La administración de riesgos, vista como parte de la gestión de Proyectos de Tecnologías de Información (TI).
A continuación se presenta una síntesis del Modelo de Administración de Riesgos de Swisscom, expuesto por Bagnoud (2002).
El modelo es presentado como la secuencia de dos procesos macro: Valoración de Riesgos y Control de Riesgos. El primero de ellos consta de tres subprocesos: Identificación de Riesgos, Análisis de Riesgos y Priorización de Riesgos. Por su parte, el segundo se compone de los siguientes subprocesos: Planeamiento de Métricas, Aplicación de Métricas y Planeamiento, Aplicación y Control. Estos subprocesos están enlazados entre si para formar un proceso continuo, tal y como se muestra en la figura 5.
El proceso de Identificación de Riesgos debe ser sistemático e institucionalizado. Debería incumbir a todo el equipo del proyecto y opcionalmente algún otro personal especializado. Las entradas del proceso son experiencias en otros proyectos similares, y dudas e incertidumbre sobre el proyecto actual. La salida es un catálogo de riesgos para el proyecto.
El proceso de Análisis de Riesgos recibe como entrada el catálogo de riesgos, y aplica sobre él los siguientes pasos: eliminación de elementos de riesgo redundantes, análisis de las causas e impactos de los riesgos identificados, valoración de los elementos de riesgo, y búsqueda de dependencias entre los elementos de riesgo.
El proceso de Priorización de Riesgos consiste en determinar, mediante la aplicación de fórmulas matemáticas, los ítems de riesgo a los que el proyecto está más expuesto. Dos factores determinan la exposición al riesgo: la probabilidad de ocurrencia del evento, y el nivel de daño que causaría al proyecto la ocurrencia del mismo. Luego de ejecutado el proceso, el líder del proyecto puede decidir a cuales ítems de riesgo debe prestarle mayor atención.
Los procesos de Planeamiento de Medidas y Aplicación de Medidas suelen ejecutarse en conjunto, y tienen los siguientes objetivos: planear una medida individual a tomar para cada ítem de riesgo identificado en los pasos anteriores, en caso de su ocurrencia, y ajustar las medidas individuales unas a otras y al plan del proyecto. En la ejecución de estos procesos pueden utilizarse algunas de las siguientes estrategias: evitar el riesgo, mitigar el riesgo, preparación de alternativas y transferencia del riesgo.
El proceso de Monitoreo de Riesgos consta de dos tareas principales:
Identificar indicadores de Riesgo. Cada ítem de riesgo debería tener uno o más indicadores que permitan detectar de manera temprana la certeza de su ocurrencia durante el desarrollo del proyecto.
Asignar Contralores de Riesgos para cada ítem de riesgo. Estas personas pueden ser miembros del equipo del proyecto, no necesariamente el líder. Para proyectos muy grandes puede nombrarse un gerente de riesgos.
