BPM, Informática, Opinión, Proceso, Proyectos

Análisis de Gestión de Riesgos en Proyectos BPM

Casi todo lo que hoy día se hace en el mundo de los negocios involucra algún riesgo: los hábitos de los clientes cambian, surgen nuevos competidores, existen factores fuera su control, es necesario incorporar una nueva tecnología, etc. Cualquiera de éstos puede generar una demora o complicación en los proyectos. Pero, el análisis formal de los riesgos, y su posterior gestión, pueden ayudar a abordar los riesgos con acciones específicas que contribuirán a disminuir los impactos en los proyectos. En otras palabras, la anticipación del riesgo permite hacer acciones de mitigación, que son mucho más baratas de hacer que las acciones correctiva cuando se presenta el riesgo.

 

En particular, la implementación de proyectos BPM nos hace pensar de inmediato que tienen una probabilidad importante de no llegar a buen término; es decir, intuimos que tienen un riesgo no menor. Basados en que implica incorporar  una disciplina nueva, el BPM; y que involucra un cambio organizacional importante, los Dueños de Procesos de Negocios. Por tanto, en este artículo presentaré este tipo de análisis de riesgo para ayudar a determinar cual es la estrategia adecuada desde el punto de vista de la mitigación de los riesgos para un proyecto BPM y, de este modo se podrá planificar de mejor forma la ejecución del proyecto junto con aumentar la probabilidad de éxito.

 

Definición de Riesgo

Una definición simple de riesgo es: “Un riesgo es la percepción de la ocurrencia de un evento que pueda generar una pérdida” [1].

 

Otra definición más operativa en términos matemáticos es: “Un riesgo es una combinación de restricciones (limitaciones) e incertidumbres (dudas)” [2]. Gráficamente se tiene:

 

curva-intertidumbre-restricciones
Curva Riesgo Aceptable

 

La curva del gráfico muestra el “Nivel Aceptable de Riesgo”. El riesgo se puede reducir hasta el Nivel Aceptable por medio de la disminución de las restricciones (técnicas, económicas, disponibilidad, etc.) y de la incertidumbre (probabilidad que ocurra el riesgo). En la práctica, las restricciones son muy difíciles de eliminar o flexibilizar, de manera que el foco se coloca en la disminución de la incertidumbre. Del gráfico se desprende que eliminar el riesgo totalmente no es posible o no es económicamente posible.

 En los párrafos siguientes presentaré una metodología para analizar los riesgos basada en cuatro fases:

  1. Inventario de Riesgos
  2. Evaluación
  3. Priorización
  4. Control y Mitigación

Inventario de Riesgos

Para simplificar la detección de los riesgos se establecen las categorías indicadas en la tabla adjunta. Para cada categoría se deben identificar los riesgos que correspondan a su proyecto, en particular focalizándose en el proceso de negocios en cuestión. Los riesgos se identifican en función de la experiencia y percepción de las personas que hacen el análisis, de ahí la necesidad de conocer el proceso de negocios a cabalidad como también el ambiente operacional (organización, gente, estructuras de poder, etc.)  y, finalmente es importante tener una argumentación plausible para justificar los riesgos identificados.

Categoría

Descripción

Humano

Derivados de las personas o la organización, enfermedades, falta disponibilidad, desvinculación, muerte, cambios de ejecutivos, estructuras de poder, oposición al cambio, etc.

Operacional

Generados por interrupciones o fallas en el abastecimiento y en las operaciones, pérdida de acceso a activos esenciales, fallas en la distribución, etc.

Reputación

Pérdida de la confianza de los socios de negocios, de los ejecutivos, de los usuarios, o daño a la reputación del área Informática.

Procedimientos

Son los generados por fallas en la contabilización, en los sistemas, en los controles, en la ejecución de los procedimientos, fraude, etc.

Proyectos

Riesgos de excederse en el presupuesto, en los plazos, o por calidad inadecuada del producto o servicio, etc.

Financiero

Originados por problemas con el negocio, con el mercado accionario, tasa de interés, desempleo, etc.

Técnico

Por el uso de nuevas tecnologías, fallas técnicas, desconocimiento, obsolescencia, etc.

Natural

Impacto por desastres naturales, clima, accidentes, epidemias, etc.

Político

Por cambios de impuestos, opinión publica, políticas de gobierno, influencia extranjera, etc.

 

Evaluación

Una vez identificados los riesgos de su proyecto, la etapa siguiente consiste en establecer la mejor estimación de la probabilidad de su ocurrencia y el impacto económico que provocaría.

Otra alternativa de estimación es: hacer la mejor estimación de la probabilidad de ocurrencia del riesgo, y multiplicar ésta por el costo que significaría su ocurrencia. Este cálculo da el valor económico del riesgo.

Cada riesgo deberá ser evaluado considerando la probabilidad de ocurrencia y el impacto que provocaría en caso de ocurrir. La perdida de un miembro clave del proyecto tiene una probabilidad de ocurrencia baja, pero el impacto puede ser muy grande.

Muchas personas se complican con esta evaluación porque tanto la probabilidad de ocurrencia como el impacto, son estimaciones. Ellos reconocen que variaciones pequeñas en estos datos pueden cambiar de manera importante el riesgo total del proyecto. Sin embargo, en general, el objetivo no es determinar un número único que represente cada uno de los riesgos. El objetivo es desarrollar un marco de análisis que permitan evaluar los distintos riesgos confrontándolos entre sí. Si bien cierto que la precisión en el proceso de Estimación es útil, no es esencial.

Otro aspecto a considerar es la variable tiempo, el que un evento ocurra al principio del proyecto no es lo mismo que pase durante un fase crítica. Mientras más tempranamente se valida la existencia de un riesgo asociado con una actividad o ítem  del proyecto, más rápidamente el riesgo disminuye o deja de serlo. El focalizarse en los riesgos controlables no elimina los riesgos pero, si los disminuye.

Debe tenerse presente que cada persona puede tener una percepción distinta de un riesgo – lo que para una es un riesgo menor para otra puede ser un riesgo mayor. Y, para calcular el riesgo se usa:

Riesgo = Probabilidad del Evento x Costo del Evento 

Una forma sencilla de Evaluar el riesgo es establecer una escala de riesgos del siguiente tenor:

 

Valor

Aplicación

Bajo

Se asigna cuando se estima una probabilidad de ocurrencia baja, por ejemplo menos del 20%. O cuando se observa un cuadro poco probable de acontecer. Se asigna este valor cuando el ítem evaluado tiene todas las condiciones a su favor para ser bien ejecutado.

Medio

Se asigna cuando existe la percepción que el riesgo tiene la misma probabilidad de ocurrir como de no ocurrir, es decir la probabilidad es alrededor del 50%. Se asigna este valuar cuando el ítem evaluado no reúne todas las condiciones para ser bien ejecutado.

Alto

Se asigna cuando existe la convicción que el riesgo ocurrirá si no se actúa para mitigarlo, es decir se tiene certeza que faltan elementos para llegar a la correcta ejecución del ítem evaluado. Luego se puede asignar una probabilidad superior al 80%.

 

Priorización

Una vez que los riesgos están identificados, se les ha asignado una probabilidad de ocurrencia y, se ha evaluado su impacto para el caso que llegaran a suceder,  se está en condiciones de priorizarlos. En general, la priorización se establece usando la valorización económica del impacto del riesgo (este valor se calcula con la fórmula indicado precedentemente).

Otro método para priorizar, que es complementario al anterior, es presentar los riesgos al Comité del Proyecto para que según sus distintas visiones y experiencias establezcan las prioridades. Este método tiene la ventaja de permitir consensuar opiniones distintas, teniendo en cuenta que la base de evaluación de riesgo es la percepción que tengan las personas al respecto.

Control y Mitigación

Una vez identificados y evaluados los riesgos, es necesario buscar la manera de reducirlos o mitigarlos, es decir hacer la Gestión del Riesgo. Es indispensable considerar que un riesgo no se puede eliminar, a lo más se reduce la probabilidad de ocurrencia. El costo del proyecto aumentará en la medida que se necesite reducir el riesgo.

Mientras mayor es la reducción del riesgo mayor es el costo involucrado. Por consiguiente, el costo de mitigación tiene que ser un valor adecuado a la realidad del negocio. Muchas veces el costo de mitigación es tan alto, que es preferible aceptar el riesgo. Es fundamental es tener conciencia de los riesgos existentes y de la gestión o mitigación que es factible técnica y económicamente de realizar.

Los riesgos se pueden gestionar (o mitigar) de distintas maneras:

  • Usando los activos existentes.
  • Con planes de contingencia.
  • Invirtiendo en nuevos recursos.

Uso de los activos existentes

Se trata de usar los elementos materiales y los recursos de personal, disponibles en la organización, para mitigar los riesgos.

Algunas acciones posibles a considerar son:

  • Mejorar los procedimientos y métodos en uso.
  • Cambiar la asignación de responsabilidades.
  • Mejorar el accountability y los controles internos.
  • Capacitar.
  • Usar planes de Gestión de Cambio.

Planes de Contingencia

Se puede decidir aceptar el riesgo, pero generando un plan que minimice sus efectos para el caso que suceda. Un buen plan de contingencia permitirá actuar de inmediato, con un adecuado manejo de la situación crítica.

 Los planes de contingencia son parte fundamental de los Business Continuity Planning (BCP) o del Business Continuity Management (BCM).

Invirtiendo en nuevos recursos

El análisis de un riesgo puede conducir a la necesidad de contar con recursos adicionales o nuevos para mitigarlo. Entre las múltiples opciones se tiene:

  • Contratación de seguros.
  • Disponibilidad temporal de equipamiento adicional.
  • Reemplazo de equipos.
  • Contratación de soporte externo.

Para cada una de las acciones de mitigación es necesario incorporarlas en la planificación del proyecto (Carta Gantt) a objeto de tener un control formal y periódico de su avance. En particular el control de los riesgos debe ser un punto dentro de la agenda del Comité de Proyectos.

Colofón

En mi opinión un proyecto BPM debe ser planificado desde dos ópticas: una la Técnica que incluye el modelamiento de los procesos de negocios, la definición de la gobernabilidad, las herramientas de software, los sistemas de información, los desarrollos a realizar, etc.. Me parece que para las actividades relacionadas con éstos tópicos los riesgos son más fáciles de controlar pues, están en el ámbito de acción y competencia del área de Sistemas o Informática.

La otra óptica se refiere al Factor Humano, aquí incluyo los aspectos de política interna, estructuras de poder, aversión al cambio, profesionalismo, nivel de conocimientos, etc. Es decir, comprende las características y formas de relación de las personas que estarán participando en el proyecto y/o se verán afectadas por su implementación. Aquí es dónde vislumbro la fuente principal de riesgos para un proyecto BPM.

 

Referencias

[1] Risk Analysis & Risk Management  http://www.mindtools.com/pages/article/newTMC_07.htm

[2] An Overview of Project Risk Management http://www.netcomuk.co.uk/~rtusler/index.html

8 comentarios en «Análisis de Gestión de Riesgos en Proyectos BPM»

  1. Estimado Mario,

    no me queda claro el enlace entre el Inventario de Riesgo, (que definiste cualitativamente) y el calculo del riego (medida cuantitativa) posterior.

    Saludos,
    Ricardo Seguel

    Responder

    1. Ricardo:

      En el tema de riesgos la generación del inventario está basada en las percepciones de las personas que analizan el tema, de ahí la importancia de la experiencia de ellas en proyectos. Nuevamente, la asignación de la probabilidad de ocurrencia también está basada en las percepciones de las personas, a objeto de sistematizar esta asignación es que incluyo una tabla con criterios para la asignación del riesgo.

      Una vez identificados los riesgos y con sus respectivas probabilidades de ocurrencia se procede a determinar el impacto económico, costo, que le significaria a la empresa su ocurrencia. Por ejemplo, riesgo: No funciona el sistema de toma de pedidos, costo asociado: la pérdida de venta mientras el sistema no este operativo.

      En mi opinión la importancia del Análisis de Riesgos está fundamentalmente en el proceso de hacerlo, ya que permite considerar con la debida antelación los factores que podrian atentar contra el éxito del proyecto.

      Saludos cordiales,

      Mario

      Responder

  2. Coincido completamente con lo que comenta Mario: si bien es importante hacer el análisis de riesgo (cualitativo y cuantitativo), ya el hecho de realizar un análisis de riesgo, aporta valor al negocio/proyecto.
    Luego se puede dar más pasos en cantidad, calidad y profundidad, aplicando técnicas cuantitativas, o realizar diversos análisis.
    Pero el «insight» sobre el entorno y la realidad del proyecto que aporta el análisis de riesgo «per se», es muy valioso.

    Responder

  3. Desde un punto de vista Matemático,

    me gustaria saber cuales serian las restricciones para el caso de una carta gantt y poder llagar a determinar cada una de las desviaciones estandar de cada actividad que constitute un proyecto. Cuento con algunos modelo en excel pero solo estan restringidos a que las actividades esten relacionadas con fin inicio. No es aplicable para actividades inicio – inicio en caso de actividades que se deban ejecutar en paralelo. Por este puntos es dificil obtener su varianza respecto de los dias estimados de cada actividad y como impactarian en la ruta critica con ese tipo de relaciones.
    Me gustaria saber si para hacer este analisis necesariamente se debe enfocar el proyecto a una secuencia de actividades de predecesoras y sucesoras sin tener tantas actividades fijas entre medio, o en paralelo. O si esto significa que de algun modo no se esta realizando bien el analisis de secuencia.

    Quisiera tener alguna información al respecto.

    muchas gracias por la publicación

    Claudio Uribe

    Responder

    1. Claudio.
      Existen herramientas de software que permiten realizar el análisis cuantitativo de riesgos en Plazos, a partir de un Gantt.
      Lo que nosotros generalmente recomendamos es:
      1. Desarrollar un cronograma que represente la realidad
      2. A partir de este paso de planificación, agregar las incertidumbres (rangos y distribuciones) en las actividades que corresponda
      3. Aplicar algún método cuantitativo de simulación, como por ejemplo Monte Carlo.

      Si quieres ver un webinar gratuito de una hora sobre este tema, puedes enviarnos un mail a info@impalarisk.com y te daremos acceso al mismo.
      Un saludo.
      Pablo Zarbo

      Responder

  4. Buen día,

    cuando manejamos una metodología de riesgos donde se evalúa el impacto y la probabilidad como fuente y ya se tiene un plan de respuesta, cuales indicadores me recomiendas para realizar seguimiento a esto? o si hay otro paso en el cual se pueda profundizar, muchas gracias

    Responder

Responder a James GuarinCancelar respuesta