Programa Gadex: Gestión de Riesgos y Planes de Calidad

1. LA GESTIÓN DE RIESGOS

www.formatoedu.com 1
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

Contenido
1 INTRODUCCIÓN.....................................................................................................3
2 DEFINICIONES .......................................................................................................4
3 LA GESTIÓN DE RIESGOS .................................................................................7
4 IDENTIFICACIÓN DE RIESGOS .........................................................................9
4.1 GENERALIDADES ..........................................................................................9
4.2 AREAS DE ANÁLISIS Y FUENTES DE RIESGOS ..................................9
4.3 IDENTIFICACIÓN Y REGISTRO DE RIESGOS ..................................... 13
5 EVALUACIÓN/VALORACIÓN DE LOS RIESGOS ....................................... 15
5.1 ¿CÓMO MEDIMOS EL RIESGO? ............................................................. 15
5.2 MÉTODOS DE EVALUACIÓN Y VALORACIÓN. .................................. 15
5.3 MATRIZ DEL ÍNDICE DE RIESGO ........................................................... 16
5.3.1 PROBABILIDAD DEL RIESGO.......................................................... 16
5.3.2 IMPACTO DEL RIESGO ...................................................................... 17
5.3.3 ÍNDICE DEL RIESGO ........................................................................... 20
6 PLANES DE ACCIÓN ......................................................................................... 21
7 SEGUIMIENTO Y CONTROL. ........................................................................... 23
8 CONCLUSIONES ................................................................................................ 24
9 ANEXOS ................................................................................................................ 26

www.formatoedu.com 2
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

1 INTRODUCCIÓN
La aproximación a la gestión de riesgos se produce en los emporios comerciales y
navegantes de Italia a fines del siglo XVI. Son estos mercaderes o comerciantes quienes crean
el concepto moderno del riesgo.
Con el desarrollo del capitalismo industrial, a partir del siglo XIX, aparecen mayores
riesgos como consecuencia de los inventos y su puesta en práctica: ferrocarriles, actividades
fabriles, trabajos públicos, automovilismo, etc., que revolucionan la vida cotidiana.
A partir de los años sesenta se pone de manifiesto la gran vulnerabilidad de las empresas
debido a la gran concentración de valores y la especialización de sus unidades de fabricación.
La aparición de un riesgo produce grandes pérdidas humanas y materiales y una serie de gastos
financieros e indirectos: reducción de ventas, de imagen de la empresa, paro obrero, etc. Ante el
aumento de accidentes de trabajo y la consiguiente presión de los sindicatos obreros, surge la
necesidad de implantar medidas de prevención.
Ya en la época actual, el hecho de querer modernizarse, usar nuevas tecnologías,
disponer de sistemas que sean capaces de cumplir con los requerimientos operativos actuales,
significa asumir riesgos. El riesgo es inherente a toda actividad empresarial.
Las empresas que no invierten en nuevos productos, que no innovan e investigan, no
asumen riesgos, pero probablemente sean las que se queden obsoletas y tengan menos futuro.
El riesgo hay que asumirlo, lo malo es no conocer el riesgo que se asume y no tenerlo
controlado.
Las incertidumbres y riesgos, vienen principalmente derivados de la complejidad e
inestabilidad de los requerimientos a contratar o contratados, de las inversiones a realizar, de la
complejidad y grado de integración requeridos, de la falta de experiencia y del hecho de tener
que usar nuevas tecnologías o tecnologías todavía en estado inmaduro.
El objetivo debe ser reducir los riesgos hasta unos niveles aceptables, acotando la
incertidumbre de los posibles resultados a obtener. Para ello, se aplica la Gestión de Riesgos.

www.formatoedu.com 3
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

2 DEFINICIONES
Análisis Causa-Efecto: Técnica basada en diagramas “Ishikawa” (raspa de pescado o
“fishbone”) que permite crear una estructura para ayudar a identificar las causas raíces de un
riesgo así como a definirlo.
Análisis de riesgos: Proceso por el que se consiguen conocer las áreas críticas en un proyecto
identificando y valorando sus riesgos. Según la ISO 31000:2018: proceso que permite
comprender la naturaleza del riesgo y sus características, incluyendo cuando sea apropiado el
nivel del riesgo.
Brainstorming: Técnica de grupo para generar ideas. Un grupo de personas se reúnen con el
fin de expresar ideas sobre un problema.
Las ideas son capturadas por el responsable de la reunión sin hacer ninguna evaluación.
Característica clave: Atributo o propiedad cuya variación tiene un efecto significativo en el
ajuste, forma, función, prestaciones, servicio o fabricación del producto, y que requiere acciones
específicas para controlar su variación.
Causa del riesgo: La razón potencial (o razones) por la que puede ocurrir un riesgo.
Contingencia: Acciones que se ejecutan después de que un riesgo haya ocurrido para
minimizar su efecto en los objetivos del proyecto. Las acciones deben planificarse antes de que
el riesgo ocurra.
Determinación del riesgo: Expresión de lo que podría ir mal. Puede estar asociado a cualquier
producto, proceso o estado del ciclo de vida.
Elementos críticos: Aquellos elementos que tienen un efecto significativo en la realización y la
utilización del producto, incluyendo la seguridad, prestaciones, forma, ajuste, función, fabricación
del producto, servicio, etc. Requieren acciones específicas para asegurar su adecuado control.
Entre los ejemplos de elementos críticos se incluyen, p. ej., software, procesos clave, elementos
críticos de seguridad, elementos críticos de rotura, elementos críticos de misión, características
clave, etc.
Estado del riesgo: El valor del índice de riesgo en un momento dado. Puede ser superior, igual
o inferior al valor del estado anterior.
Gestión de riesgos (GR): Proceso establecido para la evaluación (identificación, análisis, y
cuantificación) de los posibles riesgos que pueden afectar a un contrato y la selección e
implantación de medidas adecuadas para su prevención, mitigación y control, para reducir sus
posibles perjuicios. Según la ISO 31000:2018: actividades coordinadas para dirigir y controlar la
organización con relación al riesgo.
Gestor del Riesgo: La persona que se nombra responsable para desarrollar y gestionar los
planes de acciones que reduzcan el nivel de criticidad de cada riesgo.
Identificación de Riesgos: Proceso de examinar las fuentes de riesgo en un programa,
identificando los riesgos más relevantes para su valoración. Según la ISO 31000:2018 encontrar,
reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr sus
objetivos.
Impacto: Efectos estimados que pueden ocurrir si un riesgo se materializa, calculados sobre la
base de efectos en el coste, efectos en plazo de ejecución y efectos en las características del
producto contratado.

www.formatoedu.com 4
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

Incertidumbre: Algo que puede ir mal, pero que no se conoce con suficiente detalle ni el
impacto que puede tener en los objetivos del programa ni la probabilidad de que ocurra.
Indice Actual de Criticidad (IAC): Último índice de Criticidad asignado a un riesgo tras la última
valoración realizada.
Índice de Criticidad (IC): Resultado numérico que se obtiene en la valoración de un riesgo, tras
aplicar la métrica de valoración definida. Es la medida de la incapacidad para conseguir los
objetivos del contrato dentro del ámbito técnico (prestaciones), de coste o de plazos, a
consecuencia de la materialización de un riesgo.
Indice Inicial de Criticidad (IIC): Indice de Criticidad asignado en la Primera Valoración del
Riesgo. Se debe asignar pensando que no se ha tomado ninguna acción para mitigar el riesgo.
Indice Objetivo de Criticidad (IOC): Objetivo del índice de criticidad a alcanzar tras la puesta
en marcha de los planes de mitigación, bien como consecuencia de disminuir la probabilidad de
que el riesgo ocurra, bien como consecuencia de disminuir el posible impacto en los objetivos
comprometidos.
Métrica de Valoración: Parámetros que se utilizan para valorar un riesgo y asignarle un índice
de criticidad. Normalmente es una combinación, entre la valoración del impacto (medida en
términos de coste, plan, producto) y probabilidad de que el riesgo se materialice.
Normalmente se utilizan parámetros para medir impactos en Coste/Presupuesto, plazo de
ejecución y calidad/características del producto, de forma independiente. Estos índices se deben
definir al principio de cada proyecto como parte del procedimiento de gestión de riesgos a usar.
Mitigación: Acciones que se pueden tomar para evitar que un riesgo ocurra o bien para reducir
la probabilidad de que se materialice.
Probabilidad del riesgo: Grado de confianza en que el riesgo ocurra.
Plan de Contingencia: El plan que debería ejecutarse en el caso de que un riesgo se
materialice.
Plan para la Gestión de Riesgos: Plan dentro de un Proyecto que describe cómo los riesgos
de ese Proyecto se gestionarán. El Plan debe incluir responsabilidades en la Gestión de
Riesgos, procedimiento a utilizar y documentación.
Probabilidad: Medida, en porcentaje, de la posibilidad de que un riesgo ocurra. La probabilidad
puede variar entre 0% para un riesgo que no ocurra a un 100% para riesgos que se
materializarán con seguridad (problemas). Dada la dificultad en cuantificar un porcentaje de
probabilidad, a menudo se clasifica la probabilidad en términos de MUY ALTA, ALTA, MEDIA ó
BAJA.
Proceso de gestión del riesgo (ISO 31000:2018): aplicación sistemática de políticas,
procedimientos y prácticas a las actividades de comunicación y consulta, establecimiento del
contexto y evaluación, tratamiento, seguimiento, revisión, registro e informe del riesgo.
Responsable para la Gestión de Riesgos: Persona que se asigna al Programa y que es la
responsable de editar el procedimiento de Gestión de Riesgos a emplear en el proyecto y de
vigilar su cumplimiento.
Asimismo realiza funciones de acordar la valoración con los gestores de cada riesgo así como
de reportar sobre los riesgos identificados y su tendencia.

www.formatoedu.com 5
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

Riesgo: Es la potencial materialización de sucesos adversos que pueden perjudicar el logro de

los objetivos comprometidos en un proyecto. También se define referido a un posible suceso
futuro del que se conocen su probabilidad de que ocurra y su posible efecto adverso en los
objetivos del programa.
NOTA – El concepto de riesgo comporta siempre dos elementos: la frecuencia o probabilidad, de
que ocurra un suceso peligroso y sus consecuencias.
 R.A.E.: 1M. Contingencia o proximidad de un daño.
 UNE-200.001 (1999) Guía de confiabilidad: Combinación de la frecuencia, o probabilidad
de ocurrencia, y las consecuencias de un suceso peligroso (suceso que pueden causar
perjuicios) especificado
 International Organization for Standarization" (ISO): "Combinación de la Probabilidad de
un Evento y su Consecuencia". ISO aclara que el término riesgo es generalmente usado
siempre y cuando exista la posibilidad de pérdidas (resultado negativo)".
 ISO 31000:2018: Efecto de la incertidumbre sobre los objetivos.
Registros de riesgos: Información relativa a los riesgos del producto, procesos, SGC o
suministrador.
Requisitos especiales: Aquellos requisitos de muy difícil consecución y que, por tanto, es
necesario incluir en el proceso de gestión de riesgos. Entre los factores usados en la
determinación de los requisitos especiales se incluyen la complejidad de producto o proceso, la
experiencia previa y la madurez del producto o proceso. Ejemplos de requisitos especiales son:
requisitos de funcionamiento impuestos por el cliente que están al límite del estado de la técnica,
o requisitos determinados por la organización que están en el límite de sus capacidades técnicas
o de proceso.
Valoración de Riesgos: Proceso de evaluación de la criticidad de un riesgo mediante la
determinación de la probabilidad estimada de que ocurra y su impacto en los objetivos
comprometidos del proyecto.

www.formatoedu.com 6
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

3 LA GESTIÓN DE RIESGOS
La gestión de riesgos consiste en identificar y valorar los riesgos, así como aprobar y
ejecutar las acciones o planes más adecuados para eliminar o disminuir dichos riesgos hasta
unos niveles aceptables.
Es un proceso estructurado, cíclico e iterativo, en el que se hace intervenir a todas las
personas que formen parte del proyecto. Debería iniciarse antes de la firma del contrato y
debería mantenerse hasta la entrega de los productos y/o servicios contratados con el fin de
controlar el nivel de riesgo durante todo el ciclo de vida del proyecto, así como identificar nuevos
riesgos que puedan ir apareciendo durante la ejecución del mismo.
La gestión de riesgos consta, habitualmente, de las siguientes etapas:
• Planificación del modo de actuación general, procesos, criterios, responsabilidades,
etc.;
• Identificación los riesgos (amenazas, problemas, incertidumbres...) que pueden afectar
al proyecto/ contrato estudiado;
• Evaluación y valoración de los riesgos en función de su efecto posible y su
probabilidad de ocurrencia;
• Identificación las actividades necesarias para la mitigación o el control de cada riesgo
identificado (Planes de acción):
• Seguimiento de las actividades y verificación de su eficacia;
• Reevaluación de la situación y re-alimentación del proceso.

PLANIFICACIÓN DEL PROCESO

IDENTIFICACIÓN EVALUACIÓN PLANES DE SEGUIMIENTO Y

RIESGOS RIESGOS ACCIÓN CONTROL

REEVALUACIÓN Y
REALIMENTACIÓN

En las primeras fases del proyecto, a pesar de que la información disponible es muy
escasa, es cuando se debe poner más énfasis a la hora de identificar y valorar los posibles
riesgos del proyecto.
La gestión de riesgos en los comienzos de todo proyecto se basará en identificar áreas de
alto riesgo con relación a los requerimientos dados, así como riesgos relativos a la dificultad de
obtener la información que se necesita para elaborar los planes, presupuestos y estructura de
trabajos necesaria para la buena marcha del programa. Uno de los objetivos primordiales será la
de conseguir el conocimiento a fondo de los requerimientos del cliente.
La Gestión de Riesgos, debería concretarse en un Plan de Gestión de Riesgos que
contendrá como mínimo:
• Procedimiento a utilizar para la Gestión de los riesgos en el proyecto.

www.formatoedu.com 7
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

• Registro/Base de datos de Riesgos.

El Procedimiento debería ser particularizado y aprobado por la Dirección del Proyecto,
con el fin de proveer a las distintas áreas que intervengan con un marco y unas referencias
comunes para la Gestión de Riesgos.
En el procedimiento se deberían establecer:
• Política de Gestión de Riesgos (objetivos, factores que contribuyen al éxito, sistemas
de comunicación, métrica a utilizar para la valoración, etc.).
• Organización para la Gestión de Riesgos (centralizada ó descentralizada, asignación
de responsabilidades, Gestor de riesgos, Comité de Gestión de Riesgos, responsables
de mitigación, etc.).
• El modo en que se realizarán y controlarán las actividades. Su salida (resultado de la
realización de las actividades) serán los riesgos identificados, las actuaciones
específicas y su correspondiente seguimiento y actualización.
Puesto que la Gestión de Riesgos es parte integrante de la planificación de un proyecto,
las actividades derivadas deberán establecerse en referencia a los diferentes planes de gestión
desarrollados para la realización y control del mismo, de modo que toda la planificación sea
consistente.
Por último, hay que indicar que la Gestión de Riesgos es un proceso que se realiza de
modo escalonado y permite establecer la relación entre una organización y su suministrador, y
entre éste y sus sub-suministradores.
En cada nivel de la cadena de suministro se identifican determinados riesgos, que se
amplían y definen en el siguiente. El análisis de riesgos que se realice en cada nivel servirá de
referencia para el nivel posterior y generará información para la "realimentación" del anterior.

www.formatoedu.com 8
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

4 IDENTIFICACIÓN DE RIESGOS

4.1 GENERALIDADES
La identificación de riesgos es una de las partes más importantes dentro de la Gestión de
Riesgos. Si un riesgo no es identificado, no puede ser gestionado de manera consciente.
La identificación de riesgos en un proyecto debe realizarse lo antes posible, de forma que
se consiga disminuir la incertidumbre en los resultados del proyecto hasta unos niveles
tolerables así como contribuir a unos planes de ejecución más fiables. Y debe continuar durante
toda la vida del proyecto, con el fin de identificar nuevos riesgos que puedan ir apareciendo, así
como desglosar los riesgos inicialmente identificados a niveles más detallados.
Como medidas para facilitar la identificación de riesgos (en programas de nuevo
desarrollo ó programas de larga duración) se citan:
• Desglosar el proyecto en paquetes de trabajo (estructura de árbol)
• Describir las actividades a realizar en cada paquete de trabajo
• Presupuestar cada paquete de trabajo
• Establecer un Plan Maestro donde se identifiquen los hitos y actividades más
importantes del proyecto
• Realizar una planificación detallada y analizar el camino crítico
• Definir la organización para la gestión del proyecto
• Realizar un plan de gestión de riesgos
• Prever presupuesto para utilizarlo en la mitigación de riesgos

4.2 AREAS DE ANÁLISIS Y FUENTES DE RIESGOS

Con objeto de guiar y sistematizar el proceso de análisis de riesgos, se han identificado
una serie de áreas en las que, por experiencia, se identifican los problemas más habituales y
que están relacionadas con los sistemas, procesos y recursos que se ponen en marcha durante
la realización de los proyectos. Estas áreas son de aplicación general y no tratan aspectos
específicos de los proyectos, que deberán ser identificados en cada caso particular.
En cada área de análisis se revisarán los sistemas, procesos o productos involucrados
desde la doble vertiente de su falta de madurez o definición y de su complejidad, con objeto de
identificar los riesgos específicos.
En la tabla 1 se muestra un ejemplo de las áreas de análisis y posibles orígenes del
riesgo.

www.formatoedu.com 9
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

TABLA 1: ÁREAS DE ANÁLISIS

POSIBLES ORÍGENES DEL
ÁREAS DE RIESGO
RIESGO
Externos
General Sistema Gestión Calidad
Recursos
Planificación
Información
Gestión del contrato
Normativa y legislación
Documentación
Diseño
Simulación y pruebas
Proveedores/ Subcontratistas
Realización del
Materiales/ Componentes
producto/prestación del
servicio Procesos de fabricación
Integración
Validación, verificación y
pruebas
Distribución
Entrega
Servicio

La figura 1 ilustra algunas de las posibles fuentes de información sobre riesgos y puede usarse a
modo de recordatorio como ayuda durante la identificación de los riesgos. La información
sugerida debería estar disponible de modo habitual y no se debería necesitar un análisis
exhaustivo para recopilarla o analizarla. El listado no debe considerarse cerrado.

www.formatoedu.com 10
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

Información
del cliente
Revisión del
contrato Comportamiento
anterior del
suministrador

Inexperiencia del
suministrador Información
Fuentes de previa sobre
información riesgos
sobre los
riesgos
Características
críticas de
Evaluación
producto o
pre-
proceso adjudicación

Oficinas de Certificación
programa de sistema o
proceso

Figura 1 Fuentes de información sobre los riesgos

Información del cliente: Información recibida de los compradores o usuarios de productos
realizados previamente por el suministrador; p. ej., reclamaciones de cliente.
Comportamiento previo del suministrador: Sistemas o procesos que, con base en el
comportamiento del suministrador en contratos anteriores, es posible que tengan un efecto
adverso en el producto o en los requisitos de prestaciones, coste o plazos del contrato.
Información previa sobre riesgos: Información o recomendaciones recibidas durante
actuaciones precedentes, o en la de referencia.
Evaluación pre-adjudicación: Información (o falta de ella) identificada durante evaluaciones
previas a la contratación o durante auditorías de calidad.
Certificación del sistema o de proceso: Información asociada a auditorías de calidad por
segunda o tercera parte, certificaciones de procesos o productos, laboratorios de análisis, etc.
Oficina de proyecto: Si la gestión del contrato la lleva una oficina de proyecto, se puede
obtener información del gestor de riesgos del proyecto.
Características críticas del producto o procesos críticos: Elementos o propiedades de los
procesos o los productos que, si no se controlan adecuadamente, pueden tener un efecto
adverso sobre las prestaciones, plazos de entrega o costes del producto.
Inexperiencia del suministrador: Sistemas o procesos que, debido a la inexperiencia del
suministrador, pueden tener un efecto adverso en las prestaciones, plazos o costes del contrato.
Revisión del contrato: La revisión del contrato puede identificar riesgos adicionales que podrían
tener una incidencia adversa en el producto o en los requisitos de prestaciones, plazos o coste
del contrato. Incluye la revisión de los documentos asociados al contrato.
Otro ejemplo de posibles fuentes de riesgo se muestra en la siguiente tabla:

www.formatoedu.com 11
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

FUENTE ORIGEN DEL RIESGO

Tecnología - Desarrollo de nuevos productos
- Uso de nuevas tecnologías
- Obsolescencia
Integración del - Incompatibilidad entre el sistema y sus componentes
sistema - Mal control de la configuración
- Falta de integridad del sistema
- Dificultades para identificar y valorar impactos
Ejecución del - Relación entre las distintas actividades del proyecto
proyecto - Implementación de cambios en el diseño
Cadena de - Requerimientos de material de clientes y suministradores
suministros - Obligaciones comerciales, leyes, impuestos, regulaciones
del comercios interior y exterior, acuerdos comerciales
- Cambios en la política del cliente o los suministradores
Documentación - Documentación incompleta o con errores
- Inconsistencia entre la documentación del proyecto y la
documentación contractual
Integración del - Integración de los recursos del proyecto
equipo - Comunicación, proceso de toma de decisiones, procesos
de motivación
- Procesos de integración del equipo de proyecto con la
organización
Disponibilidad - Disponibilidad de recursos en fecha
de recursos - Rotaciones
- Expertos considerados críticos
Estimaciones - Estimaciones incorrectas en presupuestos y plazos de
ejecución
- Falta de experiencia en proyectos similares
Requerimientos - Requerimientos no consolidados
- Cambios de tendencia en los mercados
- Cambios en los requerimientos

Algunas técnicas que se pueden utilizar para la identificación de riesgos se muestran a

continuación:

www.formatoedu.com 12
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

ENFOQUE HERRAMIENTAS Y TÉCNICAS

Encuestas Cuestionarios
Listas de chequeo
Entrevistas
Análisis del sistema Realización de modelos del sistema
Análisis de causa / efectos
Análisis de fallos en estructura de árbol
Experimentación Realización de prototipos
Simulaciones
Demostraciones
Investigación
Intuitivo Tormenta de ideas
Escenario de desarrollo
Grupos de trabajo
Sistemático Revisiones técnicas, de contrato y de documentaciones
Análisis del camino crítico, y seguimiento y control de la
eficacia en la ejecución del proyecto.

4.3 IDENTIFICACIÓN Y REGISTRO DE RIESGOS

Para cada riesgo identificado se debe proporcionar como mínimo la siguiente información:
a) Identificación del riesgo (título, número)
b) Determinación/descripción del riesgo
c) Causa o fuente del riesgo
d) Impacto del riesgo
e) Probabilidad del riesgo
f) Índice del riesgo
g) Responsable propuesto para la Gestión del Riesgo
b) Determinación/ descripción del riesgo
La determinación del riesgo, describiendo “qué podría ir mal”, debería expresarse como
un suceso que tendría un efecto adverso en las prestaciones, el coste o los plazos de
entrega del producto si llegara a materializarse.
La determinación del riesgo puede ser genérica, especialmente para nuevos programas o
suministradores. A medida que se realiza el proyecto, la información sobre los riesgos
debería madurar, aumentando así el conocimiento de los mismos. En este caso, se
deberían reevaluar los riesgos.
c) Causas de los riesgos
Es necesaria la identificación de las causas de los riesgos: “¿Por qué podría ir mal?”. Las
causas de los riesgos pueden expresarse haciendo referencia a los procesos que, por no
funcionar eficazmente, pueden derivar en efectos adversos para las prestaciones, los
costes o los plazos de entrega del producto.

www.formatoedu.com 13
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

Debería proporcionarse, directamente o mediante referencias, cualquier información

pertinente de ocurrencias previas. Puesto que puede haber numerosos procesos y sub-
procesos que contribuyan a un eficaz control del producto, su coste, entrega y
prestaciones, puede también haber varias causas de un riesgo.
Las posibles causas de un riesgo pueden normalmente ser identificadas por la regla de
las 4 M’s:

• Method (Procesos obsoletos o inadecuados)

• Material (Equipos y materiales)
• Money (falta de presupuesto, presupuesto inicial insuficiente, etc.)
• Manpower (falta de personal especializado, falta de recursos humanos)
Los efectos que dichas causas pueden provocar (los riesgos), deberían identificarse de
acuerdo con los requerimientos de los diferentes contratos y paquetes de trabajo:

• Posibles párrafos de la especificación ó del contrato que se puedan incumplir (con

referencia a dichos párrafos);
• Actividades o Hitos de las distintas planificaciones que puedan no ser alcanzados (con
referencia a esas actividades o hitos);
• Posible impacto negativo en los presupuestos asignados al proyecto o a cada paquete
de trabajo.
Sin haber realizado una buena descripción del riesgo (Causa/Efecto) será muy difícil
realizar una correcta valoración del mismo, así como conseguir una buena mitigación.
Una vez identificados los riesgos, se deben generar y mantener registros de la
información sobre los riesgos a lo largo de toda la vida del proyecto. Se pueden establecer
formatos con todos los campos necesarios para el eficaz registro y comunicación de los
resultados de la evaluación inicial de los riesgos y sus sucesivas revisiones. Estos formatos
además se pueden usar para comunicar la información actualizada sobre los riesgos entre los
participantes en el proyecto.
Un ejemplo de formato para la Identificación de riesgos puede ser el que se facilita en el
ANEXO 4.
En el ANEXO 1 TABLA DE IDENTIFICACIÓN DE RIESGOS se puede ver la aplicación
del establecimiento de las áreas de riesgos y la identificación de riesgos.
En el ANEXO 2 PARTE I, se puede ver otra forma de identificar los riesgos.
El formato del ANEXO 1 implica una valoración del riesgo cualitativa (bajo/medio/alto).
Este formato, permite ver la evolución entre dos valoraciones del riesgo (Riesgo inicial y Riesgo
revisado), documentando en comentarios las posibles causas de la variación. En este formato es
igualmente fácil detectar el riesgo atendiendo a su posible origen.
El formato del ANEXO 2 permite una valoración cuantitativa, con un índice numérico de la
criticidad del riesgo. Se aplica la metodología que se explica a continuación sobre probabilidad e
impacto del riesgo. En este caso, se usa la segunda parte del formato para documentar acciones
a tomar para la mitigación del riesgo.
Es frecuente el uso combinado de ambos formatos.

www.formatoedu.com 14
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

5 EVALUACIÓN/VALORACIÓN DE LOS RIESGOS

5.1 ¿CÓMO MEDIMOS EL RIESGO?

La medida del riesgo abarca dos dimensiones básicas: la probabilidad de que se
produzca la amenaza que nos acecha y la severidad con que se produzca dicha amenaza o el
impacto que produciría su ocurrencia.
Algunas situaciones de riesgo son del tipo si/no: el acontecimiento incierto y amenazador
se produce o no se produce. En el primer caso, el resultado es una pérdida total; si dicho
acontecimiento no se verifica, no se registra ninguna pérdida. Se trata de una situación de riesgo
relativamente poco corriente y la mayoría de los riesgos de este tipo poseen una estructura de
pérdida que se puede expresar, teóricamente al menos, en forma de distribución de
probabilidades. Esta distribución de probabilidades puede mostrar una posibilidad relativamente
grande de pérdidas pequeñas, una posibilidad menor de pérdidas medianas y una posibilidad
insignificante de pérdidas totales.
Podemos decir, que el grado de confianza de una medición mejora cuanto más alto es el
número de datos observados, y si este número es suficiente, el único problema que resta, es
anticipar el efecto de los cambios conocidos y no conocidos sobre los resultados totales. Aunque
las condiciones sean de incertidumbre, si el número de datos empíricos es suficiente, se pueden
planificar determinados indicadores de control con toda confianza.
5.2 MÉTODOS DE EVALUACIÓN Y VALORACIÓN.
La Evaluación/Valoración de riesgos es una de las tareas que más tiempo lleva en el
proceso de Gestión de riesgos y es fundamental. Debe permitir, a la vista de los riesgos
identificados y valorados, adoptar la mejor estrategia a seguir, plantear planes de acción para los
riesgos que puedan hacer fracasar los objetivos del proyecto y conseguir que la organización
trabaje en conjunto para eliminar los riesgos más importantes. Solo una correcta valoración del
riesgo permitirá clasificar los riesgos identificados según su importancia.
Esta fase de la Gestión de riesgos exige una cierta centralización con el fin de:

• Confirmar la asignación del Gestor de cada riesgo propuesto

• Clasificar los riesgos según su importancia
• Preparar los informes de riesgos que deben formar parte de las reuniones de
seguimiento del proyecto (Internos)
• Preparar informes de situación de riesgos que deben formar parte de los informes
ejecutivos periódicos (externos).
• Confirmar que las distintas áreas que intervienen siguen el procedimiento acordado
• Promover/diseminar la cultura de Gestión de riesgos
La tarea de Evaluación/Valoración de riesgos consiste fundamentalmente en:

• Validar y corregir si fuera necesario la asignación del Gestor del Riesgo propuesto.
• Validar la descripción del riesgo y modificarla si fuera necesario.
• Emplear la métrica establecida para clasificar los riesgos según su importancia.
El responsable de gestionar el riesgo debe realizar una validación del riesgo identificado,
comprobando que las causas del riesgo son las correctas, que están bien analizadas, y que el
efecto que el riesgo puede tener si se materializa, es el descrito inicialmente. Si fuera necesario,

www.formatoedu.com 15
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

debería modificar la información de la descripción del mismo. Finalmente, deberá realizar una
valoración del riesgo según la métrica acordada en el procedimiento.
Para evaluar y valorar los riesgos se establecen como válidos tanto el método de
evaluación cualitativa como el de evaluación cuantitativa definiendo cada uno a partir de la forma
como se expresa el resultado final del análisis. Evaluación cualitativa del riesgo es aquella donde
la probabilidad del incidente y la magnitud de sus consecuencias se expresan en términos
cualitativos como «alta», «media», «baja» o «insignificante», mientras que en la evaluación
cuantitativa los resultados se expresan en cifras.
Es totalmente acertado afirmar que ningún método de evaluación del riesgo es aplicable a
todas las situaciones y que, según las circunstancias, un método puede convenir más que otro.
Toda la información y documentación empleada en la valoración de cada riesgo quedará
documentada en los formatos que se hayan establecido, que constituirán el Registro de Riesgos
del Proyecto. Igualmente, la valoración de los riesgos debe ser introducida en dicho Registro de
Riesgos del Proyecto.
5.3 MATRIZ DEL ÍNDICE DE RIESGO
La forma más usada y más sencilla para valorar y establecer un Índice de Criticidad para
cada uno de los riesgos es el método de la Matriz del Índice de Riesgo (Impacto/Probabilidad).
Para cada riesgo identificado se obtendrá su Índice de Criticidad (IC), mediante la
valoración de dos elementos:

• Probabilidad de ocurrencia (P) y

• Impacto del efecto o consecuencia (S).
Se tendrán en cuenta tres niveles, tanto de impacto como de probabilidad: Alto (9), medio
(4) y bajo (1).
5.3.1 PROBABILIDAD DEL RIESGO
El riesgo es, por definición, incierto; por tanto, es necesario racionalizarlo mediante la
valoración de la probabilidad de su ocurrencia. Se expresa como alta, media o baja.
La probabilidad del riesgo es una valoración de la efectividad del sistema de gestión de
calidad de la organización para controlar los costes, plazos o prestaciones del producto. La
causa del riesgo y su probabilidad de ocurrencia están directamente relacionadas con los
procesos de la organización.
La tabla siguiente (TABLA 2) identifica atributos típicos de las probabilidades alta, media y
baja. Esta tabla puede usarse como guía para ayudar a los gestores de riesgos en su valoración.

www.formatoedu.com 16
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

TABLA 2: ATRIBUTOS DE LA PROBABILIDAD DEL RIESGO

PROBABILIDAD ATRIBUTO
DEL RIESGO
ALTA (9) Es altamente probable que suceda.
El sistema o proceso no está controlado. Los datos
disponibles ofrecen evidencia sobre la incapacidad del
sistema o proceso para cumplir con los requisitos.
No hay evidencia disponible de la capacidad de la
organización para la realización de la actividad requerida.
El proceso no controlado se usa muy frecuentemente, lo
que conduce al incremento de la probabilidad.
El proceso se usa raramente, no es de práctica habitual, lo
que se traduce en una falta de control o falta de
experiencia.
El proceso es nuevo o muy difícil de controlar. No hay
evidencia de resultados pasados en los que basar la
confianza en el control.
MEDIA (4) Es probable que el riesgo ocurra.
El sistema o proceso no está completamente controlado, o
los datos disponibles ofrecen duda sobre la capacidad del
sistema o proceso para cumplir con los requisitos.
El proceso es nuevo o difícil de controlar. Hay alguna
evidencia de control, pero es insuficiente para proporcionar
confianza en el proceso.
BAJA (1) Es poco probable que ocurra el riesgo.
El sistema o proceso está controlado. Los datos disponibles
proporcionan evidencia de que se cumplirán los requisitos.

La valoración de la probabilidad de los riesgos es altamente dependiente del conocimiento

y experiencia del evaluador y de la disponibilidad de los datos. Cuando se disponga de poca o
ninguna evidencia, es razonable suponer que la probabilidad de ocurrencia será alta.
La probabilidad de ocurrencia puede adaptarse en función del área de análisis, el riesgo
identificado, o de los procesos y recursos de la organización relacionados con ellos.
En el ANEXO 3 se indican algunos ejemplos de criterios de referencia para la valoración
de la probabilidad de ocurrencia.
5.3.2 IMPACTO DEL RIESGO
El impacto del riesgo representa cómo de crítica es la consecuencia si la condición de
riesgo ocurre.

www.formatoedu.com 17
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

El impacto del riesgo o la severidad de su efecto dependerá del objetivo del sistema,
proceso o producto objeto de análisis, y puede estar tanto en las prestaciones que tenga que
ofrecer, como en los cambios en los plazos y costes asignados y su efecto potencial en otros
proyectos o fases del proyecto.
En general, la valoración del impacto o la severidad debería hacerse teniendo en cuenta
los efectos en prestaciones, coste o plazos.
La severidad del efecto puede estimarse en función de la posibilidad de reparación o
recuperación del daño que se pueda derivar del uso en condiciones defectuosas sobre la
seguridad de las personas, las instalaciones o la misión programada o en función de la
existencia o no de alternativas y/o recursos para reparar o reconducir el daño dentro de las
limitaciones impuestas por el contrato.
La tabla siguiente identifica atributos típicos de los impactos alto, medio y bajo para
ayudar a los gestores de riesgos en la valoración:

www.formatoedu.com 18
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

TABLA 3: ATRIBUROS DEL IMPACTO DEL RIESGO

IMPACTO DEL ATRIBUTO
RIESGO
ALTA (9) La ocurrencia del riesgo puede ocasionar pérdida de vidas humanas o
heridas graves o el fallo completo del proyecto/producto.
Daño ambiental permanente o serio; p. ej.: fuga radiactiva o
contaminación química extensa.
Pérdida de recursos críticos.
El producto no servirá para el propósito definido, y éste no se puede
alcanzar mediante medios alternativos (p. ej.: otro producto o sistema).
El plazo de entrega es largo, es una fuente única de suministro o la
redundancia del sistema es prohibitivamente cara.
La falta de disponibilidad del equipo puede afectar a proyectos en
marcha.
MEDIA (4) La ocurrencia del riesgo puede ocasionar personas heridas, o perjuicios
importantes; p.ej.: retraso significativo o incremento excesivo de los
costes.
Se restringe la funcionalidad del producto y se compromete al menos una
característica crítica.
Características clave (no críticas) o requisitos especiales afectados.
El plazo de entrega es largo y la redundancia del sistema es cara.
La falta de disponibilidad del equipo puede afectar a futuros proyectos o
puede hacer necesaria la continuidad de los sistemas existentes.
Daño ambiental temporal o localizado.
Incremento significativo del coste del ciclo de vida.
BAJA (1) No hay requisitos críticos ni específicos afectados.
Incremento del coste, pero dentro de las restricciones presupuestarias.
Retrasos manejables, que no afectarán a las operaciones.
La apariencia del producto se verá afectada, pero no es crítica.
Efecto ambiental localizado y fácilmente recuperable.
El producto está disponible y no es excesivamente caro por lo que es
fácilmente sustituible; p. ej.: consumibles y productos y servicios
comerciales.

www.formatoedu.com 19
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

En el ANEXO 3 se identifican posibles criterios para la valoración de la severidad en

función de la componente valorada.
5.3.3 ÍNDICE DEL RIESGO
El índice del riesgo es la manera cuantitativa de medir lo significativo de cada riesgo. Se
calcula a partir de la valoración de la probabilidad de ocurrencia y del impacto del riesgo. Es el
producto de la criticidad (S) y la probabilidad (P):
IC = P * S
La matriz del índice del riesgo, se usa para ilustrar los diferentes índices posibles.
MATRIZ DEL INDICE DE RIESGOS
INDICE DE CRITICIDAD Probabilidad de ocurrencia
(RIESGO)
Bajo (1) Medio (4) Alto (9)
Alto (9) 9 36 81
Prestaciones, plazo

Medio Alto Alto

efecto /impacto
Severidad del

Medio (4) 4 16 36
Bajo Medio Alto
o coste

Bajo (1) 1 4 9
Bajo Bajo Medio

El Índice de Criticidad global del riesgo se obtendrá de la consideración del Índice de

Criticidad más grave de los índices de Criticidad individualmente calculados para los paquetes
de trabajo del proyecto, teniendo en cuenta los aspectos de prestaciones, coste o plazo.
La categorización de los ICs de cada riesgo, se establecerá mediante la consideración de
tres niveles:
• BAJO: (IC = 1 ó 4)
• MEDIO: (IC = 9 ó 16)
• ALTO: (IC = 36 ó 81)
De acuerdo con la matriz del índice del riesgo, si el proyecto o contrato incluye algún
elemento, subconjunto o equipo cuyo fallo pueda resultar catastrófico o suponer la pérdida de
vidas humanas o de capacidades operacionales significativas, el índice de riesgo no puede ser
menor de 9. Como ejemplos, se incluyen elementos críticos de seguridad, partes vitales y
elementos de seguridad de vuelo.

www.formatoedu.com 20
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

6 PLANES DE ACCIÓN
En algunos casos habrá riesgos sobre los que se decida no ejecutar ningún plan de
acción. Esto puede venir motivado por:

• Los planes de mitigación son más costosos que el beneficio que se puede obtener
evitando que el riesgo se materialice;
• Se necesita focalizar esfuerzos y recursos en aquellos riesgos que son más críticos o
bien en aquellos en los que el posible impacto está más cercano en el tiempo (no se
pueden mitigar todos los riesgos a la vez);
• Se asume el riesgo y no se ejecuta ningún plan de mitigación hasta no tener más
evidencias sobre su posible resultado.
El responsable de gestión de cada riesgo, propondrá los planes que crea necesarios.
Para cada riesgo se debería elaborar un plan de acción que contendrá:

• Objetivos a cumplir en fechas determinadas. Si se cumplen disminuyen el riesgo, y si

no el riesgo debe ser revalorado.
• Acciones concretas a realizar para conseguir los objetivos establecidos.
• Fechas en las que deberían empezar a ejecutarse las distintas acciones.
• Personas o funciones que deben intervenir en la consecución de dichos objetivos.
• Objetivo del Indice de Criticidad (OIC) a alcanzar y en qué fecha, como consecuencia
de disminuir la probabilidad de que el riesgo ocurra (planes preventivos) o como
consecuencia de minimizar el impacto (planes de contingencia).
Los planes de acción pueden ser básicamente de dos tipos:

• Planes de mitigación, con acciones preventivas (por cada causa identificada se podrá
establecer una o varias acciones) destinados fundamentalmente a disminuir o eliminar
la probabilidad de que el riesgo ocurra.
• Planes con acciones de contingencia, destinados fundamentalmente a minimizar el
posible impacto una vez que ocurra.
Los planes con acciones de contingencia normalmente deben ser propuestos por la
posible área afectada si el riesgo se materializa. Debe identificarse cuándo es la última fecha en
la que dichos planes deberían ejecutarse para que sean efectivos.
Toda la información relativa a los planes de acción debe ser introducida en el Registro de
Riesgos del Proyecto.
La clasificación de los riesgos identificados permitirá determinar el tipo de actuación y
seguimiento necesarios en cada caso.
Riesgo Alto: Una condición de riesgo alto no es, en general, aceptable (podría serlo en
casos de investigación pura, o en fases iniciales de desarrollo tecnológico).
Se deberá presentar una propuesta documentada de acciones encaminadas a disminuir el
IC y realizar el control y supervisión de las mismas.
Riesgo Medio: Se hará un control cercano y activo de todos los factores relacionados con
el elemento de riesgo y se emitirá un informe periódico de seguimiento.

www.formatoedu.com 21
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

Riesgo Bajo: Normalmente no se requerirán acciones específicas; sin embargo deberán

estar identificados y habrá que verificar ocasionalmente que los supuestos que han dado
lugar a la consideración de riesgo bajo se mantienen.
En el siguiente cuadro se resume el tipo de objetivo y tareas que será esperable que haya
que realizar en función de la criticidad del riesgo:

Riesgo Objetivo Tipo de tareas

ALTO Disminuir el riesgo a un nivel aceptable, Actuación específica
estableciendo actuaciones específicas prioritaria
para ello, y
MEDIO Asegurarse de que los supuestos Seguimiento activo
establecidos se cumplen, y
BAJO Asegurarse de que no se incrementa el Control
riesgo
El ANEXO 2 PARTE II es un formato tipo para la documentación de las acciones
identificadas para la mitigación de los riesgos identificados en la PARTE I.
Algunas de las acciones que se pueden incluir en los planes de riesgos pueden ser del
tipo:
a) Evitar: debería ser la primera alternativa a considerar. Se logra cuando en los
procesos se generan cambios sustanciales por mejora, rediseño o eliminación,
resultado de unos adecuados controles y acciones emprendidas. Por ejemplo: en la
realización de una obra, generar un plano con los sitios arqueológicos que hay en
la zona, para evitar la paralización de las obras por encontrar hallazgos
arqueológicos.
b) Reducir o controlar el Riesgo: Sí el riesgo no puede ser evitado porque crea
grandes dificultades operacionales, el siguiente paso es reducirlo al más bajo nivel
posible. La reducción del riesgo es probablemente el método más sencillo y
económico para superar las debilidades antes de aplicar medidas más costosas y
difíciles. Se consigue mediante la optimización de los procedimientos y la
implementación de controles. Un ejemplo de reducir los riesgos es capacitar a los
operarios con respecto a los nuevos procedimientos de trabajo. De esta manera,
rebajaríamos el riesgo de realizar correcciones, por no cumplir los nuevos
procedimientos.
c) Transferir el riesgo: se trata de compartir parte del riesgo. Ésta técnica es usada
para eliminar o minimizar el riesgo de un lugar o grupo y pasarlo a otro. Por
ejemplo, traspasar los riegos ocasionados en las rutas de transporte a las
Empresas Aseguradoras a través de una Póliza de Seguros contratada por las
Empresas transportistas.

www.formatoedu.com 22
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

7 SEGUIMIENTO Y CONTROL.
El Responsable asignado para gestionar cada riesgo deberá realizar el seguimiento sobre
la tendencia de cada riesgo que se le haya asignado, así como el seguimiento de aquellos
planes de acción que estén aprobados o que estén en ejecución.
La tendencia sobre cada riesgo, así como el progreso sobre los planes de acción
propuestos ó en ejecución serán introducidos en el Registro de Riesgos del Proyecto.
El responsable de valoración de cada riesgo deberá revalorar el riesgo de acuerdo con la
efectividad de los planes de acción de forma periódica asignando a cada riesgo que esté bajo su
responsabilidad un Indice Actual de Criticidad (IAC), así como la fecha en que dicho riesgo ha
sido revalorado.
Los resultados de la revaloración periódica de los riesgos del Proyecto (IAC) deberán
actualizar el Registro de Riesgos del Proyecto.
Estas re-evaluaciones/re-valoraciones de los riesgos deben realizarse de forma periódica
con el fin de conocer en cada momento el índice de criticidad de los riesgos así como de evaluar
la efectividad de los planes de acción aprobados y poder reaccionar con suficiente antelación en
los casos que sea necesario.
Es recomendable situar dentro de la planificación Hitos intermedios de control del Índice
de Criticidad (CIC). Si se alcanzan estos hitos, disminuye el riesgo (baja la probabilidad de que
el riesgo ocurra, o disminuye el impacto) y si no se alcanzan el riesgo debe ser revalorado. Estos
hitos intermedios deben servir para discernir si los planes de acción que se han puesto en
marcha son efectivos o no, y si no son efectivos, volver a analizar las causas y proponer nuevas
alternativas con suficiente antelación.
Además del seguimiento de las acciones de mitigación de los riesgos identificados es
necesario repetir de forma sistemática el proceso de evaluación (identificación, análisis,
cuantificación) de riesgos, ya que a lo largo de la ejecución del contrato pueden aparecer nuevas
circunstancias de riesgo. Esta reevaluación deberá hacerse si:
1. Se alcanzan hitos contractuales específicos (tomas de decisión, cambio de fase del
proyecto, certificaciones específicas, etc.).
2. Se modifica el contenido del contrato.
3. Se recibe información adicional relevante del contratista de nivel anterior o los sub-
contratistas (auditorías, revisiones de los planes de calidad, de gestión del contrato,
reuniones de seguimiento, cierre de acciones correctivas, etc.).
4. El número de no conformidades, desviaciones, concesiones hace sospechar de algún
problema recurrente o si, por el contrario, se observa un comportamiento
satisfactorio.
5. El resultado de las acciones de seguimiento realizadas así lo aconseja.

www.formatoedu.com 23
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

8 CONCLUSIONES
Toda ejecución de un proyecto lleva asociados riesgos que pueden poner en peligro los
objetivos de:

• alcanzar los beneficios esperados

• satisfacer las expectativas de los clientes en términos de plazos de ejecución y calidad
de los productos o servicios a suministrar.
La Gestión de Riesgos es una parte de la Gestión Integral de un proyecto que consiste en
aprobar y ejecutar los planes o acciones más adecuados para eliminar o disminuir los riesgos de
ese proyecto hasta unos niveles tolerables.
El objetivo es controlar los riesgos desde el principio hasta la entrega, analizando
anticipada y continuamente la situación de dichos riesgos y tomando las medidas oportunas para
su control.
La valoración de los riesgos, inherentes a todo proyecto, debe realizarse de la manera
más anticipada posible, con el fin de asegurar que los riesgos técnicos, de plazo y de costes son
tenidos en cuenta y que las acciones para mitigar dichos riesgos son incorporadas a la
planificación de cada proyecto.
Así se conseguirá la información suficiente para crear unos planes más creíbles y unos
presupuestos de ejecución más fiables, incrementando la fiabilidad de cumplimiento de los
planes de ejecución y un mayor espectro de posibles alternativas.
La clave para tener éxito en la Gestión de Riesgos es por tanto, evaluar los riesgos con
suficiente antelación y ejecutar los planes de mitigación de forma adecuada.
En la Gestión de Riesgos se debe hacer partícipe a todas las áreas y funciones
implicadas en su resolución consiguiendo además que las personas afectadas trabajen con el
mismo objetivo común de eliminar o disminuir los riesgos.
La forma más efectiva para implantar una Gestión de Riesgos es la de conseguir que
cada persona que forme parte de la ejecución del proyecto realice, como parte de su trabajo
habitual, una valoración de los riesgos que asume en la consecución de sus objetivos parciales.
En definitiva, una correcta implantación de Gestión de Riesgos debe permitir:

• Identificar las mejores opciones para alcanzar los objetivos del proyecto en términos
de coste, plazos de ejecución y calidad del producto/servicio a contratar /suministrar.
• Dar suficiente información sobre los riesgos del proyecto, de forma anticipada, para
facilitar la toma de decisiones sobre los hitos principales del proyecto.
• Hacer un seguimiento sobre la evolución del nivel de riesgo conforme el proyecto
avanza.
En Julio de 2010, la Asociación Española de Normalización y Certificación (AENOR) ha
publicado la norma UNE-ISO 31000 GESTIÓN DEL RIESGO. PRINCIPIOS Y DIRECTRICES
(se facilita como lectura complementaria). Esta norma en su introducción dice: “Todas las
actividades de una organización implican riesgos. Las organizaciones gestionan el riesgo
identificándolo, analizándolo y evaluando después si el riesgo se debería modificar mediante un

www.formatoedu.com 24
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

tratamiento que satisfaga sus criterios de riesgo. A lo largo de todo este proceso, las
organizaciones comunican y consultan a las partes interesadas y realizan seguimiento y revisan
el riesgo y los controles que lo modifican para asegurar que no es necesario un tratamiento
adicional del riesgo”. (…) El enfoque genérico que se describe en esta norma internacional
proporciona los principios y directrices para gestionar cualquier forma de riesgo de una manera
sistemática, transparente fiable, dentro de cualquier alcance y de cualquier contexto.
La norma no está prevista para fines de certificación ni tiene como objetivo promover la
uniformidad en la gestión del riesgo en el seno de las organizaciones. Se tendrán que tener en
cuenta las diversas necesidades de una organización específica, sus objetivos particulares, su
contexto, su estructura, sus operaciones, sus procesos, sus funciones, sus proyectos, sus
productos, sus servicios. Esta norma proporciona un enfoque común y apoya normas que tratan
riesgos, pero no las sustituye.
La norma establece unos principios que deberían cumplir las organizaciones para que su gestión
de riesgos sea eficaz y pretende ayudar a la organización a integrar la gestión del riesgo en su
sistema de gestión global.
Una adecuada gestión de riesgos permite a una organización establecer una base fiable para la
toma de decisiones y la planificación y asignar y utilizar de manera eficaz los recursos para el
tratamiento de los riesgos.

www.formatoedu.com 25
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

9 ANEXOS

ANEXO 1
TABLA DE IDENTIFICACIÓN DE RIESGOS
ANEXO 2
I. Formato de registro de identificación y valoración de riesgos
II. Formato de registro de actuaciones previstas
ANEXO 3
CRITERIOS DE VALORACIÓN (probabilidad de ocurrencia y severidad)
ANEXO 4
FORMATO DE IDENTIFICACIÓN DE RIESGOS

www.formatoedu.com 26
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

ANEXO 1: TABLA DE IDENTIFICACIÓN DE RIESGOS

ÁREAS DE Riesgo Riesgo

Posibles orígenes del riesgo Comentarios
RIESGO inicial Rev
Baj Me Al Baj Me Alt
o dio to o dio o
 Procesos de absorción, compra,
reestructuración
 Intereses políticos/ multinacionales
Externos
 Dependencia de acuerdos comerciales/
gubernativos, licencias...
General

 Otras
 Certificación de alcance limitado
SGC  Sin certificar por 3ª o 2ª parte
 Otras
 Limitados en capacidad física (número)
Recursos  Limitados en capacidad técnica
 Otras
 Criterios no definidos para cambios de fase
 Horizonte de planificación lejano
Planificación  Supuestos de planificación no identificados
 Concurrencias/ Solapes/ Holguras...
 Otras
 Organización no definida; reciente; cambiante
Gestión

 Responsabilidades no claras
Información  Responsabilidades muy fragmentadas
 Muchas organizaciones involucradas
 Otras
 Cambiante, en definición
 Contradictoria
Normativa y
 Multinacional, Multidisciplinar
legislació
 Necesidad de certificaciones externas
 Otras

www.formatoedu.com 27
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

ÁREAS DE Riesgo Riesgo

Posibles orígenes del riesgo Comentarios
RIESGO inicial Rev
Baj Me Al Baj Me Alt
o dio to o dio o
 Clasificación de la información
Documentació
 Soporte, formato, idioma específicos
n
 Otras
 Sin referencias anteriores
 Extrapolación de datos
 Base tecnológica reciente
 Indefinición de las especificaciones
Diseño
 Apoyo logístico integrado
 Reutilización/ Rediseño
 Portabilidad del SW
 Otras
 Técnicas poco conocidas
Simulación y  Entornos no equivalentes 100%
pruebas  Instalaciones, equipos o útiles especiales
Realización

 Otras
 Sin identificar o sin experiencia compatible
 Recientes, sin SGC
Proveedores/
 Alto nivel de subcontratación
Subcontratista
 Extranjeros
s
 Fuentes únicas o muy disgregadas
 Otras
 Especificaciones sin determinar
 No estandarizados
 De diseño/ rediseño específico
Materiales/  Largo plazo de fabricación
Componentes  Escasez, obsolescencia
 Intercambiabilidad
 Materiales tóxicos, peligrosos o caducables
 Otras

www.formatoedu.com 28
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

ÁREAS DE Riesgo Riesgo

Posibles orígenes del riesgo Comentarios
RIESGO inicial Rev
Baj Me Al Baj Me Alt
o dio to o dio o
 No identificados, recientes, sin homologar
 Procesos especiales, no retrabajables, no
verificables, críticos
Procesos de  Procesos poco utilizados/ discontinuados
fabricación/  Infraestructura/Equipos complejos
 Equipos únicos, muy diversificados o muy
utilizados
 Otras
 Interfaces no definidos o no estandarizados
 Elementos de diferentes proveedores
 Elementos de diferentes “generaciones”
Integración  Elementos complejos/ ”High Tech”
 Equipo propiedad Cliente
 Muchos niveles de integración
 Otras
 Criterios de aceptación no definidos
 Características críticas
Validación,
 Control/ calibración de equipos
verificación y
 Pruebas/ equipos especiales
pruebas
 Necesidad de certificaciones externas
 Otras

www.formatoedu.com 29
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

ÁREAS DE Riesgo Riesgo

Posibles orígenes del riesgo Comentarios
RIESGO inicial Rev
Baj Me Al Baj Me Alt
o dio to o dio o
 Condiciones especiales de manejo,
almacenaje y transporte
 Accesibilidad
 Informes, permisos, licencias
Distribución  Multiplicidad de lugares de origen o recepción
 Multiplicidad de referencias
 Manuales y documentación (soportes,
Entrega

formatos, idioma...)
 Otras
 Condiciones especiales de seguridad y/ o
ambientales
 Plan de transición no establecido
Servicio  Garantías no establecidas/ claras
 Necesidad de apoyo técnico específico
 Formación de usuarios
 Otras

www.formatoedu.com 30
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

ANEXO 2
I. Formato de registro de identificación y valoración de riesgos

Empresa Contrato Comprador

Descripción
PARTE I: IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS Revisión Responsable Fecha
Razón de la revisión:
Nº Área de Elemento Descripción Pr Se IC Referencia
Riesgo análisis
P T C

Pr: probabilidad de ocurrencia

Se: severidad /impacto del efecto (P: prestaciones; T: plazos; C: coste). Se efectúa la valoración con el mayor de los tres elementos.
IC: Indice de criticidad
Elemento: proceso, procedimiento, actividad, hito, etc., al que se asocia el riesgo.

www.formatoedu.com 31
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

ANEXO 2
II. Formato de registro de actuaciones previstas

Empresa Contrato Comprador

Descripción
PARTE II: ACTUACIÓN Revisión Responsable Fecha
Razón de la
revisión:
Nº IC Elemento IC Acción Resp Fecha Estado Referencias
Riesgo deseabl
e

www.formatoedu.com 32
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

ANEXO 3
CRITERIOS DE VALORACIÓN
TABLA 3.1 Ejemplos de criterios para la valoración de la probabilidad de ocurrencia

Probabilidad de ocurrencia
Alta (9) Media (4) Baja (1)
Capacidad Capacidad Evaluada Capacidad
declarada demostrada
Disponibilidad corto
Elemento Disponibilidad futura plazo Disponibilidad
valorado inmediata
Falta validación a Demostrada a nivel de Demostrada en modo
Tecnología nivel experimental laboratorio o operativo
prototipaje

Conocimiento Capacidad de Capacidad de Capacidad de

/ replicación y innovación o desarrollo (nuevas
Competencia pequeñas modificación (nuevos funciones)
adaptaciones sobre modos)
“Saber hacer” lo establecido

Específico para el Se recogen datos de la Existen datos

contrato ejecución y se actúa si históricos
Definido/documenta salen mal Los resultados están
do pero con (reprocesado)
Procesos bajo control y se actúa
implantación Posibilidad de reacción proactivamente
limitada
Posibilidad de
Resultados poco prevención
predecibles
Personal con la Experiencia indirecta/ Experiencia directa
formación teórica formación específica /habilidad específica
adecuada sin ejercitar ejercitada previamente
O Alguna falta de No se requiere
personal personal extra
Bastante falta de
RRHH
personal
O
Conocimiento
basado en
“personas clave”
Se necesitan Recursos homologado Se ha usado
modificaciones para el proceso/se han previamente con
Recursos
importantes, o realizado pruebas de resultados adecuados
materiales
nueva maquinaria ingeniería
(Maquinaria/h Recursos disponibles
para lograr las
erramientas) O
características
técnicas Modificaciones

33
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

especificadas menores
Se necesitan Acondicionamiento Instalaciones
modificaciones menor disponibles
Instalaciones importantes o
nuevas
instalaciones

34
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

TABLA 3.2 Ejemplos de criterios para la valoración de la severidad

Severidad
Prestaciones Plazo Coste
Alta (9) Prestación crítica, de Efecto en el camino crítico X>20% del
seguridad personal o del proyecto o en hitos coste
ambiental, imposible de significativos o previsto
alcanzar X:
desviación
Media (4) Reducción importante de Posible desplazamiento de 5%<X<20%
márgenes de actuación. algún hito, recuperable del coste
Funcionamiento degradado mediante la reasignación previsto
pero seguro de recursos.
Baja (1) Reducción leve de alguna Retraso leve compatible X<5% del
prestación no crítica con los plazos establecidos coste
previsto

35
 Programa Gadex: Gestión de Riesgos y Planes de Calidad

ANEXO 4
FORMATO IDENTIFICACIÓN RIESGOS
PROYECTO:

PAQUETE DE
TRABAJO:
DETERMINACIÓN FECHA
DEL RIESGO:
TITULO
NÚMERO
(DESCRIPCIÓN)

CAUSAS:

IMPACTO PROBABILIDAD INDICE DEL

VALORACIÓN RIESGO

ESTADO ACTUAL DECRECIENTE ESTABLE CRECIENTE

DEL RIESGO
COMENTARIOS

PLAN DE ACCIÓN FECHA Y RESPONSABLE

ACCIÓN

ACCIÓN FECHA Y RESPONSABLE

REVISIÓN DEL FECHA:

RIESGO
SIN OCURRIDO Y OCURRIDO Y
OCURRENCIA CONTROLADO NO
CONTROLADO
GESTOR DEL
RIESGO

36