Análisis de Gestión de Riesgos en Proyectos BPM

Casi todo lo que hoy día se hace en el mundo de los negocios involucra algún riesgo: los hábitos de los clientes cambian, surgen nuevos competidores, existen factores fuera su control, es necesario incorporar una nueva tecnología, etc. Cualquiera de éstos puede generar una demora o complicación en los proyectos. Pero, el análisis formal de los riesgos, y su posterior gestión, pueden ayudar a abordar los riesgos con acciones específicas que contribuirán a disminuir los impactos en los proyectos. En otras palabras, la anticipación del riesgo permite hacer acciones de mitigación, que son mucho más baratas de hacer que las acciones correctiva cuando se presenta el riesgo.

En particular, la implementación de proyectos BPM nos hace pensar de inmediato que tienen una probabilidad importante de no llegar a buen término; es decir, intuimos que tienen un riesgo no menor. Basados en que implica incorporar una disciplina nueva, el BPM; y que involucra un cambio organizacional importante, los Dueños de Procesos de Negocios. Por tanto, en este artículo presentaré este tipo de análisis de riesgo para ayudar a determinar cual es la estrategia adecuada desde el punto de vista de la mitigación de los riesgos para un proyecto BPM y, de este modo se podrá planificar de mejor forma la ejecución del proyecto junto con aumentar la probabilidad de éxito.

Definición de Riesgo

Una definición simple de riesgo es: “Un riesgo es la percepción de la ocurrencia de un evento que pueda generar una pérdida” [1].

Otra definición más operativa en términos matemáticos es: “Un riesgo es una combinación de restricciones (limitaciones) e incertidumbres (dudas)” [2]. Gráficamente se tiene:



Curva Riesgo Aceptable


La curva del gráfico muestra el “Nivel Aceptable de Riesgo”. El riesgo se puede reducir hasta el Nivel Aceptable por medio de la disminución de las restricciones (técnicas, económicas, disponibilidad, etc.) y de la incertidumbre (probabilidad que ocurra el riesgo). En la práctica, las restricciones son muy difíciles de eliminar o flexibilizar, de manera que el foco se coloca en la disminución de la incertidumbre. Del gráfico se desprende que eliminar el riesgo totalmente no es posible o no es económicamente posible.

En los párrafos siguientes presentaré una metodología para analizar los riesgos basada en cuatro fases:

  1. Inventario de Riesgos

  2. Evaluación

  3. Priorización

  4. Control y Mitigación

Inventario de Riesgos

Para simplificar la detección de los riesgos se establecen las categorías indicadas en la tabla adjunta. Para cada categoría se deben identificar los riesgos que correspondan a su proyecto, en particular focalizándose en el proceso de negocios en cuestión. Los riesgos se identifican en función de la experiencia y percepción de las personas que hacen el análisis, de ahí la necesidad de conocer el proceso de negocios a cabalidad como también el ambiente operacional (organización, gente, estructuras de poder, etc.) y, finalmente es importante tener una argumentación plausible para justificar los riesgos identificados.

Categoría

Descripción

Humano

Derivados de las personas o la organización, enfermedades, falta disponibilidad, desvinculación, muerte, cambios de ejecutivos, estructuras de poder, oposición al cambio, etc.

Operacional

Generados por interrupciones o fallas en el abastecimiento y en las operaciones, pérdida de acceso a activos esenciales, fallas en la distribución, etc.

Reputación

Pérdida de la confianza de los socios de negocios, de los ejecutivos, de los usuarios, o daño a la reputación del área Informática.

Procedimientos

Son los generados por fallas en la contabilización, en los sistemas, en los controles, en la ejecución de los procedimientos, fraude, etc.

Proyectos

Riesgos de excederse en el presupuesto, en los plazos, o por calidad inadecuada del producto o servicio, etc.

Financiero

Originados por problemas con el negocio, con el mercado accionario, tasa de interés, desempleo, etc.

Técnico

Por el uso de nuevas tecnologías, fallas técnicas, desconocimiento, obsolescencia, etc.

Natural

Impacto por desastres naturales, clima, accidentes, epidemias, etc.

Político

Por cambios de impuestos, opinión publica, políticas de gobierno, influencia extranjera, etc.

Evaluación

Una vez identificados los riesgos de su proyecto, la etapa siguiente consiste en establecer la mejor estimación de la probabilidad de su ocurrencia y el impacto económico que provocaría.

Otra alternativa de estimación es: hacer la mejor estimación de la probabilidad de ocurrencia del riesgo, y multiplicar ésta por el costo que significaría su ocurrencia. Este cálculo da el valor económico del riesgo.

Cada riesgo deberá ser evaluado considerando la probabilidad de ocurrencia y el impacto que provocaría en caso de ocurrir. La perdida de un miembro clave del proyecto tiene una probabilidad de ocurrencia baja, pero el impacto puede ser muy grande.

Muchas personas se complican con esta evaluación porque tanto la probabilidad de ocurrencia como el impacto, son estimaciones. Ellos reconocen que variaciones pequeñas en estos datos pueden cambiar de manera importante el riesgo total del proyecto. Sin embargo, en general, el objetivo no es determinar un número único que represente cada uno de los riesgos. El objetivo es desarrollar un marco de análisis que permitan evaluar los distintos riesgos confrontándolos entre sí. Si bien cierto que la precisión en el proceso de Estimación es útil, no es esencial.

Otro aspecto a considerar es la variable tiempo, el que un evento ocurra al principio del proyecto no es lo mismo que pase durante un fase crítica. Mientras más tempranamente se valida la existencia de un riesgo asociado con una actividad o ítem del proyecto, más rápidamente el riesgo disminuye o deja de serlo. El focalizarse en los riesgos controlables no elimina los riesgos pero, si los disminuye.

Debe tenerse presente que cada persona puede tener una percepción distinta de un riesgo – lo que para una es un riesgo menor para otra puede ser un riesgo mayor. Y, para calcular el riesgo se usa:

Riesgo = Probabilidad del Evento x Costo del Evento

Una forma sencilla de Evaluar el riesgo es establecer una escala de riesgos del siguiente tenor:

Valor

Aplicación

Bajo

Se asigna cuando se estima una probabilidad de ocurrencia baja, por ejemplo menos del 20%. O cuando se observa un cuadro poco probable de acontecer. Se asigna este valor cuando el ítem evaluado tiene todas las condiciones a su favor para ser bien ejecutado.

Medio

Se asigna cuando existe la percepción que el riesgo tiene la misma probabilidad de ocurrir como de no ocurrir, es decir la probabilidad es alrededor del 50%. Se asigna este valuar cuando el ítem evaluado no reúne todas las condiciones para ser bien ejecutado.

Alto

Se asigna cuando existe la convicción que el riesgo ocurrirá si no se actúa para mitigarlo, es decir se tiene certeza que faltan elementos para llegar a la correcta ejecución del ítem evaluado. Luego se puede asignar una probabilidad superior al 80%.


Priorización

Una vez que los riesgos están identificados, se les ha asignado una probabilidad de ocurrencia y, se ha evaluado su impacto para el caso que llegaran a suceder, se está en condiciones de priorizarlos. En general, la priorización se establece usando la valorización económica del impacto del riesgo (este valor se calcula con la fórmula indicado precedentemente).

Otro método para priorizar, que es complementario al anterior, es presentar los riesgos al Comité del Proyecto para que según sus distintas visiones y experiencias establezcan las prioridades. Este método tiene la ventaja de permitir consensuar opiniones distintas, teniendo en cuenta que la base de evaluación de riesgo es la percepción que tengan las personas al respecto.

Control y Mitigación

Una vez identificados y evaluados los riesgos, es necesario buscar la manera de reducirlos o mitigarlos, es decir hacer la Gestión del Riesgo. Es indispensable considerar que un riesgo no se puede eliminar, a lo más se reduce la probabilidad de ocurrencia. El costo del proyecto aumentará en la medida que se necesite reducir el riesgo.

Mientras mayor es la reducción del riesgo mayor es el costo involucrado. Por consiguiente, el costo de mitigación tiene que ser un valor adecuado a la realidad del negocio. Muchas veces el costo de mitigación es tan alto, que es preferible aceptar el riesgo. Es fundamental es tener conciencia de los riesgos existentes y de la gestión o mitigación que es factible técnica y económicamente de realizar.

Los riesgos se pueden gestionar (o mitigar) de distintas maneras:

  1. Usando los activos existentes.

  2. Con planes de contingencia.

  3. Invirtiendo en nuevos recursos.

Uso de los activos existentes

Se trata de usar los elementos materiales y los recursos de personal, disponibles en la organización, para mitigar los riesgos.

Algunas acciones posibles a considerar son:

  1. Mejorar los procedimientos y métodos en uso.

  2. Cambiar la asignación de responsabilidades.

  3. Mejorar el accountability y los controles internos.

  4. Capacitar.

  5. Usar planes de Gestión de Cambio.

Planes de Contingencia

Se puede decidir aceptar el riesgo, pero generando un plan que minimice sus efectos para el caso que suceda. Un buen plan de contingencia permitirá actuar de inmediato, con un adecuado manejo de la situación crítica.

Los planes de contingencia son parte fundamental de los Business Continuity Planning (BCP) o del Business Continuity Management (BCM).

Invirtiendo en nuevos recursos

El análisis de un riesgo puede conducir a la necesidad de contar con recursos adicionales o nuevos para mitigarlo. Entre las múltiples opciones se tiene:

  1. Contratación de seguros.

  2. Disponibilidad temporal de equipamiento adicional.

  3. Reemplazo de equipos.

  4. Contratación de soporte externo.   

Para cada una de las acciones de mitigación es necesario incorporarlas en la planificación del proyecto (Carta Gantt) a objeto de tener un control formal y periódico de su avance. En particular el control de los riesgos debe ser un punto dentro de la agenda del Comité de Proyectos.

Colofón

En mi opinión un proyecto BPM debe ser planificado desde dos ópticas: una la Técnica que incluye el modelamiento de los procesos de negocios, la definición de la gobernabilidad, las herramientas de software, los sistemas de información, los desarrollos a realizar, etc.. Me parece que para las actividades relacionadas con éstos tópicos los riesgos son más fáciles de controlar pues, están en el ámbito de acción y competencia del área de Sistemas o Informática.

La otra óptica se refiere al Factor Humano, aquí incluyo los aspectos de política interna, estructuras de poder, aversión al cambio, profesionalismo, nivel de conocimientos, etc. Es decir, comprende las características y formas de relación de las personas que estarán participando en el proyecto y/o se verán afectadas por su implementación. Aquí es dónde vislumbro la fuente principal de riesgos para un proyecto BPM.

Referencias

[1] Risk Analysis & Risk Management http://www.mindtools.com/pages/article/newTMC_07.htm

[2] An Overview of Project Risk Management http://www.netcomuk.co.uk/~rtusler/index.html

#BPM #Proyectos #Riesgo

©2020 by Sociedad Consultores Independientes SpA (SCIneu)

Av. Suecia 0142, Oficina 202, Providencia, Santiago, Chile Fono: (2) 2979 7042   info@scineu.com