Análisis del Riesgo en la Administración de Proyectos de Tecnología de Información

por Javier Del Carpio Gallegos

Introducción

En el trabajo de investigación realizado por el Doctor Lionel Galaway, Quantitative Risk Analysis for Project Management: A critical review (1), se establece que la administración del riesgo del proyecto es el arte y la ciencia de identificar, analizar, y responder a los riesgos a lo largo de la vida de un proyecto, con el propósito de lograr los objetivos del proyecto. La administración de riesgo del proyecto puede tener un impacto positivo en la selección de proyectos, en la determinación del alcance de los proyectos, y desarrollar estimados más reales de costos y plazos.

Una buena administración del riesgo de proyectos a menudo pasa desapercibida. Cuando la administración de riesgos es efectiva, los resultados se reflejan en el menor número de problemas. En algunas ocasiones es difícil determinar si la administración de riesgos o la buena suerte fue la responsable de un adecuado desarrollo de un proyecto de tecnología de información. Pero los integrantes de un proyecto saben que sus proyectos trabajaron mejor debido a la buena administración de riesgos.

Según el Sr. Donald Feinberg, Vicepresidente de la empresa consultora Gartner, en su presentación realizada en la septiembre último en la ciudad de México durante la VII Conferencia Anual “Future of IT. La justificación económica de la IT” (2) manifestó que las proyecciones del mercado de TI en Latinoamérica alcanzaría los 134 mil millones de dólares en el año 2005. Este indicador nos señala que los países que quieren lograr ser competitivos en el proceso de globalización, tendrán que realizar esfuerzos e inversiones significativas en proyectos relacionados con la tecnología de la información.

Bases Teóricas

Definiremos algunos términos claves que serán utilizados en la presente propuesta.

Un riesgo es un evento, el cual es incierto y tiene un impacto negativo. Análisis de riesgo es el proceso cuantitativo o cualitativo que permite evaluar los riesgos. Esto involucra una estimación de incertidumbre del riesgo y su impacto.

Administración de riesgo es la práctica de usar el análisis de riesgo para diseñar estrategias que permitan reducir o mitigar los riesgos.

En la administración de los proyectos de tecnología de información los gerentes de proyectos se plantean preguntas tales como:

  • ¿Cuánto tiempo tomará el proyecto?
  • ¿Cuál será el costo total del proyecto?
  • ¿La ejecución del proyecto permitirá obtener los productos o entregables de acuerdo a las especificaciones requeridas?

Antes que un proyecto comience y mientras se está desarrollando ninguna de las preguntas anteriores puede ser respondida con certidumbre, y los gerentes de proyectos y los clientes están preocupados con la incertidumbre de las respuestas y el impactos de las posibles desviaciones. Las herramientas del análisis de riesgo y administración de riesgo están diseñadas para responder estas preguntas.

Revisión histórica

Para poder realizar la revisión histórica de este tema, se recurrió nuevamente al trabajo de investigación realizado por el Doctor Lionel Galaway, Quantitive Risk Analysis for Project Management: A critical review (1), quien señala que la primera técnica cuantitativa de la administración moderna de proyecto en el área del análisis de riesgos relacionado con los tiempos o plazos del proyecto fue el diagrama de Gantt, desarrollada por Henry Gantt en 1917. El diagrama de Gantt proporciona un resumen gráfico del progreso de un listado de actividades que son mostradas verticalmente, representando el inicio y la duración de cada actividad por una línea horizontal a lo largo de una escala de tiempo. De esta manera se muestra cuándo cada tarea debe empezar y el estatus actual de su ejecución. Sin embargo, el diagrama de Gantt tiene una limitación para administrar proyectos complejos por que no muestra la interrelación entre las actividades.

Ante esta limitación, y en la búsqueda de nuevas herramientas, a mediados de los años 1950, la Oficina de Proyectos Especiales Polaris desarrolló la técnica PERT (Program Evaluation Review Technique). La base del PERT fue un detallado diagrama de todas las tareas anticipadas en un proyecto, organizadas en una red, la cual representa la dependencia de cada tarea con relación a aquellas tareas que las preceden. Además, los planificadores estimarían o asumirían una distribución de probabilidades para el tiempo, que tomaría realizar cada una de las tareas. Para cada estimación del tiempo se tenía que proponer tres escenarios: pesimista, optimista, y el más probable.

Por otro lado, en los mismos años 1950 se desarrolló una técnica de planificación y administración fue desarrollada por Du Pont. La técnica CPM (Critical Path Method). Esta técnica también utiliza la representación de una red, pero inicialmente no utilizaba distribuciones de probabilidades para determinar la duración o el plazo de las tareas. Con el avance de las capacidades de los computadores, la técnica CPM fue mejorada utilizando el método de simulación de Monte Carlo. De esta manera la estimación de los tiempos o plazo de cada tarea aplicando la técnica de Monte Carlo dio lugar a la técnica a CPM estocástico, la cual es ahora la metodología preferida para evaluar el riesgo en la estimación del tiempo en la administración de proyectos.

Otro de los riesgos que causa preocupación a los administradores de proyectos de tecnología de información es el costo de ejecución del proyecto. La técnica usada esta basada en la Estructura de Descomposición del Trabajo (EDT o WBS Work
Breakdown Structure). La técnica EDT descompone un proyecto en componentes, servicios, facilidades, entre otros; en diferentes niveles. Y en la medida que se va pasando de un nivel a otro, se va mostrando un mayor detalle. La técnica del EDT estimación de costo se formula a partir del EDT al cual se asigna un costo a cada elemento y luego se adicionan los costos de todos los elementos, y se obtiene el costo total. Para poder realizar un análisis cuantitativo del riesgo, los expertos en proyectos tienen que especificar una distribución de probabilidad para cada elemento de la estructura de descomposición de trabajo, y luego la simulación de Monte Carlo es utilizada para estimar una distribución de probabilidad para el costo total del proyecto. En tanto que en el análisis de riesgo del desempeño del proyecto se utilizan técnicas cualitativas y cuantitativas. En este caso, las técnicas no son genéricas como en el caso de los riesgos asociados con los plazos o los costos; las técnicas utilizadas son mas específicas.

Proceso de la Administración de Riesgos

1. Planificación de la administración de riesgos

La Dra. Schwalbe en su libro “Information Technology Project Management” (3) considera que “la planificación de la administración de los riesgos es el proceso de decidir como enfocar y planear las actividades de la administración de riesgos para un proyecto, y su principal resultado es el plan de administración de riesgo. Un plan de administración de riesgos documenta los procedimientos para administrar los riesgos de un proyecto”.

Un plan de administración de riesgos resume cómo la administración de riesgos será ejecutada en un proyecto en particular. Los elementos que se deben incluir en un plan de administración de riesgos son:

  • Metodología: Se debe establecer cómo la administración de riesgo que será ejecutada en el proyecto. Determinar qué herramientas y fuentes de información están disponibles y aplicables.
  • Roles y responsabilidades: Determinar quiénes son las personas responsables de implementar las tareas específicas y proporcionar los informes relacionados a la administración de riesgo.
  • Presupuesto y plazos: Determinar cuáles son los costos y plazos estimados para ejecutar las tareas relacionadas con los riesgos.
  • Categoría de riesgos: Determinar cuáles son las categorías de los riesgos que serán identificados.
  • Probabilidad de riesgo e impacto: Cuáles son las probabilidades y los impactos de los riesgos que serán evaluados. Cuáles son las técnicas cualitativas o cuantitativas que serán utilizadas para evaluar los riesgos.
  • Documentación de los riesgos: Determinar los formatos de los reportes y los procesos que serán utilizados para las actividades de la administración de riesgos.

2. Identificación de riesgos

La identificación de riesgos es el proceso de comprender qué eventos potencialmente podría dañar o mejorar a un proyecto en particular. Es importante identificar los riesgos potenciales lo más pronto posible, pero también se debe continuar
con la identificación de los riesgos basados en los cambios en el entorno del proyecto.

Se cuenta con varias herramientas y técnicas para identificar riesgos. Los administradores de proyectos a menudo empiezan el proceso de identificación de los riesgos revisando la documentación, y la información reciente e histórica relacionada a la organización, y los supuestos que pueden afectar el proyecto. Después de identificar los riesgos potenciales, los administradores del proyecto pueden utilizar diferentes técnicas para identificar los riesgos. Las cinco técnicas más utilizadas son: la tormenta de ideas, el método Delphi, las entrevistas, el análisis causa efecto, y el análisis FODA (Fortalezas, debilidades, oportunidades, y amenazas).

3. Análisis cualitativo de riesgos

Los Doctores Kindinger y Darby en su presentación (4) realizada en el Seminario Anual del Project Management Institute, realizada en septiembre de 2000, señalaban que el análisis cuantitativo de riesgos involucra evaluar la probabilidad y el impacto de la identificación de riesgos, para determinar su magnitud y prioridad. Para poder evaluar cuantitativamente los riesgos se cuenta fundamentalmente con tres herramientas: La matriz de probabilidad e impacto para calcular los factores de riesgos, la técnica de seguimiento de los diez factores de riesgo más importantes, y la evaluación del juicio de expertos.

4. Análisis cuantitativo de los riesgos.

En tanto el Dr. Roberts en su trabajo de investigación “The benefits of Integrated Quantitative Risk Management” (5) considera que el análisis cuantitativo del riesgo a menudo sucede al análisis cualitativo del riesgo, aunque ambos procesos pueden llevarse por separado o en forma simultanea. En algunos proyectos, el equipo puede solamente ejecutar el análisis cualitativo. La naturaleza del proyecto y la disponibilidad de tiempo y dinero influyen en el tipo de técnica a utilizar. Los proyectos grandes y complejos que involucran tecnología de punta requieren la aplicación de técnicas cuantitativas. Las principales técnicas para el análisis cuantitativo exigen la recolección de datos, la aplicación de técnicas cuantitativas, y
técnicas de modelamiento. Las técnicas de análisis cuantitativo más utilizadas son: el análisis de árboles de decisión, la simulación, y el análisis de sensibilidad.

5. Planificación de la respuesta de los riesgos.

Después que una organización identifica y cuantifica los riesgos, debe desarrollar una apropiada estrategia para poder enfrentarlos.

Las cuatro estrategias de respuesta riesgos negativos son:

a. Evitar los riesgos o eliminar una amenaza específica, generalmente se logra al eliminar sus causas.
b. Aceptar los riesgos o aceptar las consecuencias si el riesgo ocurriese.
c. Transferir los riesgos o trasladar la consecuencia de un riesgo y la responsabilidad por su administración a terceros.
d. Mitigar los riesgos o reducir el impacto de un evento riesgoso al reducir la probabilidad de su ocurrencia.

Las cuatro estrategias para enfrentar los riesgos positivos son:

a. Explotación del riesgo para asegurarnos que el riesgo positivo ocurra.
b. Compartir el riesgo o asignar la propiedad del riesgo a un tercero.
c. Mejora del riesgo o cambiar el tamaño de la oportunidad al identificar y maximizar los inductores claves de un riesgo positivo.
d. Aceptar el riesgo también se aplica a los riesgos positivos cuando el equipo del proyecto no puede o escoge no tomar ninguna acción para enfrentar el riesgo.

6. Monitoreo y control de los riesgos.

El monitoreo y control de los riesgos involucra la ejecución de los procesos de la administración de riesgo para responder a los eventos riesgosos. Ejecutar los procesos de la administración de riesgos significa asegurar que el reconocimiento de
los riesgos es una actividad permanente ejecutada por todos los miembros del equipo a lo largo de la vida del proyecto.

Variables Independientes y Dependientes

Variables independientes

Según el libro PMBOK Guide (6) las variables independientes del proceso de la Administración de Riesgos de los Proyectos son:

  • Las variables del entorno de la empresa. Estas variables están referidas a aquellos factores y/o variables exógenas que influyen sobre el desempeño de la empresa y del éxito del proyecto. Entre estas variables se tiene: la cultura organizacional, estándares de la industria, la infraestructura, los recursos humanos, las condiciones del mercado, entre otros.
  • Los activos de los procesos de la organización. Estos activos de la empresa y son utilizados para lograr el éxito del proyecto. Entre los activos más relevantes podremos citar: las normas y procedimientos administrativos de la empresa, requerimientos de comunicación de la empresa, procedimientos de control financiero de la empresa, procedimientos de administración de riesgos, entre otros.

Variables dependientes

  • Riesgo de la variabilidad del costo. Cuando se planifica un proyecto de tecnología de información se presupuesta su costo. El administrador del proyecto enfrenta el riesgo que el costo pueda ser mayor o menor.
  • Riesgo de la variabilidad del plazo o tiempo. Cuando se planifica un proyecto de tecnología de información se estima el tiempo o el plazo en el cual se culminará el proyecto. El administrador del proyecto enfrenta el riesgo que el tiempo o el plazo pueda ser mayor o menor.
  • Riesgo de la variabilidad de la calidad del proyecto. Cuando se planifica un proyecto de tecnología de información se fijan metas para lograr ciertos estándares de calidad. El administrador del proyecto enfrenta el riesgo que las metas de calidad se satisfagan, las excedamos, o no se logren.

Resultados

Conclusiones

Por los elementos de juicios presentados y la importancia del tema, los gerentes de proyectos de tecnología de información deberían dedicar más recursos a la generación de un plan coherente para identificar y enfrentar adecuadamente los riesgos.

El proceso de globalización exigirá que las empresas peruanas creen ventajas competitivas en la realización de proyectos de tecnología de información.

Recomendaciones

Continuar con esta propuesta de investigación que podría dar lugar a constituirse en una línea de investigación. Asimismo, es oportuno conformar en nuestra Facultad grupos de docentes y alumnos que desarrollen la implementación de la metodología del PMBOK.

Referencias Bibliográficas

1. Galway, Lionel. Quantitative Risk Analysis for Project Management: A critical review. RAND Corporation working paper. February 2004.

2. www.pergaminovirtual.com.ar, “Pronóstican el crecimiento de la TI para América Latina”, pagina visitada el 14 de marzo 2006.

3. Schwalbe, Kathy. Information Technology Project Management”. Thompson Course Technology. Fouth Edition. 2006

4. Kindinger, John P.; Darby, John L. Risk Factor Analysis- A New Qualitative Risk Management Tool. Proceedings of the Project Management Institute Annual Seminars & Symposium. September 7 – 16, 2000. Houston, Texas. USA.

5. Roberts, Barney B. The benefits of Integrated Quantitative Risk Management. Awarded “Best paper” in the Systems Engineering Track at the 12th Annual International Symposium of the International Council on Systems Engineering. Melbourne, Victoria. Australia. July 1-5, 2001.

6. Project Management Institute, A Guide to the Project Management Body of Knowledge (PMBOK Guide) Third edition. 2004

Comments are closed.