Buscar este blog

21 de julio de 2013

Respuesta al Riesgo marca ACME

Los riesgos son consustanciales a cualquier proyecto. El proyecto más valioso para la organización ejecutante, para quien lo dirige, para quien lo ejecuta, para quien está involucrado de alguna manera, suele ser también el más incierto: hay mucho más en juego, mucho que ganar pero también mucho que perder. No obstante, en estos tiempos ya no vamos a ganar cuota de mercado o adelantar a la competencia sin arriesgarnos. Los proyectos que arriesgan poco, deberían ceder recursos a los que arriesgan mucho. Como dice Tom DeMarco: “Si un proyecto no tiene riesgos, no lo hagas”

Para el Director de Proyectos, cualquier cosa que no tenemos derecho a creer, es un riesgo. La palabra riesgo es sinónimo de incertidumbre. Gestionar riesgos consiste en anticiparse a esos eventos inciertos, para no tener que improvisar si es que ocurren. Es importante anticiparse a los problemas, gestionando los riesgos negativos o amenazas, y es importante anticiparse a los beneficios, gestionando los riesgos positivos u oportunidades. Al Director de Proyectos no le gusta verse sorprendido por los problemas, pero tampoco quiere que le sorprenda un éxito inesperado, quiere verlo venir. Queremos gestionar cuando hay tiempo, cuando tenemos opciones. En resumen: no confiamos en la improvisación. Improvisar es la peor manera de gestionar. 

Lo contrario a gestión de riesgos se llama gestión de crisis. 



Si bien las incertidumbres pueden ir a favor o en contra, normalmente nos ocupamos más de los riesgos negativos, o amenazas, que de ocurrir serán problemas que perjudicarán los objetivos del proyecto (más coste, más plazo, peor calidad, más trabajo). La guía PMBOK® nos ofrece 5 tipos de respuestas ante las amenazas: evitar, mitigar, transferir, aceptar pasivamente y aceptar activamente. 

A mí personalmente no me gusta decir que estoy aceptando pasivamente un riesgo, prefiero decir asumir. Tampoco me gusta decir que estoy aceptando activamente un riesgo, prefiero decir contener. Por otro lado, me parecen más fácil de recordar los tipos de respuesta que propone Tom DeMarco en su libro Waltzing with Bears: Managing Risk on Software Projects: Avoid (evitar), Contain (contener), Migitate (mitigar), Evade (asumir).

Otra ventaja es que estos 4 tipos de respuestas son muy fáciles de recordar: Observen que las cuatro iniciales forman la palabra ACME. ¿Recuerdan aquellos dibujos animados del Coyote y el Correcaminos? ¿La marca de los artilugios que usaba el Coyote? Estos artilugios funcionaban siempre mal, en contra del pobre Coyote. Podría decirse que no gestionaba muy bien los riesgos, ¿no les parece?

Gestionar riesgos correctamente puede ser muy efectivo. El cuadro completo para gestionar los riesgos de los proyectos consiste en 6 procesos, perfectamente descritos en la guía PMBOK®:


  1. Planificar la Gestión de Riesgos trata de establecer las reglas aplicables a este proyecto, dado el perfil de propensión al riesgo y tolerancia que tiene la organización ejecutante. Qué clases de riesgos han de considerarse, qué plantillas de documentos, qué herramientas, qué órganos de decisión, umbrales, circuitos de escalado, etc. 
  2. Identificar los Riesgos consiste en deducir, con la ayuda de expertos y otros interesados, qué no tenemos derecho a creer en relación a este proyecto y por qué.
  3. Realizar el Análisis Cualitativo de Riesgos no es otra cosa que ordenar los riesgos identificados según su importancia relativa (el potencial daño que podrían causar, si se trata de amenazas).
  4. Realizar el Análisis Cuantitativo de Riesgos significa determinar numéricamente el tamaño de las ventanas de incertidumbre, respondiendo preguntas como: ¿cuál es la probabilidad de terminar antes de agosto? ¿cuál es la probabilidad de que el proyecto cueste menos de 1,5 millones de €? ¿cuál debe ser el tamaño de las reservas de coste y plazo para tener una confianza superior al 50%?
  5. Planificar la Respuesta a los Riesgos es el proceso de desarrollar opciones y acciones para mejorar las oportunidades y reducir las amenazas a los objetivos del proyecto.
  6. Controlar los Riesgos es el proceso de implementar los planes de respuesta a los riesgos, monitorizar los riesgos identificados y los riesgos residuales, identificar nuevos riesgos y evaluar la efectividad del proceso.
En el proceso 11.5 del PMBOK, Planificar la Respuesta a los Riesgos, podemos encontrar que hay 5 tipos de respuestas a los riesgos negativos, o amenazas, y otros 5 tipos de respuestas para los riesgos positivos, u oportunidades.

Con relación a las oportunidades, yo tengo un problema con la terminología: No me gusta decir que gestiono riesgos cuando estoy gestionando oportunidades. Intentaré explicarme mejor con un ejemplo. Imaginemos que somos el proveedor de una herramienta de gestión de proyectos. Nos enteramos de que un potencial cliente publica un concurso para adquirir un servicio de PMO, y pide oferta a 5 empresas de consultoría. Una de ellas nos propone subcontratar nuestra herramienta integrarla en su oferta de servicios. Así pues, es probable que vendamos nuestra herramienta: identificamos una oportunidad. Ahora podemos gestionar esa oportunidad decidiendo nuestra mejor respuesta:
  • Podemos aceptar la oportunidad, esto es, no hacer nada porque confiamos que esta consultora será adjudicataria y después negociaremos. Aunque sea una respuesta pasiva, no hay duda de que estamos gestionando: estamos decidiendo que lo más adecuado es esperar.
  • Podemos mejorar la oportunidad, si adelantamos algunas funcionalidades que estaban previstas para la siguiente versión de la herramienta, que la hacen más adecuada para prestar servicios de PMO, y cerramos un acuerdo a un mayor precio con la empresa consultora.
  • Podemos explotar la oportunidad, si llegamos a un acuerdo de colaboración con cada una de las 5 consultoras, es seguro que venderemos nuestra herramienta. Ya no hay más incertidumbre.
  • Podemos compartir la oportunidad, si nos aliamos con otro proveedor de herramientas competidor nuestro, al que también es probable que subcontraten las otras consultoras.

En cada uno de estos casos, a mí no se me ocurre decir que estoy gestionando el riesgo de vender mi herramienta. Tenemos que hacer un gran esfuerzo para utilizar la palabra riesgo si nos referimos a una oportunidad, ¿no creen?

Ahora volvamos a los riesgos de toda la vida, las incertidumbres negativas o las amenazas. Admitamos que normalmente usamos la palabra riesgo en este sentido. El mismo Tom DeMarco se expresa así: “Un riesgo es un problema que no ha ocurrido. Un problema es un riesgo que se ha materializado”

Como ya he mencionado antes, yo prefiero usar la terminología propuesta por Tom DeMarco para los tipos de respuesta a los riesgos. Es equivalente a la del PMBOK, pero creo que es más fácil de recordar:

  • Avoid: Un riesgo se puede evitar (también se dice sortear, prevenir, anular) no haciendo lo que provoca el riesgo, pero entonces también se deja de ganar el beneficio que supone la oportunidad de hacerlo. 
  • Contain: Un riesgo se puede contener: reservar tiempo y dinero suficiente por si ocurre. En la práctica, no tiene mucho sentido contener un solo riesgo, sino el conjunto completo. Algunos se materializarán y otros no. La estrategia de contingencia consiste en reservar los recursos suficientes, en media, para compensar los riesgos que puedan materializarse.
  • Mitigate: Un riesgo se puede mitigar: tomar medidas antes de su materialización para reducir los eventuales costes de reparación. Se anticipan los pasos necesarios para que la estrategia de reparación elegida sea implementable en el momento de la materialización.
  • Evade: Un riesgo se puede asumir, es decir, cruzar los dedos para que no ocurra. Esta es la única respuesta que no cuesta dinero, pero solo si no ocurre el problema, porque si ocurre, el impacto puede llegar a ser extraordinario.

Para Tom DeMarco, transferir es una forma de mitigar porque generalmente significa gastar dinero antes de que el riesgo se convierta en problema (pagando por un seguro, por ejemplo). 

Por explicar estas respuestas a amenazas con un ejemplo, imaginemos que mi hijo de 6 años está aprendiendo a montar en bici. Lleva un tiempo practicando con dos ruedas y parece que mantiene bien el equilibrio. Está tomando confianza, quizá demasiada, va demasiado rápido, ya no le puedo seguir corriendo. Identifico el riesgo de que se caiga y se fracture la cabeza, por ejemplo. Ahora voy a gestionar este riesgo eligiendo una de estas 4 posibles respuestas:
  • Avoid: (evitar): Lo más sencillo es prevenir el riesgo totalmente (o evitar el riesgo). Puedo decirle “Arturo, te prohíbo terminantemente montar en bici nunca más”. No me gusta esta decisión por el alto coste en su desarrollo físico, social y psicológico, en nuestra relación padre-hijo, etc.
  • Contain (contener): Puedo comprar un botiquín de primeros auxilios y atenderle rápidamente si se cae, me aseguro de que podría llevarle al hospital en menos de 15 minutos.
  • Mitigate (mitigar): Puedo comprarle un casco y hacer que se lo ponga. Tengo el riesgo residual de que se lastime las rodillas. También pueden aparecer riesgos secundarios: ¿el casco le restará visibilidad? ¿le provocará una reacción alérgica?
  • Evade (asumir): ¡Bah, para qué preocuparse! Cuando yo tenía 6 años ya íbamos en bici por las calles y nunca pasó nada. Además, todo el mundo sabe que los niños son de goma. Si se cae, se araña un poco pero está bien que aprenda la lección. No le vendrá mal que coja un poco de miedo...

La última respuesta al riesgo es la más económica, sin duda, pero... ¿No me estaré autoengañando? ¿Tengo derecho a creer que no voy a tener un problema?