La administración de riesgos vista como parte de la gestión de Proyectos de Tecnologías de Información (TI).
A continuación se presenta una síntesis del Modelo de Administración de Riesgos del Departamento de Defensa de los Estados Unidos (DoD), expuesto por Bagnoud (2002).
El modelo consta de cinco pasos o procesos: Planificación de Riesgos, Valoración o Identificación de Riesgos, Análisis de Riesgos, Manejo de Riesgos y Monitoreo de Riesgos. La figura 1 muestra una representación gráfica del modelo.
La Planificación de Riesgos es “la formulación detallada un programa de acciones para el manejo de riesgos de un proyecto. Es el proceso de desarrollar y documentar una estrategia de manejo de riesgos organizada, comprensible e interactiva; determina los métodos a ser utilizados en la ejecución de la estrategia de manejo de riesgos…” (Bagnoud, 2002). La figura 2 representa en forma gráfica este procedimiento. El producto de este proceso es el Plan de Administración de Riesgos (RMP por sus siglas en inglés); la finalidad de este documento es servir de guía para la ejecución del resto de los procesos del modelo.
La Valoración o Identificación de Riesgos es “la etapa de definición que identifica y cuantifica eventos prospectivos en términos de probabilidad e impacto…” (Bagnoud, 2002). El líder del proyecto debe formular la siguiente pregunta clave: ¿que puede salir mal? Las respuestas a esta pregunta suelen depender de la percepción selectiva del responsable del proyecto; el problema es que el impacto generado por la ocurrencia de los riesgos no es subjetivo, sino real. Esta diferencia de realidades hace necesario el desarrollo y documentación de un procedimiento para la identificación de riesgos, por un lado repetible y por otro lo más formal posible. La figura 3 representa en forma gráfica este procedimiento. El producto final del proceso de Valoración o Identificación de Riesgos es la Lista de Elementos de Riesgo.
El Análisis de Riesgos es el proceso técnico y sistemático de examinar los elementos de riesgo identificados en el proceso anterior, con el objeto de refinar su descripción, aislar sus causas, determinar sus relaciones con otros riesgos, y expresar su impacto en términos de probabilidad y consecuencias. Un análisis de riesgos efectivo debe poder cuantificar tanto las probabilidades de ocurrencias de los elementos de riesgo como sus consecuencias en caso de que ocurran. La figura 4 representa en forma gráfica este procedimiento. El producto final del proceso de Análisis de Riesgos es la Lista Priorizada de Elementos de Riesgo.
El Manejo de Riesgos es el conjunto de acciones practicas que ejecuta el líder del proyecto en la eventualidad de presentarse alguno de los elementos de riesgo a los que está expuesto el proyecto. Estas acciones pueden enmarcarse en alguna de las siguientes técnicas, las cuales no son excluyentes entre si:
El proceso de Manejo de Riesgos debe generar un Plan de Manejo de Riesgos asociado a la Lista Priorizada de Elementos de Riesgo generada en la fase de Análisis de Riesgos.
El Monitoreo de Riesgos es “el proceso continuo que sistemáticamente hace seguimiento y evalúa la efectividad de las acciones de manejo de riesgos contra métricas establecidas”. Un proceso efectivo de monitoreo de riesgos debe seleccionar las métricas a ser utilizadas, utilizar las métricas y reportar los resultados. El producto final de esta fase es el Reporte de Monitoreo de Riesgos.
