La Gerencia de Riesgos – Factor Crítico de Éxito

José Ivorra Valero

Unidad de Proyectos, Vicerrectoría Académica, Escuela Colombiana de Ingeniería

Los eventos de riesgos (riesgos) son situaciones futuras o circunstancias que existen por fuera del control del gerente de proyecto y de su equipo, que tendrán un impacto negativo (amenaza) o positivo (oportunidad) en el proyecto si ocurren. El objetivo de la presente ponencia es analizar cómo resolver situaciones potenciales que pueden afectar significativamente el desempeño de un proyecto. Este es el arte y la ciencia de la gerencia de riesgos. El método a seguir a través de la ponencia es presentar un modelo proactivo, basado en el libro PMBOK® del PMI®, un proceso exitoso para manejar los riesgos de manera efectiva. Se presentarán y explicarán experiencias y mejores prácticas en el entorno latinoamericano y la problemática en la evaluación y el manejo de riesgos en nuestro medio. Como resultado de lo anterior el participante dispondrá de los elementos básicos mínimos a partir de los cuales desarrollar las habilidades y capacidades que se requerirán para tomar las mejores decisiones posibles en un medio donde la incertidumbre, el riesgo es cada vez mayor. En conclusión, esta área del conocimiento de la gerencia de proyectos se ha tornado un factor crítico de éxito que requerirá de un gerente de proyecto y un equipo de proyecto con sólidos conocimientos del negocio, del área técnica y del entorno nacional e internacional, conocimientos que le permitirán gestionar los riesgos en forma productiva para beneficio del proyecto y de todos sus involucrados.

Introducción

La presente ponencia ofrecerá un espacio para concientizar a la audiencia sobre la importancia crítica de los riesgos y su manejo en los proyectos, así como examinar el modelo de gerencia de riesgos recomendado. El mundo real se encuentra lejos de la total certidumbre. Sin la información apropiada y oportuna, nada se sabrá sobre los resultados del proyecto y prevalecerá, entonces, una gran incertidumbre.

Las metas de la gerencia de riesgos y que se presentarán en esta ponencia, son identificar los riesgos del proyecto, analizarlos cualitativa y cuantitativamente (evaluar los riesgos), desarrollar estrategias para manejarlos y controlar esas acciones durante el ciclo de vida del proyecto con el fin de contribuir al éxito del mismo.

La gerencia de riesgos pretende identificar los factores que impacten, a favor o en contra, los objetivos del proyecto, los tiempos y costos del mismo y los entregables del correspondiente proyecto. También cuantifica el impacto y la probabilidad de cada uno de ellos, generando una línea de base que permitirá crear un plan de acción para responder a esos riesgos cuando se presenten y controlar esa respuesta. Esta es la finalidad de la presente ponencia, o sea, suministrar un modelo práctico y exitoso al participante que pueda acomodar a su entorno y aplicarlo, capitalizando las experiencias y mejores prácticas del entorno internacional, con las limitaciones propias de nuestra región.

Cuerpo

La definición de Gerencia de Riesgos que nos ofrece el PMBOK®es:

“El conjunto de procesos que se relacionan con la identificación, el análisis y la respuesta a la incertidumbre. Esto incluye la maximización de los resultados de eventos positivos y la minimización de las consecuencias de eventos adversos.”

Los elementos principales que aporta la gerencia de riesgos, tal y como lo señala el PMI®, son:

  • Identificación
  • Evaluación
    • Análisis cualitativo de los riesgos
    • Análisis cuantitativo de los riesgos
  • Planeación de la respuesta a los riesgos
  • Seguimiento y control de los riesgos

El riesgo tiene las siguientes características:

  • Evento de riesgo – la declaración del riesgo, a futuro
  • Impacto del riesgo – lo que puede suceder a favor o en contra de los objetivos del proyecto
  • Probabilidad de que el riesgo pueda ocurrir

La certidumbre implica la presencia de toda la información necesaria para tomar una decisión. La incertidumbre parte de una ausencia completa de información. El riesgo, sin embargo, implica que los resultados del proyecto pueden precisarse dentro de límites aceptables de seguridad. A mayor disponibilidad de información, la certidumbre aumenta y viceversa. En este sentido, toda herramienta y técnica que nos brinde más información confiable, permitirá a su vez, tomar una mejor decisión en cuanto a los riesgos (futuros.) El alcance de la gerencia de riesgos cubre desde una incertidumbre casi total hasta cuando casi se tiene toda la información necesaria para la toma de decisiones. Y la incertidumbre se puede definir como la carencia de conocimiento de eventos futuros.

En cualquier proyecto, en cualquier negocio, comúnmente, a mayor oportunidad, mayor el grado de incertidumbre y por tanto mayor el riesgo que se puede tomar y mayores amenazas se podrán presentar; de ahí que se necesite un modelo apropiado para gerenciar los riesgos.

La gerencia de proyectos se maneja comúnmente mediante una metodología que se basa en unos insumos, un proceso, unos resultados y una retroalimentación que cierra el bucle. Sin embargo, los riesgos y su manejo son diferentes. Tienes que ver con impacto, probabilidad, incertidumbre y plan de contingencia. La misma gerencia de riesgos no contempla el control completo de eventos.

Cuando se ejecuta el modelo de gerencia de riesgos se debe tener claro que se manejarán sólo aquellos riesgos que presentan una relación de beneficios-costos satisfactoria, que sean manejables dichos riesgos y que se puedan medir y controlar las consecuencias. Un análisis comparativo con proyectos anteriores (por ejemplo, siniestros), sobre todo terminados, puede arrojar luces sobre las implicaciones de las amenazas y oportunidades a futuro.

La gerencia de riesgos debe atenderse con sumo cuidado, evitando apresurarse, convocando al personal adecuado y hasta ignorando lo que se pueda considerar como obvio. Se debe tener en cuenta que unos riesgos pueden ocasionar otros y que el traslape de riesgos puede generar terceros riesgos.

Los resultados de la gerencia de riesgos deben traducirse en términos de costos que afectarán, sin duda, el precio final del proyecto. Algunos de estos costos se podrán cuantificar fácilmente, otros requerirán pasar por un proceso de estimación para llegar al mejor valor aproximado en términos monetarios, acorde con la moneda local.

Tenga en cuenta que la gerencia de riesgos se afecta considerablemente si la cultura organizacional y por ende gerencial no es favorable a este proceso. Se requiere tener una cultura proclive a la identificación y valoración de riesgos, de otra manera el fracaso es, ahí sí, casi seguro. Recuerde que los riesgos que se decidan manejar deben permitir el logro de uno o más objetivos del proyecto y por ende de los requerimientos del cliente.

Los riesgos deben ser tratados teniendo en cuenta los otros componentes y áreas de conocimiento de un proyecto. Hay que tener en cuenta los factores que contribuyen al riesgo, como son: los aspectos humanos, la normatividad y entregabilidad de cada resultado, lo intrínseco del propio proyecto, lo concerniente al manejo de la información, las relaciones con terceros, el manejo del cronograma, las suposiciones generales y particulares del proyecto, el presupuesto y su manejo así como el entorno del proyecto.

La mayor cantidad de riesgos de un proyecto proviene de la etapa inicial cuando se está planeando dicho proyecto. Otra gran cantidad proviene del manejo inadecuado de los cambios de un proyecto. Otra fuente surge a partir del control ineficaz de los riesgos durante el ciclo de vida del proyecto (muy dinámico), generando más riesgos que no tendrán una identificación, valoración o respuesta adecuada.

En la fase de planeación del proyecto, hemos dicho, surgen gran número de riesgos, aunque lo que está en juego es relativamente bajo debido a la poca inversión en esta fase del proyecto. De otro lado, durante la ejecución del proyecto, cada vez se conoce más del proyecto y por ende de sus riesgos, sin embargo, la cantidad en juego sube considerablemente a medida que se van asignando recursos. Por ello, la gerencia de riesgos debe afectar significativamente la planeación de un proyecto, para así poder manejar las consecuencias y la probabilidad de existencia de un futuro riesgo a niveles aceptables.

Por todo lo anterior, procederemos a analizar y explicar la razón de ser de cada una de las etapas del modelo, que corresponde al señalado y sugerido por el PMI® en su libro PMBOK®, adecuándolo a las particularidades de nuestra región, tal y como se ilustrará durante el desarrollo de la presentación de la presente ponencia y tomando como referencia las mejores prácticas a nivel internacional.

Identificación de riesgos

Es el primer paso en el proceso de gerencia de riesgos y consiste en identificar sistemáticamente todos los eventos posibles de riesgos que pueden tener tanto un impacto positivo como negativo en el proyecto. Hay que tener en cuenta que los riesgos pueden ocurrir de manera independiente o depender unos de otros, por lo tanto la identificación comprende también el efecto acumulado de los riesgos que pueden ocurrir concurrente o simultáneamente.

Si revisamos el PMBOK®, éste identifica dos tipos de riesgos en la empresa o institución:

  • Los de negocios que tienen en cuenta las situaciones que se pueden presentar de pérdida o ganancia en el manejo de un programa de la empresa y
  • Los asegurables que sólo atienden las situaciones potenciales que, de presentarse, generarían pérdida. Pueden ser clasificados así:
    • Daño directo a la propiedad
    • Pérdidas indirectas a un tercero por acciones del contratista
    • Responsabilidad legal
    • Responsabilidad personal

Para poder identificar todos los riesgos de un proyecto, es necesario convocar a una serie de personas conocedoras del tema y que trabajen en el proyecto o en proyectos parecidos y solicitar su opinión, o también conducir una o varias sesiones de lluvia de ideas dentro del equipo del proyecto. También puede hacer uso de información histórica de proyectos anteriores similares.

Para que este proceso tenga éxito, al igual que todos los demás, se requiere el apoyo oficial del patrocinador del proyecto, ya que puede estar en riesgo el logro de los objetivos del mismo.

Para aprovechar al máximo esta etapa del modelo de gerencia de riesgos, es conveniente tener una clasificación de los riesgos en proyectos. Una posible clasificación que mide más el impacto en el proyecto puede ser así:

  • Riesgos en el alcance
  • Riesgos en la calidad
  • Riesgos de programación
  • Riesgos de costos

Como decíamos anteriormente, puede existir un impacto en alguna de las anteriores o en dos o más de ellas, lo que requiere un proceso de identificación exhaustivo, teniendo cuidado de no caer en el error de contar doble.

Un esquema de clasificación más sistemático consiste en clasificar los riesgos acorde con el origen de los mismos. Para ello, se puede categorizar la fuente así:

  • Externos, impredecibles e incontrolables - naturaleza, levantamiento civil, problemas políticos
  • Externos y predecibles e inciertos – mercado, impacto ambiental, impacto social, inflación, impuestos
  • Internos y no técnicos – gerencia, retardos en la programación, sobrecostos, pérdidas financieras
  • Técnicos – Desempeño o rendimiento, diseño, complejidad del proyecto
  • Legales – licencias, patentes, contratos, demandas

Este tipo de clasificación nos permite manejar mejor el tipo de respuesta en concordancia con la fuente del riesgo.

El proceso de identificación de los riesgos debe comenzar desde que se inicia el ciclo de vida del proyecto y hasta, como mínimo, que comience la ejecución del mismo. Puede haber necesidad de rehacer la etapa de identificación durante todo el ciclo del proyecto. Habrá que tener claridad en lo que se desea: maximizar el retorno de la inversión, minimizar los costos y los riesgos financieros, maximizar la confiabilidad, maximizar la seguridad, maximizar la flexibilidad o minimizar el impacto ambiental. Lo anterior requerirá un esfuerzo considerable a nivel multidisciplinario y detallado.

Esta etapa debe realizarse gradualmente, pues es imposible detectar desde el principio todos los posibles riesgos. Los estimados preliminares serán muy aproximados; sin embargo, la parte final de esta etapa sí debe concluir con una muy buena aproximación de los riesgos que vamos a tratar de evaluar.

Otra clasificación posible puede ser así:

  • Internos al proyecto y a la compañía – suelen ser controlables por el equipo del proyecto, tales como el diseño del producto, la integración o el manejo de terceros
  • Externos – el equipo no tiene control, tales como la variación en la convertibilidad de la moneda, leyes, regulaciones y cambios en la tecnología

Cada riesgo está sujeto a los factores que habíamos mencionado anteriormente; ellos son:

  • Probabilidad (p)
  • Impacto (i)

Esto conduce a una fórmula sencilla que denominaremos Estado del riesgo = i x p.

Como verán, el estado del riesgo puede tener diferentes valores, dependiendo de las magnitudes que tenga el i y el p para cada riesgo. Lo relacionado con los valores de cada uno de estos dos factores será el tema a tratar en la segunda etapa del modelo, la evaluación.

Evaluación de riesgos

Las metas de la evaluación de riesgos son:

  • Mejorar el entendimiento del proyecto
  • Identificar las alternativas que puedan existir
  • Asegurar que se valoren los riesgos de manera sistemática y estructurada, en cada uno de los riegos identificados

El proceso de evaluación se inicia con una priorización inicial donde los riesgos que deben recibir la mayor atención son los que se estimen inicialmente tendrán el mayor i y el mayor p, dejando por fuera mucho de los riesgos de menor valor en i y en p, que se podrán atender mediante un enfoque convencional de holgura contingencial. Teniendo lo anterior, procedemos a determinar aquellos riesgos que no interesa incluir por lo que no son relevantes al alcance del proyecto.

Dentro de este proceso de evaluación, el gerente de proyecto y su equipo determinarán la probabilidad de ocurrencia (baja, media o alta) realizando un análisis cualitativo o cuantitativo (expresado en números, preferiblemente) y el impacto (bajo, medio o alto), en términos monetarios. Para ello, es necesario definir, previamente, los criterios de lo que se debe considerar bajo, medio o alto y como proceder a usarlos.

Una vez valorados en términos de impacto y probabilidad, se priorizarán con base a su valor esperado y se introducen en una tabla o gráfica para determinar, con más facilidad, los de mayor producto en impacto por probabilidad, los menores en su producto (i x p) y los de valor intermedio. Los riesgos que se seleccionen para ser tratados dentro del modelo, serán expuestos al desarrollo de un plan que generará respuestas adecuadas a los mismos, cuando se presenten durante la ejecución del proyecto.

La evaluación de riesgos puede ser bien compleja debido a la naturaleza de cada riesgo o, sencillamente, por falta de información; siendo así, se requerirá un análisis (sobre todo cuantitativo) más profundo que amerite el uso de fórmulas, modelos y simulaciones matemáticas para determinar un mejor valor en i y en p. Estos modelos y fórmulas pueden tener en cuenta la combinación de riesgos y su impacto y probabilidad conjuntos. Esto requiere el concurso de especialistas en análisis de riesgos y normalmente consume mucho tiempo y dinero; esto sólo se justifica cuando hay una incertidumbre considerable, los impactos son altos y cuando hay necesidad de una atención significativa de parte de la gerencia.

Existen referencias bibliográficas, que se detallan al final del presente trabajo, muy interesantes que analizan en forma explícita las herramientas disponibles para cuantificar los riesgos en un proyecto.

Existe un aspecto importante a considerar que tiene que ver con el riesgo en la programación. Sabemos que en todo cronograma existe la ruta crítica que es perfectamente manejable; sin embargo puede que no podamos manejar la duración total del proyecto. Aquí es donde aparece el riesgo de programación, aquel camino o ruta que contribuye con el más alto riesgo. Hay riesgo en la duración de cada tarea ya que la duración es aproximada. Adicionalmente, la tarea de más larga duración no es necesariamente la de mayor riesgo; de hecho cualquier actividad puede ser altamente riesgosa, esté o no en la ruta crítica. Por lo tanto, es necesario identificar y gerenciar aquellas actividades o tareas que puedan contribuir a retardar al máximo el proyecto (ruta crítica de programación), que no son necesariamente las que están en la ruta crítica tradicional. Para ello, se hace necesario hacer uso de lo que se llama “duración esperada” (calculada) de cada tarea, una fórmula que calcula el valor estimado de la duración de cada tarea y que es una simplificación de la curva de campana de Gauss de la teoría de probabilidades. Este análisis está fuera del alcance de esta ponencia, pero puede ser referenciada en la bibliografía que se incluye.

Respuesta a los riesgos

El manejo de la respuesta a los riesgos debe partir del establecimiento apropiado de una estrategia de sistema, que persiga sacar del escenario los riesgos asegurables ya que ellos se responderán mediante el uso adecuado de pólizas y garantías y que se generen acciones específicas dentro de un plan al respecto para manejar los otros tipos de riesgos.

Las respuestas pueden ser múltiples, desde lo más simple a lo más complejo. Pueden incluir la aceptación, simple y llanamente, de un riesgo a la involucración de un grupo de personas que acepten la responsabilidad de controlar un evento particular de riesgo, que puede ser complejo por naturaleza. Esta etapa del modelo permitirá desarrollar procedimientos y técnicas para mejorar las oportunidades y reducir o mitigar las amenazas para con los objetivos del proyecto. La efectividad de la planeación de las respuestas determinar directamente si los riesgos aumentan o disminuyen en el proyecto.

La planeación de la respuesta debe ir en línea con el tipo de riesgo, su impacto, el costo para manejarlo, el tiempo de implantación de dicha respuesta, el contexto del proyecto, acordado entre las partes involucradas y con la asignación de una persona responsable.

Pueden existir distintos tipos de respuesta. Las siguientes pueden presentarse durante el desarrollo del plan de respuesta:

  • Se ignoran
  • Se evitan
  • Se mitigan (reduciéndolos, compartiéndolos, transfiriéndolos)
  • Se aceptan

El tipo de respuesta adecuada debe estar basado en una serie de políticas, reglas y procedimientos, metas y responsabilidades que permitan gerenciar los riesgos, en forma general y de manera particular para este proyecto. Dentro de las políticas, se debe considerar que el manejo de las respuestas es un proceso continuo, al igual que las otras etapas del modelo. Otra de las políticas es la de promover un ambiente de trabajo proclive al manejo de respuestas que asegure al máximo posible la efectividad de dichas respuestas. Estos estándares deben definir, también, holguras para manejar los riesgos que no se tomaron en cuenta dentro del Plan de Respuesta así como para manejar aquellos riesgos no conocidos ni esperados.

El Plan de Respuesta debe contemplar las llamadas reservas contingenciales para cubrir desajustes en tiempos y costos y así ofrecer mayor flexibilidad en la planeación del proyecto. Otro tipo de manejo incluye las llamadas holguras contingenciales que tratan de cubrir las limitaciones del proceso de estimación, las suposiciones hechas durante la fase de planeación y los riesgos típicos que se incluyen siempre.

Las estrategias de implantación de las contingencias varían desde aplicar valores (estándar de empresa o institución), a porcentajes basados en experiencias pasadas, hasta a una evaluación cuidadosa de la suma total de las probabilidades e impactos de los riesgos identificados.

Seguimiento y Control

De acuerdo al PMBOK®, el seguimiento y control es el proceso de llevar el registro de los riesgos identificados, darle seguimiento a los riesgos desechados (no manejados dentro del modelo) e identificar nuevos riesgos, intentando asegurar la ejecución del plan de respuesta a los riesgos así como evaluando la efectividad del mismo plan para manejar los riesgos. Este proceso registra los indicadores correspondientes asociados con la implantación del plan de respuesta. Este es un proceso continuo, también, que se aplica durante todo el ciclo de vida del proyecto ya que los riesgos cambian a medida que avanza el proyecto, se generan nuevos riesgos y otros desaparecen anticipadamente.

Es fundamental que este proceso provea toda la información necesaria para la toma de decisiones efectiva antes de que la amenaza aparezca o para que la oportunidad florezca con la mayor anticipación posible. En este sentido, también, se hace necesario que todos los involucrados estén informados permanentemente del proceso.

Las suposiciones deben ser revisadas dentro de este proceso para asegurar que sean válidas, analizar si se han presentado situaciones nuevas que puedan conducir a riesgos nuevos, si los valores esperados de cada riesgo se mantienen o no, si los estándares se están aplicando como se definieron, y si las respuestas fueron efectivas o si hay necesidad de cambiarlas.

El control implica no solamente tomar acción preventiva sino correctiva; esta acción puede cambiar cualquier componente del proyecto, direccionar cualquier área de conocimiento de las contempladas en el PMBOK® y puede conducir, incluso, a cambiar parte del plan del proyecto.

Conclusiones

La gerencia de riesgos, una de las 9 áreas de conocimiento del PMBOK®, es un proceso crítico de éxito. Su faceta es doble ya que un riesgo puede representar una amenaza o una oportunidad para con los objetivos del proyecto.

Contempla un proceso sistemático de identificar, analizar y responder a los riesgos seleccionados de un proyecto con el fin de mitigar al máximo posible las amenazas y propender por la aparición de las oportunidades con el fin de cumplir al máximo posible el alcance del proyecto.

Nuestra región, en general, exceptuando quizá a España y Portugal, tiene serios inconvenientes a la hora de manejar la cultura de riesgos de un proyecto. Aún más, no existe esta cultura a nivel organizacional en las empresas o instituciones, por lo tanto se dificulta mucho más que pueda trasladarse a cualquiera de los proyectos que esa entidad pretenda manejar. De ahí que, como uno de los factores críticos de éxito que es la gerencia de riesgo, los proyectos tengan tan alto índice de fracaso en nuestro entorno. Se ha considerado que, después del manejo del talento humano, la gerencia de riesgos es el segundo factor más crítico de éxito o de fracaso de un proyecto si no se maneja de forma estructurada y sistemática usando, por ejemplo, el modelo que señala el PMI® en su libro PMBOK®.

Bibliografía

Los conceptos emitidos en el presente documento han sido recogidos de diferentes fuentes, principalmente del modelo que el PMI® recoge en su libro estándar internacional, el PMBOK®, así como de material de cursos y conferencias creados por el autor, dentro de su propia experiencia de 23 años como Gerente de Proyecto en diversos países en América y Europa.

Se recomienda la lectura de las siguientes referencias bibliográficas:

1. Adam, J.R. (1997) A Practical Approach to the Assessment of Project Uncertainty. Newtown Square, PA: Project Management Institute

2. Martin, M.D. (1998) Improve Project Productivity. Newtown Square, PA: Project Management Institute

3. Project Management Institute. (2000) A guide to the project management body of knowledge (PMBOK® Guide) (2000 ed.). Newtown Square, PA: Project Management Institute.

4. Pritchard, Car L. (1997) Risk Management: Concepts and Guidance. Arlington, VA: ESI International

5. Royer, Paul S. (2001) Project Risk Management: A proactive Approach., Vienna, VA: Management Concepts

6. Wideman, R. Max (1992) Project and Program Risk Management. Newtown Square, PA: Project Management Institute

7. Ivorra, José (2003) Gerencia de Proyectos Aplicada. Bogotá, Colombia: Escuela Colombiana de Ingeniería

This material has been reproduced with the permission of the copyright owner. Unauthorized reproduction of this material is strictly prohibited. For permission to reproduce this material, please contact PMI or any listed author.

Advertisement

Advertisement

Related Content

Advertisement

Publishing or acceptance of an advertisement is neither a guarantee nor endorsement of the advertiser's product or service. View advertising policy.