Gestión de Riesgos en Proyectos: Identificación, Evaluación Cualitativa y Cuantitativa

Identificación de Riesgos: Activos, Herramientas y Salidas

La gestión de riesgos es un pilar fundamental en la dirección de proyectos. A continuación, se detallan los activos, herramientas, técnicas y salidas clave para la identificación y el análisis de riesgos.

Activos de los Procesos de la Organización

Los activos de los procesos de la organización que pueden influir en el proceso de Identificación de Riesgos incluyen, entre otros:

  • Los archivos del proyecto, incluidos los datos reales.
  • Los controles de los procesos de la organización y del proyecto.
  • Los formatos o plantillas de declaración de riesgos.
  • Las lecciones aprendidas.

Identificación de Riesgos: Herramientas y Técnicas

Revisiones a la Documentación

Puede efectuarse una revisión estructurada de la documentación del proyecto, incluidos los planes, los supuestos, los archivos de proyectos anteriores, los acuerdos y otra información. La calidad de los planes, así como la consistencia entre dichos planes y los requisitos y supuestos del proyecto, pueden ser indicadores de riesgo en el proyecto.

Técnicas de Recopilación de Información

Entre los ejemplos de técnicas de recopilación de información utilizadas en la identificación de riesgos se cuentan:

  • Tormenta de ideas: El objetivo de la tormenta de ideas es obtener una lista completa de los riesgos del proyecto. Por lo general, el equipo del proyecto efectúa tormentas de ideas, a menudo con un grupo multidisciplinario de expertos que no forman parte del equipo. Bajo el liderazgo de un facilitador, se generan ideas acerca de los riesgos del proyecto, ya sea por medio de una sesión tradicional y abierta de tormenta de ideas, o en una sesión estructurada donde se utilizan técnicas de entrevista masiva. Como marco de referencia pueden utilizarse categorías de riesgo, como en una estructura de desglose de riesgos. Posteriormente se identifican y categorizan los riesgos según su tipo, y se refinan sus definiciones.
  • Técnica Delphi: La técnica Delphi es una manera de lograr un consenso de expertos. Los expertos en riesgos del proyecto participan en esta técnica de forma anónima. Un facilitador utiliza un cuestionario para solicitar ideas acerca de los riesgos importantes del proyecto. Las respuestas son resumidas y posteriormente enviadas nuevamente a los expertos para recabar comentarios adicionales. En pocas rondas de este proceso se puede lograr el consenso. La técnica Delphi ayuda a reducir sesgos en los datos y evita que cualquier persona ejerza influencias indebidas en el resultado.
  • Entrevistas: La realización de entrevistas a los participantes experimentados del proyecto, a los interesados y a los expertos en la materia ayuda a identificar los riesgos.
  • Análisis de causa raíz: El análisis de causa raíz es una técnica específica para identificar un problema, determinar las causas subyacentes que lo ocasionan y desarrollar acciones preventivas.

Análisis con Lista de Verificación

Las listas de verificación para la identificación de riesgos se desarrollan sobre la base de la información histórica y del conocimiento acumulado a partir de proyectos anteriores similares y de otras fuentes de información. También puede utilizarse como lista de verificación de riesgos el nivel más bajo de la RBS (Estructura de Desglose de Riesgos). Si bien una lista de verificación puede ser rápida y sencilla, es imposible elaborar una lista exhaustiva, y se debe tener cuidado para asegurar que la lista de verificación no sea utilizada para evitar el esfuerzo de una adecuada identificación de riesgos. El equipo también debe explorar elementos que no aparecen en la lista de verificación. Además, la lista de verificación se debe depurar de vez en cuando para eliminar o archivar elementos relacionados. La lista de verificación debe revisarse durante el cierre del proyecto para incorporar nuevas lecciones aprendidas a fin de mejorarla para poder usarla en proyectos futuros.

Análisis de Supuestos

Cada proyecto y su plan se conciben y desarrollan sobre la base de un conjunto de hipótesis, escenarios o supuestos. El análisis de supuestos explora la validez de los supuestos según se aplican al proyecto. Identifica los riesgos del proyecto relacionados con el carácter inexacto, inestable, inconsistente o incompleto de los supuestos.

Técnicas de Diagramación

Las técnicas de diagramación de riesgos pueden incluir:

  • Diagramas de causa y efecto: Estos diagramas también se conocen como diagramas de Ishikawa o diagramas de espina de pescado y son útiles para identificar las causas de los riesgos.
  • Diagramas de flujo de procesos o de sistemas: Estos diagramas muestran cómo se relacionan entre sí los diferentes elementos de un sistema, y el mecanismo de causalidad.
  • Diagramas de influencias: Son representaciones gráficas de situaciones que muestran las influencias causales, la cronología de eventos y otras relaciones entre las variables y los resultados.

Análisis FODA

Esta técnica examina el proyecto desde cada uno de los aspectos FODA (Fortalezas, Oportunidades, Debilidades y Amenazas) para aumentar el espectro de riesgos identificados, incluidos los riesgos generados internamente. La técnica comienza con la identificación de las fortalezas y debilidades de la organización, centrándose ya sea en el proyecto, en la organización o en el negocio en general. El análisis FODA identifica luego cualquier oportunidad para el proyecto con origen en las fortalezas de la organización y cualquier amenaza con origen en las debilidades de la organización. El análisis también examina el grado en el que las fortalezas de la organización contrarrestan las amenazas, e identifica las oportunidades que pueden servir para superar las debilidades.

Juicio de Expertos

Los expertos con la experiencia adecuada, adquirida en proyectos o áreas de negocio similares, pueden identificar los riesgos directamente. El director del proyecto debe identificar a dichos expertos e invitarlos a considerar todos los aspectos del proyecto, y a sugerir los posibles riesgos basándose en sus experiencias previas y en sus áreas de especialización. En este proceso se deben tener en cuenta los sesgos de los expertos.

Identificación de Riesgos: Salidas

Registro de Riesgos

La salida principal del proceso Identificar los Riesgos es la entrada inicial al registro de riesgos. El registro de riesgos es un documento en el cual se registran los resultados del análisis de riesgos y de la planificación de la respuesta a los riesgos. Contiene los resultados de los demás procesos de gestión de riesgos a medida que se llevan a cabo, lo que da lugar a un incremento en el nivel y tipo de información contenida en el registro de riesgos conforme transcurre el tiempo. La preparación del registro de riesgos comienza en el proceso Identificar los Riesgos con la información que se detalla a continuación, y posteriormente queda a disposición de otros procesos de la dirección de proyectos y de gestión de los riesgos:

  • Lista de riesgos identificados: Los riesgos identificados se describen con un nivel de detalle razonable. Se puede utilizar una estructura para describir los riesgos mediante enunciados de riesgo, como por ejemplo: Se puede producir un EVENTO que causaría un IMPACTO, o Si existe CAUSA, puede dar lugar a este EVENTO que produciría tal EFECTO. Además de la lista de riesgos identificados, las causas raíz de esos riesgos pueden aparecer de manera más evidente. Se trata de condiciones o eventos fundamentales que pueden dar lugar a uno o más riesgos identificados. Se deben registrar y utilizar para favorecer la identificación futura de riesgos, tanto para el proyecto en cuestión como para otros proyectos.
  • Lista de respuestas potenciales: En ocasiones se pueden identificar respuestas potenciales a un riesgo durante el proceso Identificar los Riesgos. Dichas respuestas, si se identifican durante este proceso, se deben utilizar como entradas para el proceso Planificar la Respuesta a los Riesgos.

Realizar el Análisis Cualitativo de Riesgos

Realizar el Análisis Cualitativo de Riesgos es el proceso de priorizar riesgos para análisis o acción posterior, evaluando y combinando la probabilidad de ocurrencia e impacto de dichos riesgos. El beneficio clave de este proceso es que permite a los directores de proyecto reducir el nivel de incertidumbre y concentrarse en los riesgos de alta prioridad. El Gráfico 11-8 muestra las entradas, herramientas y técnicas, y salidas de este proceso. El Gráfico 11-9 representa el diagrama de flujo de datos del proceso.

Realizar el Análisis Cualitativo de Riesgos evalúa la prioridad de los riesgos identificados a través de la probabilidad relativa de ocurrencia, del impacto correspondiente sobre los objetivos del proyecto si los riesgos llegaran a presentarse, así como de otros factores, tales como el plazo de respuesta y la tolerancia al riesgo por parte de la organización, asociados con las restricciones del proyecto en términos de costo, cronograma, alcance y calidad. Dichas evaluaciones reflejan la actitud frente a los riesgos, tanto del equipo del proyecto como de otros interesados. Por lo tanto, una evaluación eficaz requiere la identificación explícita y la gestión de los enfoques frente al riesgo por parte de los participantes clave en el marco del proceso Realizar el Análisis Cualitativo de Riesgos. Cuando estos enfoques frente al riesgo introducen sesgos en la evaluación de los riesgos identificados, debe prestarse atención en la identificación de dichos sesgos y en su corrección. La definición de niveles de probabilidad e impacto puede reducir la influencia de sesgos. La criticidad temporal de las acciones relacionadas con los riesgos puede magnificar la importancia de un riesgo. Una evaluación de la calidad de la información disponible sobre los riesgos del proyecto también ayuda a clarificar la evaluación de la importancia del riesgo para el proyecto. Realizar el Análisis Cualitativo de Riesgos es por lo general un medio rápido y económico de establecer prioridades para Planificar la Respuesta a los Riesgos y sienta las bases para Realizar el Análisis Cuantitativo de Riesgos, si fuera necesario. El proceso Realizar el Análisis Cualitativo de Riesgos se lleva a cabo de manera regular a lo largo del ciclo de vida del proyecto, tal como se define en el plan de gestión de los riesgos del proyecto. Este proceso puede conducir al proceso Realizar el Análisis Cuantitativo de Riesgos (Sección 11.4) o directamente al proceso Planificar la Respuesta a los Riesgos.

Entradas para el Análisis Cualitativo de Riesgos

Plan de Gestión de los Riesgos

Los elementos clave del plan de gestión de los riesgos que se utilizan en el proceso Realizar el Análisis Cualitativo de Riesgos incluyen los roles y responsabilidades para llevar a cabo la gestión de riesgos, los presupuestos, las actividades del cronograma relativas a la gestión de riesgos, así como las categorías de riesgo, las definiciones de probabilidad e impacto, la matriz de probabilidad e impacto y las tolerancias al riesgo de los interesados revisadas. Estas entradas normalmente se adaptan al proyecto durante el proceso Planificar la Gestión de los Riesgos. Si no están disponibles, pueden desarrollarse durante el proceso Realizar el Análisis Cualitativo de Riesgos.

Línea Base del Alcance

Los proyectos de tipo común o recurrente tienden a que sus riesgos sean mejor comprendidos. Los proyectos que utilizan tecnología de punta o primera en su clase, así como los proyectos altamente complejos, tienden a tener más incertidumbre. Esto se puede evaluar mediante el análisis de la línea base del alcance.

Herramientas y Técnicas para el Análisis Cualitativo de Riesgos

Matriz de Probabilidad e Impacto

Los riesgos se pueden priorizar con vistas a un análisis cuantitativo posterior y a la planificación de respuestas basadas en su calificación. Las calificaciones se asignan a los riesgos en base a la probabilidad y al impacto previamente evaluados. Por lo general, la evaluación de la importancia de cada riesgo y de su prioridad de atención se efectúa utilizando una tabla de búsqueda o una matriz de probabilidad e impacto. Dicha matriz especifica las combinaciones de probabilidad e impacto que llevan a calificar los riesgos con una prioridad baja, moderada o alta. Dependiendo de las preferencias de la organización, se pueden utilizar términos descriptivos o valores numéricos. Cada riesgo se califica de acuerdo con su probabilidad de ocurrencia y con el impacto sobre un objetivo, en caso de que se materialice. La organización debe determinar qué combinaciones de probabilidad e impacto dan lugar a una clasificación de riesgo alto, riesgo moderado y riesgo bajo. En una matriz en blanco y negro, estas condiciones se representan mediante diferentes tonalidades de gris. En el Gráfico 11-10, en particular, el área gris oscuro (con las cifras más altas) representa un riesgo alto, el área gris intermedio (con las cifras más bajas) representa un riesgo bajo y el área gris claro (con las cifras intermedias) representa el riesgo moderado. Por lo general, la organización define estas reglas de calificación de los riesgos antes del inicio del proyecto y se incluyen entre los activos de los procesos de la organización. Las reglas de calificación de los riesgos pueden adaptarse al proyecto específico durante el proceso Planificar la Gestión de los Riesgos.

Como se ilustra en el Gráfico 11-10, una organización puede calificar un riesgo de manera individual para cada objetivo (p.ej., costo, tiempo y alcance). Además, puede desarrollar formas de determinar una calificación general para cada riesgo. Finalmente, las oportunidades y las amenazas se manejan en la misma matriz, utilizando las definiciones de los diversos niveles de impacto adecuados para cada una de ellas. La calificación de los riesgos ayuda a definir las respuestas a los mismos. Por ejemplo, los riesgos que tienen un impacto negativo sobre los objetivos, conocidos como amenazas cuando se materializan, y que se encuentran en la zona de riesgo alto (gris oscuro) de la matriz, pueden requerir prioridad en la acción y estrategias de respuesta agresivas. Las amenazas que se encuentran en la zona de riesgo bajo (gris intermedio) pueden no requerir una acción de gestión proactiva, más allá de ser incluidas en el registro de riesgos como parte de la lista de observación o de ser agregadas a una reserva para contingencias. Lo mismo ocurre para las oportunidades, debe darse prioridad a las oportunidades que se encuentran en la zona de riesgo alto (gris oscuro), ya que se pueden obtener más fácilmente y proporcionar mayores beneficios. Las oportunidades en la zona de riesgo bajo (gris intermedio) deben monitorearse.

Evaluación de la Calidad de los Datos sobre Riesgos

La evaluación de la calidad de los datos sobre riesgos es una técnica para evaluar el grado de utilidad de los datos sobre riesgos para llevar a cabo la gestión de los mismos. Implica examinar el grado de entendimiento del riesgo y la exactitud, calidad, fiabilidad e integridad de los datos relacionados con el riesgo. El uso de datos de riesgos de baja calidad puede llevar a un análisis cualitativo de riesgos que tenga escasa utilidad para el proyecto. Si la calidad de los datos es inaceptable, puede ser necesario recopilar datos mejores. A menudo la recopilación de información sobre riesgos es difícil y consume más tiempo y recursos que los originalmente planificados. Los valores utilizados en el ejemplo del Gráfico 11-10 son representativos. Los números de los grados de la escala normalmente se determinan al definir la actitud de la organización frente al riesgo.

Categorización de Riesgos

Los riesgos del proyecto se pueden categorizar por fuentes de riesgo (p.ej., utilizando la RBS), por área del proyecto afectada (p.ej., utilizando la EDT/WBS – Estructura de Desglose del Trabajo) o por otras categorías útiles (p.ej., fase del proyecto) a fin de determinar qué áreas del proyecto están más expuestas a los efectos de la incertidumbre. Los riesgos también se pueden categorizar por causas raíces comunes. Esta técnica ayuda a determinar los paquetes de trabajo, las actividades, las fases del proyecto o incluso los roles del proyecto que pueden conducir al desarrollo de respuestas eficaces frente al riesgo.

Evaluación de la Urgencia de los Riesgos

Los riesgos que requieren respuestas a corto plazo pueden ser considerados de atención más urgente. Entre los indicadores de prioridad se pueden incluir la probabilidad de detectar el riesgo, el tiempo para dar una respuesta a los riesgos, los síntomas y las señales de advertencia, y la calificación del riesgo. En algunos análisis cualitativos, la evaluación de la urgencia de un riesgo se combina con la calificación del riesgo obtenida a través de la matriz de probabilidad e impacto para obtener una calificación final de la severidad del riesgo.

Juicio de Expertos

El juicio de expertos es necesario para evaluar la probabilidad y el impacto de cada riesgo, para determinar su ubicación dentro de la matriz representada en el Gráfico 11-10. Por lo general, los expertos son aquellas personas que ya han tenido experiencia en proyectos similares recientes. La obtención del juicio de expertos se consigue a menudo mediante talleres de facilitación o entrevistas. En este proceso se deben tener en cuenta los sesgos de los expertos.

Salidas del Análisis Cualitativo de Riesgos

Actualizaciones a los Documentos del Proyecto

Los documentos del proyecto susceptibles de actualización incluyen, entre otros:

  • Actualizaciones al registro de riesgos: A medida que se dispone de nueva información a través de la evaluación cualitativa de riesgos, se va actualizando el registro de riesgos. Las actualizaciones al registro de riesgos pueden incluir evaluaciones de probabilidad e impacto para cada riesgo, clasificación y calificación de riesgos, información de la urgencia o categorización de los riesgos, así como una lista de observación para los riesgos de baja probabilidad o que requieren análisis adicional.
  • Actualizaciones al registro de supuestos: A medida que se dispone de nueva información a través de la evaluación cualitativa de riesgos, los supuestos pueden cambiar. Es preciso revisar el registro de supuestos para dar cabida a esta nueva información. Los supuestos se pueden incorporar en el enunciado del alcance del proyecto o en un registro de supuestos independiente.

Realizar el Análisis Cuantitativo de Riesgos

Realizar el Análisis Cuantitativo de Riesgos es el proceso de analizar numéricamente el efecto de los riesgos identificados sobre los objetivos generales del proyecto. El beneficio clave de este proceso es que genera información cuantitativa sobre los riesgos para apoyar la toma de decisiones a fin de reducir la incertidumbre del proyecto. El Gráfico 11-11 muestra las entradas, herramientas y técnicas, y salidas de este proceso. El Gráfico 11-12 representa el diagrama de flujo de datos del proceso.

El proceso Realizar el Análisis Cuantitativo de Riesgos se aplica a los riesgos priorizados mediante el proceso Realizar el Análisis Cualitativo de Riesgos por tener un posible impacto significativo sobre las demandas concurrentes del proyecto. El proceso Realizar el Análisis Cuantitativo de Riesgos analiza el efecto de dichos riesgos sobre los objetivos del proyecto. Se utiliza fundamentalmente para evaluar el efecto acumulativo de todos los riesgos que afectan el proyecto. Cuando los riesgos guían el análisis cuantitativo, el proceso se puede utilizar para asignar a esos riesgos una prioridad numérica individual.

Por lo general, el proceso Realizar el Análisis Cuantitativo de Riesgos se realiza después del proceso Realizar el Análisis Cualitativo de Riesgos. En algunos casos puede que no sea posible llevar a cabo el proceso Realizar el Análisis Cuantitativo de Riesgos debido a la falta de datos suficientes para desarrollar los modelos adecuados. El director del proyecto debe utilizar el juicio de expertos para determinar la necesidad y la viabilidad del análisis cuantitativo de riesgos. La disponibilidad de tiempo y presupuesto, así como la necesidad de declaraciones cualitativas o cuantitativas acerca de los riesgos y sus impactos, determinarán qué método o métodos emplear para un determinado proyecto. El proceso Realizar el Análisis Cuantitativo de Riesgos debe repetirse, según las necesidades, como parte del proceso Controlar los Riesgos, para determinar si se ha reducido satisfactoriamente el riesgo global del proyecto. Las tendencias pueden indicar la necesidad de una mayor o menor atención a las actividades adecuadas en materia de gestión de riesgos.

Entradas para el Análisis Cuantitativo de Riesgos

Plan de Gestión de los Riesgos

El plan de gestión de los riesgos proporciona guías, métodos y herramientas para su utilización en el análisis cuantitativo de riesgos.

Plan de Gestión de los Costos

El plan de gestión de los costos proporciona guías para el establecimiento y la gestión de las reservas de riesgos.

Plan de Gestión del Cronograma

El plan de gestión del cronograma proporciona guías para el establecimiento y la gestión de las reservas de riesgos.

Registro de Riesgos

El registro de riesgos se utiliza como punto de referencia para llevar a cabo el análisis cuantitativo de riesgos.

Factores Ambientales de la Empresa

Los factores ambientales de la empresa pueden proporcionar conocimiento y contexto para el análisis de riesgos, como ser:

  • Estudios de la industria sobre proyectos similares realizados por especialistas en riesgos.
  • Bases de datos de riesgos que pueden obtenerse de fuentes industriales o propietarias.

Activos de los Procesos de la Organización

Los activos de los procesos de la organización que pueden influir en el proceso Realizar el Análisis Cuantitativo de Riesgos incluyen la información de proyectos anteriores similares completados.

Herramientas y Técnicas para el Análisis Cuantitativo de Riesgos

Técnicas de Recopilación y Representación de Datos

  • Entrevistas: Las técnicas de entrevistas se basan en la experiencia y en datos históricos para cuantificar la probabilidad y el impacto de los riesgos sobre los objetivos del proyecto. La información necesaria depende del tipo de distribuciones de probabilidad que se vayan a utilizar. Por ejemplo, para algunas distribuciones comúnmente usadas, la información se podría recopilar agrupándola en escenarios optimistas (bajo), pesimistas (alto) y más probables. El Gráfico 11-13 muestra ejemplos de estimaciones por tres valores. Existe información adicional sobre las estimaciones por tres valores en el proceso Estimar la Duración de las Actividades (Sección 6.5) y en el proceso Estimar los Costos (Sección 7.2). La documentación de la lógica de los rangos de riesgo y de los supuestos subyacentes son componentes importantes de la entrevista sobre riesgos, ya que pueden proporcionar conocimiento sobre la fiabilidad y la credibilidad del análisis.
  • Distribuciones de probabilidad: Las distribuciones continuas de probabilidad, utilizadas ampliamente en el modelado y simulación, representan la incertidumbre en valores tales como las duraciones de las actividades del cronograma y los costos de los componentes del proyecto. Las distribuciones discretas pueden emplearse para representar eventos inciertos, como el resultado de una prueba o un posible escenario en un árbol de decisiones. El Gráfico 11-14 muestra dos ejemplos de distribuciones continuas ampliamente utilizadas. Estas distribuciones describen formas que son compatibles con los datos que se generan habitualmente durante el análisis cuantitativo de riesgos. Las distribuciones uniformes se pueden emplear cuando no hay un valor obvio que sea más probable que cualquier otro entre los límites superior e inferior especificados, como ocurre en la etapa inicial de concepción de un diseño.

Técnicas de Análisis Cuantitativo de Riesgos y de Modelado

Las técnicas comúnmente utilizadas recurren tanto a los análisis orientados a eventos como a los orientados a proyectos, e incluyen:

  • Análisis de sensibilidad: El análisis de sensibilidad ayuda a determinar qué riesgos tienen el mayor impacto potencial en el proyecto. Ayuda a comprender la correlación que existe entre las variaciones en los objetivos del proyecto y las variaciones en las diferentes incertidumbres. Por otra parte, evalúa el grado en que la incertidumbre de cada elemento del proyecto afecta al objetivo que se está estudiando cuando todos los demás elementos inciertos son mantenidos en sus valores de línea base. Una representación típica del análisis de sensibilidad es el diagrama con forma de tornado (Gráfico 11-15), el cual resulta útil para comparar la importancia y el impacto relativos de las variables que tienen un alto grado de incertidumbre con respecto a las que son más estables. El diagrama con forma de tornado también resulta útil a la hora de analizar escenarios de asunción de riesgos basados en riesgos específicos cuyo análisis cuantitativo pone de relieve posibles beneficios superiores a los impactos negativos correspondientes. Un diagrama con forma de tornado es un tipo especial de diagrama de barras que se utiliza en el análisis de sensibilidad para comparar la importancia relativa de las variables. En un diagrama con forma de tornado el eje Y representa cada tipo de incertidumbre en sus valores base, mientras que el eje X representa la dispersión o correlación de la incertidumbre con la salida que se está estudiando. En esta figura, cada incertidumbre contiene una barra horizontal y se ordena verticalmente para mostrar las incertidumbres con dispersión decreciente con respecto a los valores base.
  • Análisis del valor monetario esperado (EMV): El análisis del valor monetario esperado (EMV) es un concepto estadístico que calcula el resultado promedio cuando el futuro incluye escenarios que pueden ocurrir o no (es decir, análisis bajo incertidumbre). El EMV de las oportunidades se expresa por lo general con valores positivos, mientras que el de las amenazas se expresa con valores negativos. El EMV requiere un supuesto de neutralidad del riesgo, ni de aversión al riesgo ni de atracción por éste. El EMV para un proyecto se calcula multiplicando el valor de cada posible resultado por su probabilidad de ocurrencia y sumando luego los resultados. Un uso común de este tipo de análisis es el análisis mediante árbol de decisiones (Gráfico 11-16).