Gestión del riesgo

La gestión del riesgo es una de las tareas más sustanciales para un administrador de proyecto.
La gestión del riesgo implica anticipar riesgos que pudieran alterar el calendario del proyecto
o la calidad del software a entregar, y posteriormente tomar acciones para evitar dichos
riesgos. Podemos considerar un riesgo como algo que es preferible que no ocurra. Los riesgos
pueden amenazar el proyecto, el software que se desarrolla o a la organización. Por lo tanto,
existen tres categorías relacionadas de riesgo:

1. Riesgos del proyecto: Los riesgos que alteran el calendario o los recursos del proyecto.
Un ejemplo de riesgo de proyecto es la renuncia de un diseñador experimentado.
Encontrar un diseñador de reemplazo con habilidades y experiencia adecuadas puede
demorar mucho tiempo y, en consecuencia, el diseño del software tardará más tiempo
en completarse.
2. Riesgos del producto: Los riesgos que afectan la calidad o el rendimiento del software
a desarrollar. Un ejemplo de riesgo de producto es la falla que presenta un componente
que se adquirió al no desempeñarse como se esperaba. Esto puede afectar el
rendimiento global del sistema, de modo que es más lento de lo previsto.
3. Riesgos empresariales: Riesgos que afectan a la organización que desarrolla o adquiere
el software. Por ejemplo, un competidor que introduce un nuevo producto es un riesgo
empresarial. La introducción de un producto competitivo puede significar que las
suposiciones hechas sobre las ventas de los productos de software existentes sean
excesivamente optimistas.

Desde luego, estos tipos de riesgos se traslapan. Si un programador experimentado abandona

un proyecto, esto puede ser un riesgo del proyecto porque, incluso si se sustituye de manera
inmediata, el calendario se alterará. Siempre se requiere tiempo para que un nuevo miembro
del proyecto comprenda el trabajo realizado, de manera que no puede ser inmediatamente
productivo. En consecuencia, la entrega del sistema podría demorarse. La salida de un
miembro del equipo también puede ser un riesgo del producto, porque un sustituto tal vez no
sea tan experimentado y, por lo tanto, podría cometer errores de programación. Finalmente,
puede ser un riesgo empresarial, porque la experiencia de dicho programador es vital para
obtener nuevos contratos.

Es necesario registrar los resultados del análisis del riesgo en el plan del proyecto, junto con
un análisis de consecuencias, que establece las consecuencias del riesgo para el proyecto, el
producto y la empresa. La gestión de riesgos efectiva facilita hacer frente a los problemas y
asegurar que éstos no conduzcan a un presupuesto inaceptable o a retrasos en el calendario.

Los riesgos específicos que podrían afectar un proyecto dependen del proyecto y el entorno
de la organización donde se desarrolla el software. Sin embargo, también existen riesgos
comunes que no se relacionan con el tipo de software a desarrollar y que pueden ocurrir en
cualquier proyecto.

La gestión del riesgo es particularmente importante para los proyectos de software, debido a
la incertidumbre inherente que enfrentan la mayoría de los proyectos. Ésta se deriva de
requerimientos vagamente definidos, cambios de requerimientos que obedecen a cambios en
las necesidades del cliente, dificultades en estimar el tiempo y los recursos requeridos para el
desarrollo de software, o bien, se deriva de diferencias en las habilidades individuales. Es
necesario anticipar los riesgos; comprender el efecto de estos riesgos sobre el proyecto, el
producto y la empresa; y dar los pasos adecuados para evitar dichos riesgos. Tal vez se
necesite diseñar planes de contingencia de manera que, si ocurren los riesgos, se puedan
tomar acciones inmediatas de recuperación.

Ejemplos de riesgos comunes para el proyecto, el producto y la empresa

Una idea general del proceso de gestión del riesgo comprende varias etapas:

1. Identificación del riesgo: Hay que identificar posibles riesgos para el proyecto, el
producto y la empresa.
2. Análisis de riesgos: Se debe valorar la probabilidad y las consecuencias de dichos
riesgos.
3. Planeación del riesgo: Es indispensable elaborar planes para enfrentar el riesgo, evitarlo
o minimizar sus efectos en el proyecto.
4. Monitorización del riesgo: Hay que valorar regularmente el riesgo y los planes para
atenuarlo, y revisarlos cuando se aprenda más sobre el riesgo.

Es preciso documentar los resultados del proceso de gestión del riesgo en un plan de gestión
del riesgo. Éste debe incluir un estudio de los riesgos que enfrenta el proyecto, un análisis de
dichos riesgos e información de cómo se gestionará el riesgo cuando es probable que se
convierta en un problema.

El proceso de gestión del riesgo es un proceso iterativo que continúa a lo largo del proyecto.
Una vez desarrollado un plan de gestión del riesgo inicial, se monitoriza la situación para
detectar riesgos emergentes. Conforme está disponible más información referente a los
riesgos, habrá que volver a analizar los riesgos y decidir si cambió la prioridad del riesgo.
Entonces tal vez sea necesario cambiar los planes para evitar el riesgo y gestionar la
contingencia.

El proceso de gestión del riesgo

Identificación del riesgo

La identificación del riesgo es la primera etapa del proceso de gestión del riesgo. Se ocupa de
identificar los riesgos que pudieran plantear una mayor amenaza al proceso de ingeniería de
software, al software a desarrollar, o a la organización que lo desarrolla. La identificación del
riesgo puede ser un proceso de equipo en el que este último se reúne para pensar en posibles
riesgos. O bien, el administrador del proyecto, con base en su experiencia, identifica los riesgos
más probables o críticos.

Como punto de partida para la identificación del riesgo, se recomienda utilizar una lista de
verificación de diferentes tipos de riesgo. Existen al menos seis tipos de riesgos que pueden
incluirse en una lista de verificación:

1. Riesgos tecnológicos: Se derivan de las tecnologías de software o hardware usadas

para desarrollar el sistema.
2. Riesgos personales: Se asocian con las personas en el equipo de desarrollo.
3. Riesgos organizacionales: Se derivan del entorno organizacional donde se desarrolla el
software.
4. Riesgos de herramientas: Resultan de las herramientas de software y otro software de
soporte que se usa para desarrollar el sistema.
5. Riesgos de requerimientos: Proceden de cambios a los requerimientos del cliente y del
proceso de gestionarlos.
6. Riesgos de estimación: Surgen de las estimaciones administrativas de los recursos
requeridos para construir el sistema.

Al concluir el proceso de identificación de riesgos, se tendrá una larga lista de eventualidades

que podrían ocurrir y afectar al producto, al proceso y a la empresa.

Entonces se necesita reducir esta lista a un tamaño razonable. Si existen demasiados riesgos,
será prácticamente imposible seguir la huella de todos ellos.
Análisis de riesgo
Durante el proceso de análisis de riesgos, hay que considerar cada riesgo identificado y
realizar un juicio acerca de la probabilidad y gravedad de dicho riesgo. No hay una forma
sencilla de hacer esto. Usted debe apoyarse en su propio juicio y en la experiencia obtenida
en los proyectos anteriores y los problemas que surgieron en ellos.

No es posible hacer valoraciones precisas y numéricas de la probabilidad y gravedad de cada

riesgo. En vez de ello, habrá que asignar el riesgo a una de ciertas bandas:

1. La probabilidad del riesgo puede valorarse como muy baja (< 10%), baja (del 10 al 25%),
moderada (del 25 al 50%), alta (del 50 al 75%) o muy alta (> 75%).
2. Los efectos del riesgo pueden estimarse como catastróficos (amenazan la
supervivencia del proyecto), graves (causarían grandes demoras), tolerables (demoras
dentro de la contingencia permitida) o insignificantes.

Ejemplos de diferentes tipos de riesgos

Luego hay que tabular los resultados de este proceso de análisis mediante una tabla
clasificada de acuerdo con la gravedad del riesgo. Desde luego, aquí la valoración de la
probabilidad y seriedad son arbitrarias. Para hacer esta valoración, se necesita información
detallada del proyecto, el proceso, el equipo de desarrollo y la organización.

Desde luego, tanto la probabilidad como la valoración de los efectos de un riesgo pueden
cambiar conforme se disponga de más información acerca del riesgo y a medida que se
implementen planes de gestión del riesgo. Por lo tanto, esta tabla se debe actualizar durante
cada iteración del proceso de riesgo.
Una vez analizados y clasificados los riesgos, valore cuáles son los más significativos.

Su juicio debe depender de una combinación de la probabilidad de que el riesgo surja junto
con los efectos de dicho riesgo. En general, los riesgos catastróficos deben considerarse
siempre, así como los riesgos graves con más de una probabilidad moderada de ocurrencia.

Se recomienda identificar y monitorizar los 10 riesgos principales, pero considera que esta cifra
es más bien arbitraria. El número correcto de riesgos a monitorizar debe depender del
proyecto. Pueden ser cinco o 15. Sin embargo, el número de riesgos elegidos para monitorizar
debe ser manejable. Un número de riesgos muy grande requeriría recopilar demasiada
información. A partir de los riesgos identificados es adecuado considerar los ocho riesgos que
tienen consecuencias catastróficas o graves.

Planeación del riesgo

El proceso de planeación del riesgo considera cada uno de los riesgos clave identificados y
desarrolla estrategias para manejarlos. Para cada uno de los riesgos, usted debe considerar
las acciones que puede tomar para minimizar la perturbación del proyecto si se produce el
problema identificado en el riesgo. También debe pensar en la información que tal vez necesite
recopilar mientras observa el proyecto para que pueda anticipar los problemas.

Nuevamente, no hay un proceso simple que pueda seguirse para la planeación de

contingencias. Se apoya en el juicio y la experiencia del administrador del proyecto.

Las estrategias se establecen en tres categorías:

1. Estrategias de evitación: Seguir estas estrategias significa que se reducirá la

probabilidad de que surja el riesgo. Un ejemplo de estrategia de evitación del riesgo es
la estrategia de enfrentar los componentes defectuosos.
2. Estrategias de minimización: Seguir estas estrategias significa que se reducirá el efecto
del riesgo. Un ejemplo de estrategia de minimización de un riesgo es la estrategia para
las enfermedades del personal.
3. Planes de contingencia: Seguir estas estrategias significa que se está preparado para
lo peor y se tiene una estrategia para hacer frente a ello. Un ejemplo de estrategia de
contingencia es la estrategia para los problemas financieros de la organización.

Aquí se observa una clara analogía con las estrategias utilizadas en los sistemas críticos para
garantizar fiabilidad, seguridad y protección, cuando hay que evitar, tolerar o recuperarse de
las fallas. Desde luego, es mejor usar una estrategia que evitar el riesgo. Si esto no es posible,
se debe usar una estrategia que reduzca las posibilidades de que el riesgo cause graves
efectos. Finalmente, se debe contar con estrategias para enfrentar el riesgo cuando
éste surja. Tales estrategias deben reducir el efecto global de un riesgo en el proyecto o el
producto.

Monitorización del riesgo

La monitorización del riesgo es el proceso para comprobar que no han cambiado sus
suposiciones sobre riesgos del producto, el proceso y la empresa. Hay que valorar
regularmente cada uno de los riesgos identificados para decidir si este riesgo se vuelve más o
menos probable. También se tiene que considerar si los efectos del riesgo han cambiado o no.
Para hacer esto, observe otros factores, como el número de peticiones de cambio de
requerimientos, lo que da pistas acerca de la probabilidad del riesgo y sus efectos. Dichos
factores dependen claramente de los tipos de riesgos. Algunos ejemplos de factores que
pueden ser útiles para valorar estos tipos
de riesgos.

Los riesgos deben monitorizarse comúnmente en todas las etapas del proyecto. En cada
revisión administrativa, es necesario reflexionar y estudiar cada uno de los riesgos clave por
separado. También hay que decidir si es más o menos probable que surja el riesgo, y si
cambiaron la gravedad y las consecuencias del riesgo.