Gestión de riesgos en proyectos de Centros de Datos

De acuerdo con la definición del Project Management Institute (PMI®)[1], «riesgo» es un evento (o condición incierta) que podría ocurrir y generar un impacto positivo (una oportunidad) o negativo (una amenaza) en un proyecto, afectando al menos uno de los objetivos del proyecto.

En consecuencia, el objetivo de la gestión de riesgos es aumentar la probabilidad e impacto de eventos positivos (oportunidades) y disminuir la probabilidad e impacto de eventos negativos (amenazas).

Según la Guía de los Fundamentos para la Dirección de Proyectos (Guía del PMBOK®) del PMI®, los procesos relacionados con la gestión de riesgos están ubicados en dos grupos de procesos denominados Planificación y Monitoreo y control del proyecto.

[1] PMI® y PMBOK® son marcas registradas por el Project Management Institute, Inc.

Planificación

El primer paso es realizar el Plan de Gestión de Riesgos. Este plan precisa la forma en que se ejecutarán las demás actividades de la gestión de riesgos, se expondrán las definiciones de probabilidad e impacto, los umbrales de control aceptados, así como las responsabilidades y los roles relacionados con la gestión de riesgos. Un Plan de Gestión de Riesgos, como mínimo, debe:

  • Definir riesgos inaceptables y oportunidades no desaprovechables para la organización.
  • Definir las escalas de impacto (I), las escalas de probabilidad (P) y las matrices PxI.
  • Definir los umbrales; por ejemplo, si un riesgo tiene una probabilidad de ocurrencia muy alta (95%) ya no debería de clasificarse como riesgo, pasaría a ser un “hecho”, es decir ahora será parte del alcance del proyecto y deberá estar contenida en la Estructura de Desglose de Trabajo (EDT). Por otro lado, si su calificación es muy baja deberá estar en una “lista de observación” supervisada durante el ciclo de vida del proyecto.
  • Definir las categorías de riesgos; por ejemplo: riesgos externosriesgos internos; riesgos técnicos; y riesgos de gestión. Estas categorías pueden estar representadas en una Estructura de Desglose de Riesgos (RBS, por sus siglas en ingles).
  • Definir las pautas que serán utilizadas al momento de incluir las reservas de contingencia (para gestionar los riesgos identificados) y la reserva de gestión (para los riesgos no identificados) dentro del presupuesto del proyecto.
  • Programar las actividades de gestión de riesgos en el cronograma del proyecto; por ejemplo, definir cuándo se necesitará realizar auditorías y con qué frecuencia.
  • Definir las alertas que indiquen en qué momento ejecutar el Plan de Respuesta al Riesgo (disparadores de riesgos o triggers).

Luego de tener las reglas definidas, se debe trabajar para identificar los riesgos. La identificación de riesgos es un proceso iterativo, ya que estos pueden evolucionar, así como pueden surgir nuevos riesgos conforme avanza el proyecto. Es un proceso realizado por el equipo del proyecto, el equipo de gestión de riesgos, los clientes, los usuarios finales y los consultores; es decir, por todos los interesados del proyecto.

¿Cómo realizarlo? Existen distintas herramientas y técnicas para identificar los riesgos. Las más importantes son:

  • Revisiones a la documentación en proyectos anteriores (como lecciones aprendidas y documentos de proyectos anteriores).
  • Técnicas de recopilación de información (tormenta de ideas, entrevistas, foros, encuestas, etc.).

Recordar que siempre que exista una estimación, existe un riesgo. Por ello se debe realizar una correcta estimación de tiempos para el cronograma y una correcta estimación de costos para el presupuesto. PMI® recomienda como buena práctica utilizar la técnica de estimación de tres valores. Asimismo, el análisis de ruta crítica es importante para identificar los riesgos, poniendo especial atención en las actividades convergentes y divergentes. Si tenemos este tipo de actividades en nuestro cronograma, debemos realizar una evaluación detallada con el fin de gestionar el cumplimiento de las mismas, debido a que incrementa la posibilidad de no cumplir oportunamente con una parte o con la totalidad del proyecto.

Cuadro N°1: Ejemplo de Registro de riesgos – Identificación de riesgos

Fuente: Elaboración propia, 2017.

 

“Cuando se realice la Identificación de riesgos, es necesario pensar en “1000 riesgos”, para al final del análisis tener una “Lista larga”.

Cuando se realice la Identificación de riesgos, es necesario pensar en “1000 riesgos” para al final del análisis tener una “Lista larga”, es decir el Registro de riesgo. Este registro tendrá toda la información del proceso de Identificación de riesgos y estará en constante actualización conforme avanza el proyecto.

Al concluir este análisis, los riesgos deben ser clasificados y calificados. Para ello, se realizará un Análisis cualitativo. Es importante considerar que, debido a la naturaleza subjetiva de este análisis, es crucial utilizar adecuadamente las escalas de probabilidad e impacto definidas en el Plan de Gestión de Riesgos.

Cuadro N°2: Ejemplo de Registro de riesgos – Análisis cualitativo

Fuente: Elaboración propia, 2017.

El resultado de este análisis indicará la lista de riesgos prioritarios denominados “Lista corta”, que seguirán siendo analizados en los demás procesos de planificación de riesgos, así como una lista de riesgos no prioritarios, incluidos en la denominada “Lista de observación”.

En el ejemplo, una puntuación, definida en el Plan de Gestión de Riesgos, igual o mayor de 25 indica que el riesgo será incluido en la “Lista corta” o “Short List”; mientras que los riesgos con puntuaciones menores a 25 irán a la “Lista de observación” o “Watch List”.

La lógica de este análisis responde a que es difícil y poco práctico realizar un Plan de Respuesta para los 1000 riesgos identificados; por ello, nos direcciona a plantear estrategias de acción sólo para los riesgos incluidos en la Lista corta (riesgos prioritarios).

En el Plan de Respuesta se concreta la importancia práctica de la gestión de riesgos, con el objetivo de aumentar la probabilidad e impacto de las oportunidades y disminuir la probabilidad e impacto de las amenazas.

En relación con las respuestas, cuando se aborde una amenaza se podrían considerar las siguientes estrategias: evitar (eliminar el problema desde la causa); transferir (subcontratar a una empresa especializada); mitigar (reducir su P e I mediante acciones específicas); y aceptar.

Ante una oportunidad, se podrían utilizar las siguientes estrategias: explotar (asegurar que la oportunidad ocurra); compartir (asociarse); mejorar (aumentar la P o el I); y aceptar.

Asimismo, es importante definir a un propietario o dueño del riesgo que sea el responsable de analizarlo, monitorear sus disparadores e implementar el Plan de Respuesta al Riesgo cuando este se manifieste. PMI® recomienda contar con un Plan de contingencia (plan “A”) y un Plan de Respaldo (plan “B”).

Proceso iterativo: Monitoreo y control

La gestión de riesgos es un proceso iterativo; es decir, una vez culminados los procesos de planificación, el Registro de riesgos deben ser monitoreado y controlado durante todo el ciclo de vida del proyecto para corroborar la validez de la “Lista corta” y la “Lista de observación”. Cuando se activen los indicadores y el (los) riesgo(s) identificados sean evidentes, se deberá de actuar de acuerdo a los planes de respuesta aprobados. También se debe hacer énfasis en incluir y gestionar, mediante una gestión de riesgos profesional como la descrita en este artículo, todo riesgo que aparezca durante la ejecución del proyecto.

Por: Rogger Cabrera, Consulting Engineer. Ingenium