Gestión de Riesgos

El atentado de Barcelona del pasado mes de agosto y la gestión que de él se hizo, me llevó a recordar cuán difícil es predecir o gestionar el riesgo.

A pesar de lo que ciertos medios de comunicación se empeñaron en difundir, la seguridad al 100% no existe, no se puede evitar todo… pero si que se puede prever como se gestionará una vez ocurra (si es que ocurre).

Por lo que nuestro entorno tecnológico se refiere, el riesgo se puede definir como un evento o condición incierta que, en caso de ocurrir, tiene un efecto negativo sobre los objetivos de un proyecto.

Debemos ser capaces, entonces, de gestionar esta incertidumbre y por lo tanto manejar los riesgos de forma activa y eficiente, no basta lamentarnos por las cosas que nos ocurren y aparentemente estaban fuera de nuestro control. La correcta gestión de riesgos puede hacer que nuestro proyecto esquive estos problemas o, al menos, evite que nos afecten muy negativamente.

El primer paso, y el más importante, es identificar los riegos preguntándonos: ¿Qué puede pasar que afecte de forma significativa al proyecto?

Se considera que un riesgo tiene una causa y, si ocurre o materializa el riesgo, una consecuencia o efecto. Se debe, entonces, expresar con claridad que puede pasar y en que nos afecta.

Una vez identificados los riesgos deben valorarse siguiendo dos criterios fundamentales:

• La probabilidad que el riesgo se materialice.
• El impacto que tiene este riesgo en los objetivos del proyecto.

Con esta valoración podremos calcular la exposición que tenemos a cada riesgo. Si damos un valor numérico a la probabilidad y otro valor numérico al impacto, con una sencilla multiplicación entre ambos valores podremos conocer nuestra exposición al riesgo.

Por supuesto, los riesgos que obtengan una puntuación más alta, es decir, los que tienen mayor probabilidad e impacto, serán los que tengan que ser gestionados con mayor prioridad.

Para realizar una correcta gestión de riesgos es importante definir un responsable del riesgo. Alguien que se haga responsable realmente de atajar esta situación.

Una vez identificados y valorados los riesgos y definido quien debe gestionarlos, podemos tomar medidas para reducir nuestra exposición a ese riesgo.

• Establecer un plan de mitigación del riesgo, realizando acciones para reducir la probabilidad de que un riesgo se materialice.
• Establecer un plan de contingencia, realizando acciones para prepararse ante la ocurrencia del riesgo y reducir el impacto que este riesgo tiene en el proyecto.

Estos planes pueden ser de muchos tipos, no es posible establecer guías absolutamente generales, y en gran medida será la experiencia e incluso la imaginación de los responsables, de encontrar soluciones.

Esas matrices pueden usarse también para gestionar el riesgo particular de perder a cada uno de nuestros colaboradores, convirtiéndose esta herramienta en una gran ayuda para la valoración de cada uno de los trabajadores de un proyecto.

Es importante que toda la gestión de riesgos quede registrada y por lo tanto pueda ser conocida por todos los responsables del proyecto.

Hay muchas herramientas y plantillas en internet que nos pueden ser útiles.

Os doy algunos ejemplos genéricos de fuentes de riesgo:

• Demasiados proyectos realizándose al mismo tiempo.
• Calendarios imposibles de cumplir.
• Ningún responsable del proyecto.
• Pobre control de los cambios de diseño o versiones.
• Problemas con los miembros del equipo.
• Pobre comprensión del trabajo a realizar.
• Prioridades del proyecto en conflicto.

No podremos evitar todas las bombas reales o virtuales. Pero si tenemos muy claro que pueden existir, pueden explotar y que efectos pueden provocar en caso de hacerlo, y si ante eso trazamos un plan de actuación… nuestra vida será un poco más fácil.

NOTA: Gracias a tod@s los que el 17 de agosto del 2017 tenían muy claro cómo actuar en Cambrils y en las Ramblas de Barcelona.

 Jordi Rodríguez

Team Lead| Digital Assurance & Testing | SOGETI España