Buscar este blog

16 de octubre de 2011

Receta para Gestionar Riesgos

Este texto se ha traducido del libro:
Slack. Getting past burnout, busywork, and the myth of total efficiency
Editorial: Broadway Books. Autor: Tom DeMarco.



Un riesgo es algo negativo que puede ocurrir o no (o quizá ocurra en algún grado). Es negativo porque si ocurre, sus probabilidades globales de éxito disminuyen. Cuando un riesgo sucede, decimos que se materializa.
Gestionar riesgos significa declarar explícitamente la incertidumbre provocada por esas posibles materializaciones, pero antes de llegar a esto, es necesario trabajar individualmente sobre cada una de las incertidumbres identificadas. Hay dos clases de riesgos, que exigen diferente tipo de gestión: los riesgos agregados y los riesgos individuales. 



Riesgos Agregados y Riesgos Individuales

Un riesgo agregado es un potencial fallo global de un proyecto. Si su proyecto es construir un puente, por ejemplo, los riesgos agregados podrían ser:

  • Usted no logra llegar al otro lado del río y tiene que cancelar el proyecto.
  • Usted llega al otro lado, pero a un coste desorbitado (mucho más del que sus inversores se comprometieron a pagar).
  • Usted construye el puente finalmente, pero el retraso acumulado lo hace financieramente inviable.
  • Usted no respeta ciertas reglas de seguridad y uno o más de sus trabajadores fallecen en accidentes.
  • Usted logra terminar el puente en plazo y en coste, pero después se hunde en circunstancias ordinarias.
Cuando un riesgo agregado se materializa, el proyecto entero fracasa. La razón por la cual se gestionan los riesgos es para reducir o eliminar la posibilidad de estos fracasos globales, pero estos riesgos agregados no se gestionan directamente. La parte esencial de la gestión de riesgos es trabajar sobre los riesgos elementales o causales (esto es, el conjunto de cosas que pueden ir mal y acabar produciendo un fallo agregado). Por ejemplo, utilizar tecnología inadecuada, o emplear ingenieros no capacitados, pueden ser dos riesgos elementales que pueden contribuir al fallo agregado de “no llegar al otro lado del río”. Los riesgos individuales son las causas raíces potenciales de los fallos globales.


¿Qué significa Gestionar Riesgos?

La práctica de la gestión de riesgos varía de una organización a otra. Algunas tienen un proceso formal, mientras que otras lo practican implícitamente como parte integrada en la gestión del negocio. En cualquier caso, hay ciertas bases. Usted no puede decir que gestiona riesgos a menos que haga lo siguiente:
  • Enumerar cada riesgo y elaborar una lista.
  • Tener un proceso continuo de descubrimiento de nuevos riesgos.
  • Cuantificar cada riesgo con su impacto potencial y su probabilidad.
  • Designar un indicador de transición para cada riesgo que le avisará anticipadamente de que el riesgo está comenzando a materializarse.
  • Planificar de antemano cuáles serán sus respuestas para cada riesgo, en caso de que se materialice.

Finalmente, usted necesitará crear algún tipo de modelo que muestre cómo la suma de los efectos de los riesgos individuales afecta a la incertidumbre global. Esta incertidumbre suele mostrarse en forma de diagramas de riesgo (ver post Lo bueno y lo malo de gestionar riesgos). Normalmente hay diagramas diferentes para coste y plazo, y posiblemente para otros tipos de riesgo.

La gestión de riesgos ha de ser dinámica. Esto significa que la incertidumbre global declarada tiene que actualizarse a lo largo del proyecto. Los diagramas de riesgo hay que actualizarlos, como mínimo, cada vez que un riesgo individual se materializa o no se materializa (y ya no representa una amenaza).


Contingencia de Riesgos

La respuesta ante un riesgo una vez se ha materializado, dependerá de su naturaleza, el impacto que pueda tener sobre el éxito global del proyecto, y su probabilidad.

En el caso más simple, usted simplemente asume el impacto, paga por ello y continúa. El pago puede ser en dinero y/o en tiempo. Por ejemplo: Usted esperaba que su ingeniero de pruebas no se fuera de la empresa, pero ha sucedido. Usted incorpora a un ingeniero más caro, paga los costes de contratación y formación, y observa cómo su proyecto se retrasa varias semanas hasta que esta persona se pone a nivel. Coste total: 35.000 € más un mes de retraso irrecuperable. ¿De dónde viene ese dinero y ese tiempo? Es posible que el dinero se consiga y que el plazo se negocie, pero para que esto pase, previamente ha de haberse previsto alguna flexibilidad en el presupuesto y en el plazo. Esta flexibilidad se denomina “reserva”.

Cuando algo malo ocurre sin previo aviso, hay que correr a improvisar los recursos para superarlo. Cuando estas cosas se anticipan a través del mecanismo de gestión de riesgos, hay generalmente una reserva asignada para pagar. No hay una reserva para cada riesgo, sino una para el proyecto completo. El objetivo es asignar una reserva de plazo y presupuesto suficiente para obtener al menos una confianza del 50% de que se podrán pagar los impactos de los riesgos que se materialicen. Si su incertidumbre sobre los costes es más o menos así:

Entonces debe asignar una reserva de 1 M€ para obtener un margen de confianza del 50% (usted debería tener un diagrama similar para el plazo y usarlo de igual manera para determinar la reserva de plazo).

Las reservas para riesgos son tiempo y dinero planificado para trabajos ¡que puede que no se hagan! Sin gestión de riesgos, estas reservas se eliminan para rebajar el precio. Así es como acabamos con presupuestos y plazos que asumen que ningún riesgo se materializa (0% de probabilidad). Dado que la gestión de riesgos fuerza a declarar explícitamente la incertidumbre, es bastante natural asignar presupuesto y plazo para pagar los riesgos que se materialicen.

Asignar una reserva para un nivel de confianza igual o superior al 50%, se denomina “contingencia de riesgos”. Cuando los riesgos se pagan de esta reserva, se dice que se les aplican respuestas de contingencia. No supone un gran esfuerzo intelectual saber cuánto tiempo y dinero hay que reservar para dar contingencia a los riesgos más habituales de su negocio (un cuidadoso análisis postmortem de media docena de proyectos le suministrará la mayoría de los datos). El mayor esfuerzo es proteger esta reserva para que no sea eliminada por alguien que desea desesperadamente bajar el precio.


Mitigación de Riesgos

Mitigar riesgos consiste en actuar para reducir su impacto si finalmente ocurren. Hay dos aspectos de la mitigación de riesgos que no son inmediatamente obvios:
  • Algunas acciones de mitigación deben preceder a la materialización.
  • El plan de mitigación debe preceder a la materialización.

Algunas acciones de mitigación deben preceder a la materialización

Considere el riesgo de incendio en un colegio. Mientras sea sólo un riesgo (una cosa mala que puede ocurrir o no), usted no está obligado a hacer nada al respecto. Pero cuando se materializa, el riesgo cambia de ser meramente una abstracción a una crisis de la vida real. Ahora usted debe actuar. Pero si no ha trabajado previamente la preparación, algunas cosas que más desesperadamente quiere hacer ahora no van a ser posibles. A usted le encantaría tener extintores de incendios, pero nadie hizo el trabajo preparatorio para comprarlos, cargarlos y colocarlos. Usted necesita un timbre para avisar a los niños, pero ninguno fue instalado. Le gustaría que los niños hicieran una evacuación perfecta, pero nadie les enseño cómo hacerlo.


El plan de mitigación debe preceder a la materialización

Dado que el trabajo pre-materialización es necesario para que una mitigación efectiva sea posible, ha de haber un plan, aunque sólo sea para saber qué mitigación hacer y qué preparación requerirá.

En el caso de un incendio en un colegio, usted naturalmente ya sabía el trabajo que debe anticiparse. Lo que no es tan obvio es que la mitigación de los riesgos de su negocio también requiere trabajo previo. Debe de estar intelectualmente claro, pero hay una tendencia inquietante a ignorar este trabajo de pre-materialización porque viola una regla no escrita: “No trabajes en lo que a lo mejor no es necesario”. Esto es particularmente cierto en la gente bajo presión (¿y quién no está bajo presión?). Pónganle a un director de proyectos una fecha límite ajustada y él o ella razonarán: “Bien, voy a tener que esprintar una o dos veces durante el camino para finalizar a tiempo”. Ante un plazo tan agresivo, esprintar se convierte en una parte integral del plan. En un calendario “planificado para el éxito” no hay tiempo para trabajos que pueden no ser necesarios, esos que nos auto-convencemos de que no habrá que hacer porque los sprints los harán innecesarios.

El mínimo trabajo de pre-materialización para cada riesgo es esbozar un plan de respuesta a los riesgos. Recuerde que estas actividades de mitigación pueden terminar finalmente en el camino crítico, y preste atención a que todos los requisitos de las actividades predecesoras sean satisfechos, por si ocurren.