nada. Esta última aseveración puede resultar combatida, e inclusive tratada de no profesional, pero esta basada en la realidad que continuamente nos enfrentamos con tipos de proyectos en los que no tenemos experiencia previa y por ello es posible que no identifiquemos a todos los riesgos, de cualquier manera, pensemos en proyectos que hemos ya realizado y en las amenazas no previstas que sucedieron ¿si hubiéramos encontrado y dado respuesta anticipadamente el 50% de ellas hubiera mejorado el resultado del proyecto?. Por supuesto que la experiencia y una continua actitud de gestión de riesgos (cultura organizacional que lo adopta como política no negociable) de todos los participantes de un proyecto hacen que el porcentaje de precisión y éxito en los proyectos mejore notablemente.
• Un procedimiento que nos puede ayudar significativamente en la identificación de riesgos es el uso de categorías de riesgos, que no es otra cosa que el uso de listas y sub-listas de verificación relacionadas con la industria y proyecto a realizar. Esto es fácilmente comprensible cuando analizamos lo que hacemos cuando queremos identificar los riesgos en un proyecto, inicialmente nos enfocamos en lo que más sabemos, generalmente la parte técnica del mismo, y obviamos temas tales como los legales, ambientales, financieros y otros.
Como ejemplo, el pmbok® habla de riesgos técnicos, externos, organizacionales y de gestión del proyecto, y cada uno de estos agrupamientos a su vez tienen un nivel de desglose mayor convirtiéndolos en útiles listas de verificación (checklists).
Otras listas de verificación son obtenibles en la red a través de los buscadores (aconsejo tratar inicialmente de encontrar información en ingles ya que es mucho más extensa y precisa). Algunos sitios para ver: SEI (Software Enginnering Institute), CII (Construction Industry Institute), API (American Petroleum Institute), etc.
Todos estos Riesgos identificados deben ser documentados en el Registro de Riesgos, esto es valido tanto para las Amenazas como para las Oportunidades.
Esta información será usada como entrada para los procesos de Cualificación y/o Cuantificación que serán cubiertos en la publicación de la segunda parte del artículo.
Por último les solicito a los lectores que, si tienen preguntas, o quieren aportar sus ideas, o entienden que algo es objetable se comuniquen conmigo a ildp@ildp.com.ar o ildp@fibertel.com.ar.
Acompañamos esta narración con un gráfico que intenta mostrar la relación entre todos los procesos de gestión de riesgos y la secuencia de tratamiento de la información respectiva.
Comencemos con una definición importante: un riesgo es un evento o condición incierta que, si sucede, tiene un efecto positivo o negativo en por lo menos uno de los objetivos del proyecto pmbok®.
Dicho esto último conviene aclarar que vamos a encontrarnos con dos tipos definidos de riesgos, los puros o asegurables y los de negocios. Los primeros generan únicamente amenazas y los segundos, generan amenazas y oportunidades, en estos tendremos la posibilidad de ganar o perder ante la ocurrencia del evento (ejemplo: invertir en una empresa), mientras que en los primeros solo existe la posibilidad de pérdida ante la ocurrencia del evento (asegurar o no al auto, pago al asegurarlo y pago al tener el siniestro sin seguro).
En esta primer parte trataremos los procesos de gestión Planificación de la Gestión de Riesgos e Identificación de Riesgos
.
El primer proceso de los seis que conforman esta metodología, Planificación de la Gestión de Riesgos, atiende a la necesidad de poner en claro las reglas de juego a seguir para gestionar los riesgos durante todo el proyecto, esto es indispensable para que todos los contribuyentes al proyecto enfrenten, con procedimientos y respuestas consensuadas y homogéneas, a la incertidumbre de ocurrencia de eventos que puedan afectar positiva o negativamente al proyecto. Este proceso debe ser realizado en detalle si no existe ninguna política preestablecida por la empresa para gestionar los riesgos, en caso de existir esa política, deberá normar en las particularidades del proyecto no cubiertas en la misma.
La fijación de normas está claramente relacionada con las políticas de la empresa para hacer frente a los riesgos, por ejemplo:
• ¿Vale la pena hacer gestión de riesgos?
Parece insólita esta pregunta pero cuantas empresas realmente están haciendo gestión de riesgos en sus proyectos, más aún, las empresas a las que los lectores están de alguna forma vinculados realmente están haciendo algo al respecto?.
Mi visión particular es que esto lo veo practicado en empresas de servicio que tienen necesidad de cuidar su margen de ganancia (fundamental- mente para subsistir), y también lo veo en empresas relacionadas con el petróleo que lo hacen con mucho profesionalismo, sin embargo veo también grandes empresas que no lo hacen como debieran y que sus esfuerzos de gestión de riesgos varían de acuerdo al país y al proyecto.
• ¿Hasta cuanto quiere arriesgar una empresa en un proyecto?
• ¿Hasta cuanto piensa invertir en planear la respuesta a los riesgos?
• ¿Quién será el responsable de la gestión de riesgos?
• ¿Qué metodología (conformada por procesos) se va a usar?
En nuestro caso: Identificación, Cualificación, Cuantificación, Respuesta y Control de los Riesgos.
• ¿Qué categorías para una mejor identificación de riesgos vamos a usar?
Este tema será abordado en la explicación del proceso de identificación.
• ¿Qué escalas usaremos para cualificar los riesgos? ¿alto, medio, bajo o alto, alto-medio, medio, medio-bajo, bajo o verde, amarillo, rojo, o…?
Por supuesto cada adjetivo asociado a un valor numérico también predefinido en la planificación, por ejemplo si nos referimos a probabilidad podríamos definir que baja está entre 1 y 33%, media entre 34 y 66% mientras que alta es cualquier valor entre 67 y 99%.
• Por último aquí tendríamos que tener en claro los documentos a usar y como y cuando ellos deben ser utilizados.
También es parte de este primer proceso tomar en cuenta políticas generales de gestión de riesgos vigentes en algunas empresas tales como: “Se deberán tratar de mitigar todos los riesgos identificados, aquellos que no podamos identificar los evitaremos cambiando el plan en esa área (por ejemplo: en vez de transportar algo por vía terrestre lo haremos por vía aérea) y únicamente aceptaremos las amenazas de impacto y probabilidad de ocurrencia bajos”.
De los cinco procesos restantes quiero destacar dos de ellos por la importancia que tienen, el de identificación y el de respuesta.
• El proceso de identificación es fundamental ya que si no logro identificar los posibles riesgos únicamente los podré relativamente manejar constituyendo una reserva de imprevistos (en ciertas industrias difícil de cuantificar), ya que al no conocerlos no puedo diseñar respuestas para los mismos. Cuanto menos identifiquemos mayor probabilidad de problemas (riesgos fundamentalmente como amenazas) en el proyecto. generalmente materializados por un sinnúmero de cambios que hacen extender los plazos, los costos y provocan lucro cesante.
• El proceso de respuesta a amenazas y oportunidades es donde realmente se actúa para dar respuestas concretas a los riesgos, minimizándolos (amenazas) o maximizándolos (oportunidades).
Empecemos ahora por el Proceso de Identificación. Normalmente nos preguntamos:
• ¿Que tenemos que hacer nosotros para identificar los riesgos en un proyecto?, la respuesta a ello es que no tenemos que reinventar la rueda, en otras palabras tenemos que buscar en lecciones aprendidas de otros proyectos, mejores prácticas, encontrar a personas que tienen conocimientos en proyectos similares al que vamos a realizar (el Pmbok® enfatiza consultar a los expertos), en foros de la industria, usar técnicas grupales para encontrar riesgos, etc.
• ¿Qué seguridad tenemos que la identificación que hacemos de los riesgos (y que luego procesamos en los otros procesos metodológicos) es correcta?, la respuesta es que si bien puede no ser perfecta es al menos mucho mejor que nada. Esta última aseveración puede resultar combatida, e inclusive tratada de no profesional, pero esta basada en la realidad que continuamente nos enfrentamos con tipos de proyectos en los que no tenemos experiencia previa y por ello es posible que no identifiquemos a todos los riesgos, de cualquier manera, pensemos en proyectos que hemos ya realizado y en las amenazas no previstas que sucedieron ¿si hubiéramos encontrado y dado respuesta anticipadamente el 50% de ellas hubiera mejorado el resultado del proyecto?. Por supuesto que la experiencia y una continua actitud de gestión de riesgos (cultura organizacional que lo adopta como política no negociable) de todos los participantes de un proyecto hacen que el porcentaje de precisión y éxito en los proyectos mejore notablemente.
• Un procedimiento que nos puede ayudar significativamente en la identificación de riesgos es el uso de categorías de riesgos, que no es otra cosa que el uso de listas y sub-listas de verificación relacionadas con la industria y proyecto a realizar. Esto es fácilmente comprensible cuando analizamos lo que hacemos cuando queremos identificar los riesgos en un proyecto, inicialmente nos enfocamos en lo que más sabemos, generalmente la parte técnica del mismo, y obviamos temas tales como los legales, ambientales, financieros y otros.
Como ejemplo, el pmbok® habla de riesgos técnicos, externos, organizacionales y de gestión del proyecto, y cada uno de estos agrupamientos a su vez tienen un nivel de desglose mayor convirtiéndolos en útiles listas de verificación (checklists).
Otras listas de verificación son obtenibles en la red a través de los buscadores (aconsejo tratar inicialmente de encontrar información en ingles ya que es mucho más extensa y precisa). Algunos sitios para ver: SEI (Software Enginnering Institute), CII (Construction Industry Institute), API (American Petroleum Institute), etc.
Todos estos Riesgos identificados deben ser documentados en el Registro de Riesgos, esto es valido tanto para las Amenazas como para las Oportunidades.
Esta información será usada como entrada para los procesos de Cualificación y/o Cuantificación que serán cubiertos en la publicación de la segunda parte del artículo.
Por último les solicito a los lectores que, si tienen preguntas, o quieren aportar sus ideas, o entienden que algo es objetable se comuniquen conmigo a ildp@ildp.com.ar o ildp@fibertel.com.ar.