Un riesgo se expresa como una situacin posible y el efecto adverso que es su
consecuencia. Ejemplo: "Con el proyecto avanzado, el cliente solicita cambios grandes a los requerimientos, originando un retraso en la entrega" El proceso de administracin de riesgos, es un proceso iterativo que se aplica a lo largo de todo el proyecto. En cuanto surja ms informacin acerca de los riesgos, stos se deben analizar nuevamente y establecer prioridades. Los resultados del proceso se deben documentar en un plan de administracin de riesgos. Debe incluir una discusin de los riesgos. La administracin del riesgo tiene varias actividades, algunas de las cuales se listan a continuacin: 1. Identificacin del Riesgo: Los riesgos son usualmente agrupados bajo varias categoras: Los riesgos del proyecto: estn relacionados a problemas: de cronograma, de personal, de recursos, de requerimientos, etc. Los riesgos tcnicos: estn relacionados con la escogencia de tecnologa, plataforma, y el tiempo requerido para cubrir gastos. Los riesgos del negocio: involucran aspectos relacionados al retorno de la inversin, y el tiempo requerido para cubrir gastos. Agrupar riesgos bajo varias categoras ayuda a determinar los riesgos especficos del proyecto. Otro mtodo para identificar los diferentes tipos de riesgos involucrados es hacer uso de un conjunto de preguntas para cada uno de estos riesgos. Obtener las respuestas ayuda a un planificador de proyectos a entender el riesgo en trminos tcnicos.
Algunas ideas para hacer una correcta y completa identificacin de riesgos para cada proyecto: En primer lugar, debemos determinar qu riesgos vamos a considerar. Es importante slo considerar aquellos riesgos relevantes para nuestro proyecto. Dejaremos fuera de nuestro anlisis, por lo tanto, riesgos que no presenten indicios que puedan llegar a producirse (por ejemplo, que una tecnologa conocida y probada no aporte un resultado esperado), y riesgos que ya estn gestionados en otros niveles de nuestra organizacin o de la organizacin cliente (por ejemplo, incendios o catstrofes naturales, o incluso riesgos tcnicos que estn siendo gestionados por la gestin de servicio TI o gestin de programas, si nuestro proyecto forma parte de un programa). En segundo lugar, debemos describir correctamente cada riesgo (por ejemplo: como no llevo paraguas, si llueve, me mojar). Una descripcin formal correcta ayudar a entender mejor el riesgo y nos permitir identificar la respuesta ms adecuada. La descripcin de cada riesgo debera contener la siguiente estructura (segn la Gua PMBOK y PRINCE2): Causa: Es la fuente del riesgo, aquella situacin que provoca el riesgo. La causa es aquello que ya sabemos o que podemos suponer (por ejemplo, no llevo paraguas). Podremos controlar algunos riesgos eliminando la causa (si podemos, ser la manera ms efectiva de hacerlo). Evento: Describe la situacin incierta, aquello que no sabemos si se va a producir (por ejemplo, si llueve). Para algunos riesgos podremos realizar acciones para hacer ms improbable que el evento suceda. Efecto: Describe el impacto en uno o ms objetivos del proyecto (por ejemplo, me mojar). Para algunos riesgos, si no podemos eliminar la causa o hacer ms improbable el evento, podremos pensar cmo reducir estos impactos.
En tercer lugar, es muy recomendable utilizar un enfoque sistematizado para la identificacin de riesgos combinando diferentes tcnicas. Por ejemplo, utilizar primero el conocimiento de proyectos anteriores similares (una lista de riesgos corporativa, si existe). Despus, analizar la documentacin existente: Objetivos y definicin del proyecto (por ejemplo, a partir de las restricciones y supuestos del proyecto podremos deducir varios de los riesgos ms importantes) y estructura de desglose de trabajo y diagrama de precedencias. Finalmente, realizar una sesin de brainstorming con nuestro equipo. Por ltimo, el objetivo de una buena metodologa de gestin de proyectos debe ser que cada nuevo proyecto sea mejor que el anterior. La gestin de riesgos, en este sentido, es uno de los puntos en los que de manera ms rpida se puede reutilizar conocimiento de proyectos anteriores, por lo que la identificacin de riesgos debera pensarse como un esfuerzo no slo para el proyecto actual, sino para prximos proyectos. 2. Evaluacin del Riesgo: Los tres factores tomados en consideracin durante la evaluacin del riesgo son riesgo proyectado, probabilidad del riesgo e impacto del riesgo. Durante la fase de evaluacin del riesgo, la exactitud de los clculos hechos durante la proyeccin del riesgo es cuidadosamente examinada, y se les da prioridad a los riesgos. Las formas y medios para controlar estos riesgos tambin son estudiados. Un nivel de referencia de riesgo tiene que ser definido por este anlisis para que sea efectivo. El costo, cronograma y rendimiento son los tres niveles de referencia de riesgo para proyectos de software o desarrollo de procesos. Cada uno de estos tres niveles: excederse en los costos, demora de los cronogramas o pobre rendimiento, tienen un cierto nivel alto. El trabajo en un proyecto determinara si un riesgo o una combinacin de estos niveles de referencia. En el anlisis de riesgo de software, un nivel de referencia de riesgo tiene un solo punto, llamado punto de referencia o punto de quiebre. Es el punto donde la decisin de seguir adelante un proyecto o termnalo, es aceptable. La cancelacin puede ocurrir como resultado de muchos problemas en el proceso de desarrollo de software. Los siguientes pasos son iniciados en la fase de evaluacin de riesgo: Definir niveles de referencia de riesgo para un proyecto. Construir una relacin entre los factores individuales, es decir, riesgo, probabilidad de riesgo e impacto de riesgo y niveles de referencia individuales. Llegar a un conjunto de puntos de quiebre que definir la regin de culminacin. Entender la manera en la que las combinaciones compuestas de riesgos afectaran posiblemente un novel de referencia.
3. Anlisis de Riesgo: En el contexto de los proyectos del software, el riesgo se refiere a los problemas que pudieran afectar adversamente al costo, la calidad o el cronograma de un desarrollo de software. Otros factores como el mtodo de implementacin y operacin de un programa o aplicacin, el tipo de herramientas usadas, el nmero de personal involucrado, entre otros, son tratados tambin con anlisis de riesgo. Este anlisis consiste en analizar cada riesgo identificado, para determinar la probabilidad de que pueda ocurrir y el dao que este puede causar si ocurre. El anlisis de riesgos puede ser cualitativo o cuantitativo. El anlisis de riesgos cualitativo precede en ocasiones al cuantitativo, cuando se quiere profundizar en algn riesgo concreto. En otras ocasiones precede directamente a la planificacin de respuesta al riesgo, obvindose el anlisis cuantitativo. El anlisis de riesgos tiene como objetivo establecer una priorizacin de los riesgos del proyecto para su tratamiento posterior. Tambin permite establecer una clasificacin general de riesgo del proyecto, en relacin a otros proyectos de la organizacin. Esta informacin puede ser utilizada para apoyar decisiones de inicio o cancelacin de un proyecto, para realizar asignaciones de recursos entre proyectos, o para la realizacin de anlisis costo-beneficio. La repeticin de estos anlisis proporciona informacin sobre tendencias que indiquen acciones a tomar para gestionar el riesgo. Anlisis cualitativo de riesgos Este proceso evala el impacto y la probabilidad de ocurrencia de los riesgos identificados en el proceso anterior usando mtodos y herramientas de anlisis cualitativo. El riesgo se mide a partir de dos parmetros: probabilidad e impacto. La probabilidad es la posibilidad de que el riesgo pueda ocurrir. El impacto o severidad es el efecto sobre los objetivos del proyecto, caso de materializarse el riesgo. Todo riesgo viene definido por sus valores de probabilidad e impacto. Si el riesgo puede materializarse en ms de una ocasin, aparece un tercer parmetro de medida: la frecuencia, que mide el nmero de veces que un determinado riesgo puede materializarse a lo largo del proyecto. Para que este mtodo sea til y no lleve a conclusiones errneas es preciso contar con informacin precisa y no tendenciosa acerca de los riesgos. Los riesgos deben ser adecuadamente entendidos antes de proceder a la determinacin de su probabilidad e impacto. Ello implica examinar: el grado de conocimiento del riesgo, la informacin disponible, y la calidad e integridad de la informacin. Para medir probabilidad e impacto pueden utilizarse escalas numricas y no numricas. En la figura siguiente se muestra un ejemplo de escala no numrica para medir el impacto de los riesgos sobre los objetivos del proyecto, utilizando los rangos de: nulo, bajo, medio, y alto. Anlisis cuantitativo de riesgos Este proceso utiliza tcnicas cuantitativas para determinar la probabilidad y el impacto de los riesgos del proyecto. Generalmente se realiza despus del anlisis cualitativo de riesgos. Entre las herramientas utilizadas para el anlisis cuantitativo del riesgo se encuentran: Entrevistas. La informacin recogida de los expertos es tratada estadsticamente a partir de los datos de algn parmetro concreto cuyo riesgo se quiera estimar (por ejemplo: coste, tiempo, etc.) correspondiente a un elemento del WBS. Los datos solicitados dependern del tipo de distribucin a emplear. Por ejemplo, si se usa una distribucin triangular se solicitarn 3 valores correspondientes a los escenarios pesimista, optimista, y ms probable. Anlisis de rbol de decisiones. Se trata de un diagrama que describe una decisin considerando todas las alternativas posibles. Cada rama incorpora probabilidades de riesgos y los costes o beneficios de las decisiones futuras. La resolucin del rbol permite determinar cul es la decisin que produce el mayor valor esperado. El valor esperado o esperanza matemtica se define como el sumatorio de probabilidad por costos y beneficios. Otros: anlisis de sensibilidad, simulacin (Anlisis de Montecarlo).
4. Plan De Riesgos. Una vez analizados y priorizados los riesgos del proyecto, es preciso proceder a su tratamiento, seleccionado para cada riesgo aquella estrategia de respuesta que tenga mayores posibilidades de xito. Estas estrategias son: Eliminacin o evitacin. Consiste en eliminar la amenaza eliminando la causa que puede provocarla. Transferencia. La transferencia del riesgo busca trasladar las consecuencias de un riesgo a una tercera parte junto con la responsabilidad de la respuesta. Mitigacin. Busca reducir la probabilidad o las consecuencias de sucesos adversos a un lmite aceptable antes del momento de activacin. Es importante que los costos de mitigacin sean inferiores a la probabilidad del riesgo y sus consecuencias. Aceptacin. Esta estrategia se utiliza cuando se decide no actuar contra el riesgo antes de su activacin. La aceptacin puede ser activa o pasiva.
La primera incluye el desarrollo de un plan de contingencia que ser ejecutado si el riesgo ocurre. La aceptacin pasiva no requiere de ninguna accin, dejndose en manos del equipo de proyecto la gestin del riesgo si este llegara a materializarse. Para cada riesgo se deber nombrar a un responsable de implementar la estrategia elegida segn un plan predefinido. Como consecuencia de esta implantacin pueden aparecer riesgos residuales y riesgos secundarios. Los riesgos residuales son aquellos que permanecen despus de implementar las respuestas al riesgo. Los riesgos secundarios son los riesgos que pueden aparecer como consecuencia de la implementacin de la respuesta a un riesgo. Deben ser gestionados de igual manera a los riesgos primarios, planificando sus respuestas.
5. Seguimiento Este proceso se ocupa del seguimiento de los riesgos identificados de manera que los planes de riesgo son ejecutados por los responsables asignados, de la supervisin de los riesgos residuales, de la aparicin de disparadores que indican que algn riesgo est a punto de producirse, de la revisin de la priorizacin de riesgos realizada, y de la identificacin de nuevos riesgos que pudieran presentarse. El instrumento ms potente de control de riesgos son las revisiones de proyecto. En toda reunin y revisin de proyecto debiera haber un punto de la agenda dedicado al tratamiento de los riesgos, donde se revisarn todos los puntos anteriores. En algunas organizaciones se realizan auditoras especficas de respuesta al riesgo, en las que se examinan y documentan la eficacia de la respuesta al riesgo. Otras herramientas de control de riesgo son el anlisis de valor de trabajo realizado y la medicin de rendimiento tcnico que proporcionan datos valiosos sobre desviaciones de los objetivos proyecto.
6. Ejemplos Si la compaa es muy pequea (3 a 5 personas) y paga mal, efectivamente existe el riesgo de que se vaya un miembro importante del equipo y genere un retraso importante. Si la compaa cliente est en problemas financieros, realmente existe un riesgo de que se suspenda el proyecto. Si contrata el gobierno y falta poco para cambio de gobierno, s existe riesgo de suspender el proyecto. Si se va a realizar un proyecto sobre una tecnologa que est a punto de ser cambiada por otra (ya se sabe) realmente existe el riesgo de que el producto no vaya a servir. Si se participa en un concurso con otras compaas para terminar un producto, entonces s existe riesgo de que otra compaa termine primero.