Tema 6. Administración del riesgo

Introducción

Las organizaciones invierten dinero y esfuerzo en sus equipos de trabajo para lograr metas específicas que mejoren su operación, haciéndolas más eficientes o aprovechando una ventaja competitiva que genere más ingresos. Garantizar que estos esfuerzos sean exitosos es una preocupación permanente de directores y gerentes de todas las áreas operativas. Por eso, resulta de vital importancia allanar cualquier condición que no se encuentre alineada a este propósito.

En especial si tomas en cuenta que los proyectos con frecuencia se ven expuestos a situaciones que pueden afectar el resultado esperado o que provocan cambios en el alcance, el costo, la calidad o el tiempo de entrega. A estas situaciones se les conoce como riesgos.

Detectarlos a tiempo es una parte esencial de cualquier proyecto de desarrollo de software, pues aumentan tus probabilidades de tener éxito, manteniendo la credibilidad, reputación y prestigio de tu equipo de trabajo.

En este tema abordarás la importancia de la administración del riesgo en proyectos de software, desde su definición y análisis hasta la generación de planes de respuesta, como parte esencial de las actividades del Scrum Master.

Explicación

Riesgos

No importa el tipo de proyecto que se tenga que realizar, siempre existirán riesgos inherentes a la administración de la incertidumbre, puesto que en la ejecución podrían surgir imponderables que afecten el resultado del proyecto.

En el enfoque Scrum, la gestión de riesgos no se encuentra declarada en La Guía de Scrum, sin embargo, esto no significa que no pueda ser complementada.

Un análisis de riesgo en proyectos de software te ayudará a prevenir sus impactos y te permitirá estar preparado con un plan de respuesta. Desde esta perspectiva, el Scrum Master tiene la responsabilidad de vigilar los riesgos en cada iteración e informar oportunamente al Product Owner.

Específicamente, según el Project Management Institute (2021), "el riesgo es un evento o condición incierta que, si se produce, tiene un efecto positivo o negativo en uno o más de los objetivos de un proyecto".

Sin duda alguna, la definición anterior podría hacerte pensar cómo es posible que un riesgo pueda tener un efecto positivo en el proyecto, dada la frecuente connotación negativa que se le atribuye a este concepto. No obstante, según el Project Management Institute (2021), existen riesgos que podrían mejorar el resultado esperado del esfuerzo de un equipo de trabajo.

Considera, por ejemplo, el impacto que tendría para el presupuesto del proyecto si la paridad de dólar cambiara a favor del peso mexicano. Entonces, el costo de la compra de un servidor podría ser menos costoso con relación a la estimación inicial.

En este sentido, a los riesgos con efectos positivos se les llaman oportunidades, mientras que aquellos que generan efectos negativos son conocidos como amenazas. Aquí lo deseable es que maximices las oportunidades y minimices las amenazas. En las reuniones diarias stand-up meetings, sprint Reviews y sprint Retrospectives se pueden identificar amenazas y oportunidades, aunque es importante que estas sesiones no se dediquen de lleno a la generación de planes de contingencia, en cambio, puedes destinar reuniones exclusivas para el análisis de riesgos diferentes.

Impacto vs. probabilidad

A lo largo de los proyectos, es probable que se presenten riesgos que terminen impactando, ya sea en mayor o menor grado, en el resultado de los mismos.

A este respecto, el Project Management Institute (2021) elaboró la siguiente matriz que relaciona la probabilidad y el impacto. En el eje horizontal se despliega una escala del posible impacto de los riesgos, desde el nivel bajo hasta el alto, mientras que en el eje vertical aparece una escala de probabilidad. De modo que cada riesgo puede ser ubicado en estas dos coordenadas.

La recomendación puntual sería que solo se generen planes de respuesta para aquellos riesgos que tengan una alta probabilidad de ocurrencia y un alto impacto para el proyecto. Por ende, se sugiere que ignores el resto de los riesgos y solo se atiendan en el caso eventual de que se lleguen a presentar en el transcurso del proyecto.

En la siguiente figura se muestran los niveles de una matriz de probabilidad e impacto. Desde luego, la escala utilizada puede cambiar dependiendo del proyecto. En todo caso, lo más importante de esta matriz es que puedas ubicar cada riesgo en estas coordenadas. Como podrás apreciar, cualquier riesgo situado en la zona roja requiere de un plan de respuesta.


Figura 1. Matriz de probabilidad e impacto.

En este contexto, el índice de impacto se calcula multiplicando la probabilidad por el impacto. Por ejemplo, si un riesgo tiene una probabilidad de ocurrencia alta y un impacto moderado, su índice de impacto sería:

Índice de impacto: 0.75 (probabilidad) x 0.60 (impacto) = 0.45

Según Sabadí (2017), en un proyecto de software que se gestiona mediante el enfoque Scrum, existen tres tipos de riesgos.

Análisis cualitativo y cuantitativo

Es una realidad que cualquier proyecto podría enfrentar una infinidad de riesgos, pero es imposible que le dediques tiempo al análisis de todos y cada uno de esos riesgos. Aquí la recomendación sería que dediques un tiempo limitado al análisis de dichos riesgos, sobre todo porque sus planes de acción podrían agregar costos adicionales al proyecto.

De hecho, tan solo con dedicarle tiempo al análisis de los riesgos más importantes ya se genera un gasto. Por eso, verás que circulan dichos populares como "demasiado análisis causa parálisis".

De acuerdo con el Project Management Institute (2021), el análisis cualitativo es el proceso que debe realizarse en cada iteración de enfoque ágil. Consiste en priorizar las amenazas y oportunidades de un proyecto, basándose en su probabilidad de ocurrencia y su posible impacto, con el fin de enfocarse en aquellos que tienen mayor prioridad y que formarán parte del Plan de Respuesta de Riesgos. A continuación, se describen los pasos de este tipo de análisis:

Se trata de un proceso que debe iniciar con una reunión del equipo de trabajo, en la que se describan los posibles riesgos (amenazas y oportunidades) del proyecto. Para ubicarlos pueden hacer una lluvia de ideas, cuestionarios, encuestas, entrevistas e incluso pueden revisar listados de riesgos de otros proyectos. Es un momento en el que no hay que descartar ningún riesgo. Como resultado de la reunión, obtendrás un listado de riesgos con su respectiva descripción.

Algunos riesgos requerirán información de soporte basada en datos confiables y precisos. Los datos recopilados y sus fuentes pueden ser evaluados tanto por miembros del equipo como por parte de los interesados, esto a través de un cuestionario con el que se establece si la información es veraz, pertinente, completa y oportuna. A todas luces, si el análisis cualitativo se basa en datos de baja calidad, será de nula utilidad para el proyecto.

Después, a cada riesgo se le asigna un nivel o porcentaje de probabilidad de ocurrencia, así como un nivel o porcentaje de impacto que podría afectar en los objetivos del proyecto. Hay que aclarar que este proceso se basa en la subjetividad e intuición de los miembros del equipo, así como de los interesados del proyecto. En este sentido, es muy común que dos proyectos similares tengan listas de riesgos diferentes.

Por último, se priorizan los riesgos basándose en el nivel de probabilidad e impacto y se asigna un responsable a cada riesgo. Su labor central es generar un plan de respuesta y garantizar su implementación.

Específicamente, el análisis cuantitativo de los riesgos implica asignar el Valor Monetario Esperado (VME) a cada riesgo, partiendo de la lista de riesgos priorizados que se obtuvieron de un análisis cualitativo. En este contexto, a los riesgos con mayor prioridad se les asignará un estimado del posible costo que pueden tener para la organización en caso de que se lleguen a presentar.

Para calcular el VME, se multiplica el estimado del impacto por la probabilidad de ocurrencia. Por ejemplo, si se estima que el impacto es de $5000 dólares y tiene una probabilidad del 90%, entonces:

Valor Monetario Esperado = $5000 x 0.90 = $4500

Algunas técnicas que se utilizan para realizar análisis cuantitativos son las siguientes:

Plan de respuesta a los riesgos

Una vez priorizada la lista de riesgos, previamente establecidos a través del proceso de análisis cuantitativo correspondiente, el responsable asignado realizará una estrategia para el abordaje de riesgos con alta tasa de probabilidad y altos niveles de impactos pronosticados. ¿Y qué sucede con el resto de los riesgos? En esos casos, solo tomarás medidas reactivas si se presentan en algún momento dado.

¡Es imposible que tengas un plan de respuesta para todos los riesgos posibles! Sería un desperdicio de tiempo y recursos. A fin de cuentas, no tendría utilidad alguna generar planes para riesgos que tienen escasas probabilidades de ocurrencia y no representan impactos considerables en los resultados del proyecto.

Otro aspecto central del plan de respuesta es que debe ser realista en cuanto al costo de las acciones que se llevarán a cabo. Debes asegurarte de que el costo beneficio esté en sintonía con el posible impacto al proyecto, eligiendo alternativas con mayores probabilidades de eficacia. Se trata de ser eficientes en la gestión de los recursos disponibles.

Para ilustrar el punto anterior, considera el siguiente escenario:

Está claro que este sería un plan irracional que tendría graves consecuencias para el presupuesto del proyecto.

Respuestas al riesgo con efectos negativos (amenazas):

Se pueden dar diferentes tipos de respuestas ante los riesgos que enfrentan las organizaciones en función de dos factores principales:

  • La probabilidad de que la amenaza se presente.
  • Si es el caso, el posible impacto que puede llegar a tener en alguna de las cuatro dimensiones del proyecto, como es el alcance, el costo, el tiempo de entrega o la calidad.

Según el Project Management Institue (2021), las posibles respuestas que se pueden dar ante una amenaza son evitar, transferir, mitigar, aceptar o escalar. Enseguida podrás conocer más acerca de cada una de ellas.

  • Esta respuesta se da para eliminar el riesgo. Se cambia algún elemento del proyecto que se encuentra en peligro para evitar la amenaza y disminuir la probabilidad de que se presente. Por ejemplo, se puede evitar una amenaza disminuyendo la incertidumbre sobre algún requisito del cliente, ya sea incrementando la certeza de la tecnología, o bien, mejorando las capacidades técnicas del equipo de trabajo. Evitar es la respuesta apropiada para riesgos con altos niveles de probabilidad e impacto.

  • Se trata de transferir las amenazas a un tercero. Por lo general, es una respuesta apta para amenazas que requieren del pago de primas de riesgos a compañías aseguradoras, buscando mitigar su posible impacto. Los acuerdos, garantías y fianzas son instrumentos que se utilizan para transferir el riesgo.

  • Cuando se reduce la probabilidad o el impacto de una amenaza, se está mitigando el riesgo. Supón que existe la amenaza de perder la información de la base de datos de los clientes, la acción que puede mitigar este impacto sería crear un respaldo en un servidor alterno o redundante.

  • En ocasiones, se presentan amenazas que tienen bajos niveles de probabilidad e impacto, por tanto, una respuesta adecuada sería no tomar acción alguna. Otra forma de aceptar un riesgo se da cuando el plan de respuesta propone un gasto que no es proporcional al impacto que podría llegar a tener dicho riesgo. De modo que se asume que la amenaza se puede presentar y solo entonces se tomarían acciones correctivas.

  • En ocasiones, las amenazas exceden la autoridad del equipo de trabajo, o bien, se encuentran fuera de su alcance porque no forman parte del área en la que tienen experiencia. En estos casos, el plan de respuesta debe ser responsabilidad de una entidad distinta al interior de la organización.

A continuación, se describe un escenario de riesgo, así como sus posibles respuestas:

Cabe mencionar que todas estas respuestas también se pueden combinar, dependiendo del costo asignado a cada posible alternativa.

Respuestas al riesgo con efectos positivos (oportunidad)

Pero ¿qué pasa si los riesgos no representan amenazas, sino oportunidades? En esos casos, las respuestas adecuadas son explotar, escalar, compartir, mejorar o aceptar.

Enseguida podrás explorar con mayor detalle cada una de ellas.

En este punto, es conveniente que revises el siguiente caso para que ubiques las posibles respuestas que puedes dar cuando se te presenten las oportunidades:

Riesgos residuales

Es importante que no pierdas de vista que los planes de respuesta ante los riesgos deben analizarse de manera iterativa, puesto que podrían dejar riesgos secundarios o residuales.

Si el impacto y la probabilidad del riesgo siguen siendo altos, entonces debes contar con un nuevo plan de respuesta, hasta que establezcas que existe un nivel compatible con el apetito al riesgo que declare la organización. Este apetito se refiere al umbral de exposición al riesgo que la organización considera como aceptable.


Cierre

En este tema examinaste la importancia que tiene la detección oportuna de los riesgos de un proyecto, así como la forma de dar una respuesta adecuada con base en los niveles de prioridad de cada uno de los riesgos.

Como pudiste apreciar, cualquier evento que afecte potencialmente el avance del proyecto debe ser analizado, documentado y resuelto en cada iteración del proyecto.

A este respecto, la ventaja que te ofrece el enfoque Scrum es que tiene una naturaleza iterativa, toda vez que los distintos eventos (Daily Scrum, Sprint Review y Sprint Retrospective) constituyen espacios ideales para que el equipo detecte a tiempo riesgos latentes (actuales) o potenciales (futuros), de manera que puedan generar planes de control de manera proactiva o reactiva.

En última instancia, la idea central es que tengas la capacidad de generar respuestas que mitiguen, corrijan o eliminen las amenazas, o bien, exploten, aprovechen o mejoren las oportunidades.

Resulta de vital importancia que en tu papel de Scrum Master te mantengas siempre alerta de cualquier posible riesgo que se pueda hacer patente, evitando postergar la implementación de un plan de contingencia, lo que podría generar impactos graves para el proyecto o incluso provocar la cancelación del mismo. Sin dejar de mencionar que estaría en juego el prestigio y la reputación de la organización a la que representas.

Checkpoint

Asegúrate de:

  • Reconocer la importancia de identificar los riesgos de un proyecto para mejorar sus probabilidades de éxito.
  • Aplicar el análisis cualitativo y cuantitativo de los riesgos como herramientas para priorizar los riesgos detectados en un proyecto.
  • Comprender las diferentes respuestas que se pueden dar a los riesgos para mantener el control del proyecto.
Para saber más – Recursos adicionales

Los siguientes enlaces son externos a la Universidad Tecmilenio, al acceder a ellos considera que debes apegarte a sus términos y condiciones.

Videos

Para conocer más acerca de la administración del riesgo, revisa lo siguiente:


Lecturas

Para conocer más acerca de la administración del riesgo, te sugerimos revisar lo siguiente:

Bibliografía
  • Project Management Institute. (2021). A Guide to the Project Management Body of Knowledge (PMBOK® Guide) (7ª ed.). Estados Unidos: Project Management Institute.
  • Sabadí, P. (2017). LA GESTIÓN DEL RIESGO EN SCRUM. Recuperado de http://scrumizate.com/post/35/la-gestin-del-riesgo-en-scrum
  • Schwaber, K., y Sutherland, J. (2020). La Guía de Scrum. Recuperado de https://scrumguides.org/docs/scrumguide/v2020/2020-Scrum-Guide-Spanish-Latin-South-American.pdf

La obra presentada es propiedad de ENSEÑANZA E INVESTIGACIÓN SUPERIOR A.C. (UNIVERSIDAD TECMILENIO), protegida por la Ley Federal de Derecho de Autor; la alteración o deformación de una obra, así como su reproducción, exhibición o ejecución pública sin el consentimiento de su autor y titular de los derechos correspondientes es constitutivo de un delito tipificado en la Ley Federal de Derechos de Autor, así como en las Leyes Internacionales de Derecho de Autor.

El uso de imágenes, fragmentos de videos, fragmentos de eventos culturales, programas y demás material que sea objeto de protección de los derechos de autor, es exclusivamente para fines educativos e informativos, y cualquier uso distinto como el lucro, reproducción, edición o modificación, será perseguido y sancionado por UNIVERSIDAD TECMILENIO.

Queda prohibido copiar, reproducir, distribuir, publicar, transmitir, difundir, o en cualquier modo explotar cualquier parte de esta obra sin la autorización previa por escrito de UNIVERSIDAD TECMILENIO. Sin embargo, usted podrá bajar material a su computadora personal para uso exclusivamente personal o educacional y no comercial limitado a una copia por página. No se podrá remover o alterar de la copia ninguna leyenda de Derechos de Autor o la que manifieste la autoría del material.