1. la gestiÓn de riesgos - formatoedu.com · Índice de criticidad (ic): ... definir al principio...

www.formatoedu.com 1

Programa Gadex: Gestión de Riesgos

1. LA GESTIÓN DE RIESGOS

http://www.formatoedu.com/



Contenido

1 INTRODUCCIÓN .................................................................................................... 3

2 DEFINICIONES ...................................................................................................... 4

3 LA GESTIÓN DE RIESGOS ................................................................................ 7

4 IDENTIFICACIÓN DE RIESGOS ........................................................................ 9

4.1 GENERALIDADES ......................................................................................... 9

4.2 AREAS DE ANÁLISIS Y FUENTES DE RIESGOS ................................. 9

4.3 IDENTIFICACIÓN Y REGISTRO DE RIESGOS ..................................... 13

5 EVALUACIÓN/VALORACIÓN DE LOS RIESGOS ....................................... 15

5.1 ¿CÓMO MEDIMOS EL RIESGO? ............................................................. 15

5.2 MÉTODOS DE EVALUACIÓN Y VALORACIÓN. .................................. 15

5.3 MATRIZ DEL ÍNDICE DE RIESGO ........................................................... 16

5.3.1 PROBABILIDAD DEL RIESGO .......................................................... 16

5.3.2 IMPACTO DEL RIESGO ...................................................................... 17

5.3.3 ÍNDICE DEL RIESGO ........................................................................... 19

6 PLANES DE ACCIÓN ......................................................................................... 21

7 SEGUIMIENTO Y CONTROL. ........................................................................... 23

8 CONCLUSIONES................................................................................................. 24

9 ANEXOS ................................................................................................................ 26




1 INTRODUCCIÓN

La aproximación a la gestión de riesgos se produce en los emporios comerciales y navegantes de Italia a fines del siglo XVI. Son estos mercaderes o comerciantes quienes crean el concepto moderno del riesgo.

Con el desarrollo del capitalismo industrial, a partir del siglo XIX, aparecen mayores riesgos como consecuencia de los inventos y su puesta en práctica: ferrocarriles, actividades fabriles, trabajos públicos, automovilismo, etc., que revolucionan la vida cotidiana.

A partir de los años sesenta se pone de manifiesto la gran vulnerabilidad de las empresas debido a la gran concentración de valores y la especialización de sus unidades de fabricación. La aparición de un riesgo produce grandes pérdidas humanas y materiales y una serie de gastos financieros e indirectos: reducción de ventas, de imagen de la empresa, paro obrero, etc. Ante el aumento de accidentes de trabajo y la consiguiente presión de los sindicatos obreros, surge la necesidad de implantar medidas de prevención.

Ya en la época actual, el hecho de querer modernizarse, usar nuevas tecnologías, disponer de sistemas que sean capaces de cumplir con los requerimientos operativos actuales, significa asumir riesgos. El riesgo es inherente a toda actividad empresarial.

Las empresas que no invierten en nuevos productos, que no innovan e investigan, no asumen riesgos, pero probablemente sean las que se queden obsoletas y tengan menos futuro. El riesgo hay que asumirlo, lo malo es no conocer el riesgo que se asume y no tenerlo controlado.

Las incertidumbres y riesgos, vienen principalmente derivados de la complejidad e inestabilidad de los requerimientos a contratar o contratados, de las inversiones a realizar, de la complejidad y grado de integración requeridos, de la falta de experiencia y del hecho de tener que usar nuevas tecnologías o tecnologías todavía en estado inmaduro.

El objetivo debe ser reducir los riesgos hasta unos niveles aceptables, acotando la incertidumbre de los posibles resultados a obtener. Para ello, se aplica la Gestión de Riesgos.




2 DEFINICIONES

Análisis Causa-Efecto: Técnica basada en diagramas “Ishikawa” (raspa de pescado o “fishbone”) que permite crear una estructura para ayudar a identificar las causas raíces de un riesgo así como a definirlo.

Análisis de riesgos: Proceso por el que se consiguen conocer las áreas críticas en un proyecto identificando y valorando sus riesgos. Según la ISO 31000:2009: proceso que permite comprender la naturaleza del riesgo y determinar el nivel del riesgo.

Brainstorming: Técnica de grupo para generar ideas. Un grupo de personas se reúnen con el fin de expresar ideas sobre un problema.

Las ideas son capturadas por el responsable de la reunión sin hacer ninguna evaluación.

Característica clave: Atributo o propiedad cuya variación tiene un efecto significativo en el ajuste, forma, función, prestaciones, servicio o fabricación del producto, y que requiere acciones específicas para controlar su variación.

Causa del riesgo: La razón potencial (o razones) por la que puede ocurrir un riesgo.

Contingencia: Acciones que se ejecutan después de que un riesgo haya ocurrido para minimizar su efecto en los objetivos del proyecto. Las acciones deben planificarse antes de que el riesgo ocurra.

Determinación del riesgo: Expresión de lo que podría ir mal. Puede estar asociado a cualquier producto, proceso o estado del ciclo de vida.

Elementos críticos: Aquellos elementos que tienen un efecto significativo en la realización y la utilización del producto, incluyendo la seguridad, prestaciones, forma, ajuste, función, fabricación del producto, servicio, etc. Requieren acciones específicas para asegurar su adecuado control. Entre los ejemplos de elementos críticos se incluyen, p. ej., software, procesos clave, elementos críticos de seguridad, elementos críticos de rotura, elementos críticos de misión, características clave, etc.

Estado del riesgo: El valor del índice de riesgo en un momento dado. Puede ser superior, igual o inferior al valor del estado anterior.

Gestión de riesgos (GR): Proceso establecido para la evaluación (identificación, análisis, y cuantificación) de los posibles riesgos que pueden afectar a un contrato y la selección e implantación de medidas adecuadas para su prevención, mitigación y control, para reducir sus posibles perjuicios. Según la ISO 31000:2009: actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo.

Gestor del Riesgo: La persona que se nombra responsable para desarrollar y gestionar los planes de acciones que reduzcan el nivel de criticidad de cada riesgo.

Identificación de Riesgos: Proceso de examinar las fuentes de riesgo en un programa, identificando los riesgos más relevantes para su valoración. Según la ISO 31000:2009: proceso que comprende la búsqueda, el reconocimiento y la descripción de los riesgos.

Impacto: Efectos estimados que pueden ocurrir si un riesgo se materializa, calculados sobre la base de efectos en el coste, efectos en plazo de ejecución y efectos en las características del producto contratado.

Incertidumbre: Algo que puede ir mal, pero que no se conoce con suficiente detalle ni el impacto que puede tener en los objetivos del programa ni la probabilidad de que ocurra.




Indice Actual de Criticidad (IAC): Último índice de Criticidad asignado a un riesgo tras la última valoración realizada.

Índice de Criticidad (IC): Resultado numérico que se obtiene en la valoración de un riesgo, tras aplicar la métrica de valoración definida. Es la medida de la incapacidad para conseguir los objetivos del contrato dentro del ámbito técnico (prestaciones), de coste o de plazos, a consecuencia de la materialización de un riesgo.

Indice Inicial de Criticidad (IIC): Indice de Criticidad asignado en la Primera Valoración del Riesgo. Se debe asignar pensando que no se ha tomado ninguna acción para mitigar el riesgo.

Indice Objetivo de Criticidad (IOC): Objetivo del índice de criticidad a alcanzar tras la puesta en marcha de los planes de mitigación, bien como consecuencia de disminuir la probabilidad de que el riesgo ocurra, bien como consecuencia de disminuir el posible impacto en los objetivos comprometidos.

Marco de trabajo de la gestión del riesgo (ISO 31000:2009): conjunto de elementos que proporcionan los fundamentos y las disposiciones de la organización para el diseño, la implantación, el seguimiento, la revisión y la mejora continua de la gestión del riesgo en toda la organización.

Métrica de Valoración: Parámetros que se utilizan para valorar un riesgo y asignarle un índice de criticidad. Normalmente es una combinación, entre la valoración del impacto (medida en términos de coste, plan, producto) y probabilidad de que el riesgo se materialice.

Normalmente se utilizan parámetros para medir impactos en Coste/Presupuesto, plazo de ejecución y calidad/características del producto, de forma independiente. Estos índices se deben definir al principio de cada proyecto como parte del procedimiento de gestión de riesgos a usar.

Mitigación: Acciones que se pueden tomar para evitar que un riesgo ocurra o bien para reducir la probabilidad de que se materialice.

Probabilidad del riesgo: Grado de confianza en que el riesgo ocurra.

Plan de Contingencia: El plan que debería ejecutarse en el caso de que un riesgo se materialice.

Plan para la Gestión de Riesgos: Plan dentro de un Proyecto que describe cómo los riesgos de ese Proyecto se gestionarán. El Plan debe incluir responsabilidades en la Gestión de Riesgos, procedimiento a utilizar y documentación.

Política de gestión del riesgo (ISO 31000:2009): declaración de las intenciones y orientaciones generales de una organización en relación con la gestión del riesgo.

Probabilidad: Medida, en porcentaje, de la posibilidad de que un riesgo ocurra. La probabilidad puede variar entre o% para un riesgo que no ocurra a un 100% para riesgos que se materializarán con seguridad (problemas). Dada la dificultad en cuantificar un porcentaje de probabilidad, a menudo se clasifica la probabilidad en términos de MUY ALTA, ALTA, MEDIA ó BAJA.

Proceso de gestión del riesgo (ISO 31000:2009): aplicación sistemática de políticas, procedimientos y prácticas de gestión a las actividades de comunicación, consulta, establecimiento del contexto e identificación, análisis, evaluación, tratamiento, seguimiento y revisión del riesgo.




Responsable para la Gestión de Riesgos: Persona que se asigna al Programa y que es la responsable de editar el procedimiento de Gestión de Riesgos a emplear en el proyecto y de vigilar su cumplimiento.

Asimismo realiza funciones de acordar la valoración con los gestores de cada riesgo así como de reportar sobre los riesgos identificados y su tendencia.

Riesgo: Es la potencial materialización de sucesos adversos que pueden perjudicar el logro de los objetivos comprometidos en un proyecto. También se define referido a un posible suceso futuro del que se conocen su probabilidad de que ocurra y su posible efecto adverso en los objetivos del programa.

NOTA – El concepto de riesgo comporta siempre dos elementos: la frecuencia o probabilidad, de que ocurra un suceso peligroso y sus consecuencias.

R.A.E.: 1M. Contingencia o proximidad de un daño.

UNE-200.001 (1999) Guía de confiabilidad: Combinación de la frecuencia, o probabilidad de ocurrencia, y las consecuencias de un suceso peligroso (suceso que pueden causar perjuicios) especificado

International Organization for Standarization" (ISO): "Combinación de la Probabilidad de un Evento y su Consecuencia". ISO aclara que el término riesgo es generalmente usado siempre y cuando exista la posibilidad de pérdidas (resultado negativo)".

ISO 31000:2009: Efecto de la incertidumbre sobre la consecución de los objetivos.

Registros de riesgos: Información relativa a los riesgos del producto, procesos, SGC o suministrador.

Requisitos especiales: Aquellos requisitos de muy difícil consecución y que, por tanto, es necesario incluir en el proceso de gestión de riesgos. Entre los factores usados en la determinación de los requisitos especiales se incluyen la complejidad de producto o proceso, la experiencia previa y la madurez del producto o proceso. Ejemplos de requisitos especiales son: requisitos de funcionamiento impuestos por el cliente que están al límite del estado de la técnica, o requisitos determinados por la organización que están en el límite de sus capacidades técnicas o de proceso.

Valoración de Riesgos: Proceso de evaluación de la criticidad de un riesgo mediante la determinación de la probabilidad estimada de que ocurra y su impacto en los objetivos comprometidos del proyecto.




3 LA GESTIÓN DE RIESGOS

La gestión de riesgos consiste en identificar y valorar los riesgos, así como aprobar y ejecutar las acciones o planes más adecuados para eliminar o disminuir dichos riesgos hasta unos niveles aceptables.

Es un proceso estructurado, cíclico e iterativo, en el que se hace intervenir a todas las personas que formen parte del proyecto. Debería iniciarse antes de la firma del contrato y debería mantenerse hasta la entrega de los productos y/o servicios contratados con el fin de controlar el nivel de riesgo durante todo el ciclo de vida del proyecto, así como identificar nuevos riesgos que puedan ir apareciendo durante la ejecución del mismo.

La gestión de riesgos consta, habitualmente, de las siguientes etapas:

Planificación del modo de actuación general, procesos, criterios, responsabilidades, etc.;

Identificación los riesgos (amenazas, problemas, incertidumbres...) que pueden afectar al proyecto/ contrato estudiado;

Evaluación y valoración de los riesgos en función de su efecto posible y su probabilidad de ocurrencia;

Identificación las actividades necesarias para la mitigación o el control de cada riesgo identificado (Planes de acción):

Seguimiento de las actividades y verificación de su eficacia;

Reevaluación de la situación y re-alimentación del proceso.

En las primeras fases del proyecto, a pesar de que la información disponible es muy escasa, es cuando se debe poner más énfasis a la hora de identificar y valorar los posibles riesgos del proyecto.

La gestión de riesgos en los comienzos de todo proyecto se basará en identificar áreas de alto riesgo con relación a los requerimientos dados, así como riesgos relativos a la dificultad de obtener la información que se necesita para elaborar los planes, presupuestos y estructura de trabajos necesaria para la buena marcha del programa. Uno de los objetivos primordiales será la de conseguir el conocimiento a fondo de los requerimientos del cliente.

La Gestión de Riesgos, debería concretarse en un Plan de Gestión de Riesgos que contendrá como mínimo:

Procedimiento a utilizar para la Gestión de los riesgos en el proyecto.

IDENTIFICACIÓN RIESGOS

EVALUACIÓN RIESGOS

PLANES DE ACCIÓN

SEGUIMIENTO Y CONTROL

REEVALUACIÓN Y REALIMENTACIÓN

PLANIFICACIÓN DEL PROCESO




Registro/Base de datos de Riesgos.

El Procedimiento debería ser particularizado y aprobado por la Dirección del Proyecto, con el fin de proveer a las distintas áreas que intervengan con un marco y unas referencias comunes para la Gestión de Riesgos.

En el procedimiento se deberían establecer:

Política de Gestión de Riesgos (objetivos, factores que contribuyen al éxito, sistemas de comunicación, métrica a utilizar para la valoración, etc.).

Organización para la Gestión de Riesgos (centralizada ó descentralizada, asignación de responsabilidades, Gestor de riesgos, Comité de Gestión de Riesgos, responsables de mitigación, etc.).

El modo en que se realizarán y controlarán las actividades. Su salida (resultado de la realización de las actividades) serán los riesgos identificados, las actuaciones específicas y su correspondiente seguimiento y actualización.

Puesto que la Gestión de Riesgos es parte integrante de la planificación de un proyecto, las actividades derivadas deberán establecerse en referencia a los diferentes planes de gestión desarrollados para la realización y control del mismo, de modo que toda la planificación sea consistente.

Por último, hay que indicar que la Gestión de Riesgos es un proceso que se realiza de modo escalonado y permite establecer la relación entre una organización y su suministrador, y entre éste y sus sub-suministradores.

En cada nivel de la cadena de suministro se identifican determinados riesgos, que se amplían y definen en el siguiente. El análisis de riesgos que se realice en cada nivel servirá de referencia para el nivel posterior y generará información para la "realimentación" del anterior.




4 IDENTIFICACIÓN DE RIESGOS

4.1 GENERALIDADES

La identificación de riesgos es una de las partes más importantes dentro de la Gestión de Riesgos. Si un riesgo no es identificado, no puede ser gestionado de manera consciente.

La identificación de riesgos en un proyecto debe realizarse lo antes posible, de forma que se consiga disminuir la incertidumbre en los resultados del proyecto hasta unos niveles tolerables así como contribuir a unos planes de ejecución más fiables. Y debe continuar durante toda la vida del proyecto, con el fin de identificar nuevos riesgos que puedan ir apareciendo, así como desglosar los riesgos inicialmente identificados a niveles más detallados.

Como medidas para facilitar la identificación de riesgos (en programas de nuevo desarrollo ó programas de larga duración) se citan:

Desglosar el proyecto en paquetes de trabajo (estructura de árbol)

Describir las actividades a realizar en cada paquete de trabajo

Presupuestar cada paquete de trabajo

Establecer un Plan Maestro donde se identifiquen los hitos y actividades más importantes del proyecto

Realizar una planificación detallada y analizar el camino crítico

Definir la organización para la gestión del proyecto

Realizar un plan de gestión de riesgos

Prever presupuesto para utilizarlo en la mitigación de riesgos

4.2 AREAS DE ANÁLISIS Y FUENTES DE RIESGOS

Con objeto de guiar y sistematizar el proceso de análisis de riesgos, se han identificado una serie de áreas en las que, por experiencia, se identifican los problemas más habituales y que están relacionadas con los sistemas, procesos y recursos que se ponen en marcha durante la realización de los proyectos. Estas áreas son de aplicación general y no tratan aspectos específicos de los proyectos, que deberán ser identificados en cada caso particular.

En cada área de análisis se revisarán los sistemas, procesos o productos involucrados desde la doble vertiente de su falta de madurez o definición y de su complejidad, con objeto de identificar los riesgos específicos.

En la tabla 1 se muestra un ejemplo de las áreas de análisis y posibles orígenes del riesgo.




TABLA 1: ÁREAS DE ANÁLISIS

ÁREAS DE RIESGO POSIBLES ORÍGENES DEL

RIESGO

General

Externos

Sistema Gestión Calidad

Recursos

Gestión del contrato

Planificación

Información

Normativa y legislación

Documentación

Realización del producto/prestación del

servicio

Diseño

Simulación y pruebas

Proveedores/ Subcontratistas

Materiales/ Componentes

Procesos de fabricación

Integración

Validación, verificación y pruebas

Entrega Distribución

Servicio

La figura 1 ilustra algunas de las posibles fuentes de información sobre riesgos y puede usarse a modo de recordatorio como ayuda durante la identificación de los riesgos. La información sugerida debería estar disponible de modo habitual y no se debería necesitar un análisis exhaustivo para recopilarla o analizarla. El listado no debe considerarse cerrado.




Figura 1 Fuentes de información sobre los riesgos

Información del cliente: Información recibida de los compradores o usuarios de productos realizados previamente por el suministrador; p. ej., reclamaciones de cliente.

Comportamiento previo del suministrador: Sistemas o procesos que, con base en el comportamiento del suministrador en contratos anteriores, es posible que tengan un efecto adverso en el producto o en los requisitos de prestaciones, coste o plazos del contrato.

Información previa sobre riesgos: Información o recomendaciones recibidas durante actuaciones precedentes, o en la de referencia.

Evaluación pre-adjudicación: Información (o falta de ella) identificada durante evaluaciones previas a la contratación o durante auditorías de calidad.

Certificación del sistema o de proceso: Información asociada a auditorías de calidad por segunda o tercera parte, certificaciones de procesos o productos, laboratorios de análisis, etc.

Oficina de proyecto: Si la gestión del contrato la lleva una oficina de proyecto, se puede obtener información del gestor de riesgos del proyecto.

Características críticas del producto o procesos críticos: Elementos o propiedades de los procesos o los productos que, si no se controlan adecuadamente, pueden tener un efecto adverso sobre las prestaciones, plazos de entrega o costes del producto.

Inexperiencia del suministrador: Sistemas o procesos que, debido a la inexperiencia del suministrador, pueden tener un efecto adverso en las prestaciones, plazos o costes del contrato.

Revisión del contrato: La revisión del contrato puede identificar riesgos adicionales que podrían tener una incidencia adversa en el producto o en los requisitos de prestaciones, plazos o coste del contrato. Incluye la revisión de los documentos asociados al contrato.

Otro ejemplo de posibles fuentes de riesgo se muestra en la siguiente tabla:

Fuentes de información

sobre los riesgos

Revisión del contrato

Información del cliente

Comportamiento anterior del

suministrador

Información previa sobre

riesgos

Evaluación pre-

adjudicación

Certificación de sistema o

proceso

Oficinas de programa

Características críticas de producto o

proceso

Inexperiencia del suministrador




FUENTE ORIGEN DEL RIESGO

Tecnología - Desarrollo de nuevos productos

- Uso de nuevas tecnologías

- Obsolescencia

Integración del sistema

- Incompatibilidad entre el sistema y sus componentes

- Mal control de la configuración

- Falta de integridad del sistema

- Dificultades para identificar y valorar impactos

Ejecución del proyecto

- Relación entre las distintas actividades del proyecto

- Implementación de cambios en el diseño

Cadena de suministros

- Requerimientos de material de clientes y suministradores

- Obligaciones comerciales, leyes, impuestos, regulaciones del comercios interior y exterior, acuerdos comerciales

- Cambios en la política del cliente o los suministradores

Documentación - Documentación incompleta o con errores

- Inconsistencia entre la documentación del proyecto y la documentación contractual

Integración del equipo

- Integración de los recursos del proyecto

- Comunicación, proceso de toma de decisiones, procesos de motivación

- Procesos de integración del equipo de proyecto con la organización

Disponibilidad de recursos

- Disponibilidad de recursos en fecha

- Rotaciones

- Expertos considerados críticos

Estimaciones - Estimaciones incorrectas en presupuestos y plazos de ejecución

- Falta de experiencia en proyectos similares

Requerimientos - Requerimientos no consolidados

- Cambios de tendencia en los mercados

- Cambios en los requerimientos

Algunas técnicas que se pueden utilizar para la identificación de riesgos se muestran a continuación:




ENFOQUE HERRAMIENTAS Y TÉCNICAS

Encuestas Cuestionarios

Listas de chequeo

Entrevistas

Análisis del sistema Realización de modelos del sistema

Análisis de causa / efectos

Análisis de fallos en estructura de árbol

Experimentación Realización de prototipos

Simulaciones

Demostraciones

Investigación

Intuitivo Tormenta de ideas

Escenario de desarrollo

Grupos de trabajo

Sistemático Revisiones técnicas, de contrato y de documentaciones

Análisis del camino crítico, y seguimiento y control de la eficacia en la ejecución del proyecto.

4.3 IDENTIFICACIÓN Y REGISTRO DE RIESGOS

Para cada riesgo identificado se debe proporcionar como mínimo la siguiente información:

a) Identificación del riesgo (título, número) b) Determinación/descripción del riesgo c) Causa o fuente del riesgo d) Impacto del riesgo e) Probabilidad del riesgo f) Índice del riesgo g) Responsable propuesto para la Gestión del Riesgo

b) Determinación/ descripción del riesgo

La determinación del riesgo, describiendo “qué podría ir mal”, debería expresarse como un suceso que tendría un efecto adverso en las prestaciones, el coste o los plazos de entrega del producto si llegara a materializarse.

La determinación del riesgo puede ser genérica, especialmente para nuevos programas o suministradores. A medida que se realiza el proyecto, la información sobre los riesgos debería madurar, aumentando así el conocimiento de los mismos. En este caso, se deberían reevaluar los riesgos.

c) Causas de los riesgos

Es necesaria la identificación de las causas de los riesgos: “¿Por qué podría ir mal?”. Las causas de los riesgos pueden expresarse haciendo referencia a los procesos que, por no funcionar eficazmente, pueden derivar en efectos adversos para las prestaciones, los costes o los plazos de entrega del producto.




Debería proporcionarse, directamente o mediante referencias, cualquier información pertinente de ocurrencias previas. Puesto que puede haber numerosos procesos y sub-procesos que contribuyan a un eficaz control del producto, su coste, entrega y prestaciones, puede también haber varias causas de un riesgo.

Las posibles causas de un riesgo pueden normalmente ser identificadas por la regla de las 4 M’s:

Method (Procesos obsoletos o inadecuados)

Material (Equipos y materiales)

Money (falta de presupuesto, presupuesto inicial insuficiente, etc.)

Manpower (falta de personal especializado, falta de recursos humanos)

Los efectos que dichas causas pueden provocar (los riesgos), deberían identificarse de acuerdo con los requerimientos de los diferentes contratos y paquetes de trabajo:

Posibles párrafos de la especificación ó del contrato que se puedan incumplir (con referencia a dichos párrafos);

Actividades o Hitos de las distintas planificaciones que puedan no ser alcanzados (con referencia a esas actividades o hitos);

Posible impacto negativo en los presupuestos asignados al proyecto o a cada paquete de trabajo.

Sin haber realizado una buena descripción del riesgo (Causa/Efecto) será muy difícil realizar una correcta valoración del mismo, así como conseguir una buena mitigación.

Una vez identificados los riesgos, se deben generar y mantener registros de la información sobre los riesgos a lo largo de toda la vida del proyecto. Se pueden establecer formatos con todos los campos necesarios para el eficaz registro y comunicación de los resultados de la evaluación inicial de los riesgos y sus sucesivas revisiones. Estos formatos además se pueden usar para comunicar la información actualizada sobre los riesgos entre los participantes en el proyecto.

Un ejemplo de formato para la Identificación de riesgos puede ser el que se facilita en el ANEXO 4.

En el ANEXO 1 TABLA DE IDENTIFICACIÓN DE RIESGOS se puede ver la aplicación del establecimiento de las áreas de riesgos y la identificación de riesgos.

En el ANEXO 2 PARTE I, se puede ver otra forma de identificar los riesgos.

El formato del ANEXO 1 implica una valoración del riesgo cualitativa (bajo/medio/alto). Este formato, permite ver la evolución entre dos valoraciones del riesgo (Riesgo inicial y Riesgo revisado), documentando en comentarios las posibles causas de la variación. En este formato es igualmente fácil detectar el riesgo atendiendo a su posible origen.

El formato del ANEXO 2 permite una valoración cuantitativa, con un índice numérico de la criticidad del riesgo. Se aplica la metodología que se explica a continuación sobre probabilidad e impacto del riesgo. En este caso, se usa la segunda parte del formato para documentar acciones a tomar para la mitigación del riesgo.

Es frecuente el uso combinado de ambos formatos.




5 EVALUACIÓN/VALORACIÓN DE LOS RIESGOS

5.1 ¿CÓMO MEDIMOS EL RIESGO?

La medida del riesgo abarca dos dimensiones básicas: la probabilidad de que se produzca la amenaza que nos acecha y la severidad con que se produzca dicha amenaza o el impacto que produciría su ocurrencia.

Algunas situaciones de riesgo son del tipo si/no: el acontecimiento incierto y amenazador se produce o no se produce. En el primer caso, el resultado es una pérdida total; si dicho acontecimiento no se verifica, no se registra ninguna pérdida. Se trata de una situación de riesgo relativamente poco corriente y la mayoría de los riesgos de este tipo poseen una estructura de pérdida que se puede expresar, teóricamente al menos, en forma de distribución de probabilidades. Esta distribución de probabilidades puede mostrar una posibilidad relativamente grande de pérdidas pequeñas, una posibilidad menor de pérdidas medianas y una posibilidad insignificante de pérdidas totales.

Podemos decir, que el grado de confianza de una medición mejora cuanto más alto es el número de datos observados, y si este número es suficiente, el único problema que resta, es anticipar el efecto de los cambios conocidos y no conocidos sobre los resultados totales. Aunque las condiciones sean de incertidumbre, si el número de datos empíricos es suficiente, se pueden planificar determinados indicadores de control con toda confianza.

5.2 MÉTODOS DE EVALUACIÓN Y VALORACIÓN.

La Evaluación/Valoración de riesgos es una de las tareas que más tiempo lleva en el proceso de Gestión de riesgos y es fundamental. Debe permitir, a la vista de los riesgos identificados y valorados, adoptar la mejor estrategia a seguir, plantear planes de acción para los riesgos que puedan hacer fracasar los objetivos del proyecto y conseguir que la organización trabaje en conjunto para eliminar los riesgos más importantes. Solo una correcta valoración del riesgo permitirá clasificar los riesgos identificados según su importancia.

Esta fase de la Gestión de riesgos exige una cierta centralización con el fin de:

Confirmar la asignación del Gestor de cada riesgo propuesto

Clasificar los riesgos según su importancia

Preparar los informes de riesgos que deben formar parte de las reuniones de seguimiento del proyecto (Internos)

Preparar informes de situación de riesgos que deben formar parte de los informes ejecutivos periódicos (externos).

Confirmar que las distintas áreas que intervienen siguen el procedimiento acordado

Promover/diseminar la cultura de Gestión de riesgos

La tarea de Evaluación/Valoración de riesgos consiste fundamentalmente en:

Validar y corregir si fuera necesario la asignación del Gestor del Riesgo propuesto.

Validar la descripción del riesgo y modificarla si fuera necesario.

Emplear la métrica establecida para clasificar los riesgos según su importancia.

El responsable de gestionar el riesgo debe realizar una validación del riesgo identificado, comprobando que las causas del riesgo son las correctas, que están bien analizadas, y que el efecto que el riesgo puede tener si se materializa, es el descrito inicialmente. Si fuera necesario,




debería modificar la información de la descripción del mismo. Finalmente, deberá realizar una valoración del riesgo según la métrica acordada en el procedimiento.

Para evaluar y valorar los riesgos se establecen como válidos tanto el método de evaluación cualitativa como el de evaluación cuantitativa definiendo cada uno a partir de la forma como se expresa el resultado final del análisis. Evaluación cualitativa del riesgo es aquella donde la probabilidad del incidente y la magnitud de sus consecuencias se expresan en términos cualitativos como «alta», «media», «baja» o «insignificante», mientras que en la evaluación cuantitativa los resultados se expresan en cifras.

Es totalmente acertado afirmar que ningún método de evaluación del riesgo es aplicable a todas las situaciones y que, según las circunstancias, un método puede convenir más que otro.

Toda la información y documentación empleada en la valoración de cada riesgo quedará documentada en los formatos que se hayan establecido, que constituirán el Registro de Riesgos del Proyecto. Igualmente, la valoración de los riesgos debe ser introducida en dicho Registro de Riesgos del Proyecto.

5.3 MATRIZ DEL ÍNDICE DE RIESGO

La forma más usada y más sencilla para valorar y establecer un Índice de Criticidad para cada uno de los riesgos es el método de la Matriz del Índice de Riesgo (Impacto/Probabilidad).

Para cada riesgo identificado se obtendrá su Índice de Criticidad (IC), mediante la valoración de dos elementos:

Probabilidad de ocurrencia (P) y

Impacto del efecto o consecuencia (S).

Se tendrán en cuenta tres niveles, tanto de impacto como de probabilidad: Alto (9), medio (4) y bajo (1).

5.3.1 PROBABILIDAD DEL RIESGO

El riesgo es, por definición, incierto; por tanto, es necesario racionalizarlo mediante la valoración de la probabilidad de su ocurrencia. Se expresa como alta, media o baja.

La probabilidad del riesgo es una valoración de la efectividad del sistema de gestión de calidad de la organización para controlar los costes, plazos o prestaciones del producto. La causa del riesgo y su probabilidad de ocurrencia están directamente relacionadas con los procesos de la organización.

La tabla siguiente (TABLA 2) identifica atributos típicos de las probabilidades alta, media y baja. Esta tabla puede usarse como guía para ayudar a los gestores de riesgos en su valoración.




TABLA 2: ATRIBUTOS DE LA PROBABILIDAD DEL RIESGO

PROBABILIDAD DEL RIESGO

ATRIBUTO

ALTA (9) Es altamente probable que suceda.

El sistema o proceso no está controlado. Los datos disponibles ofrecen evidencia sobre la incapacidad del sistema o proceso para cumplir con los requisitos.

No hay evidencia disponible de la capacidad de la organización para la realización de la actividad requerida.

El proceso no controlado se usa muy frecuentemente, lo que conduce al incremento de la probabilidad.

El proceso se usa raramente, no es de práctica habitual, lo que se traduce en una falta de control o falta de experiencia.

El proceso es nuevo o muy difícil de controlar. No hay evidencia de resultados pasados en los que basar la confianza en el control.

MEDIA (4) Es probable que el riesgo ocurra.

El sistema o proceso no está completamente controlado, o los datos disponibles ofrecen duda sobre la capacidad del sistema o proceso para cumplir con los requisitos.

El proceso es nuevo o difícil de controlar. Hay alguna evidencia de control, pero es insuficiente para proporcionar confianza en el proceso.

BAJA (1) Es poco probable que ocurra el riesgo.

El sistema o proceso está controlado. Los datos disponibles proporcionan evidencia de que se cumplirán los requisitos.

La valoración de la probabilidad de los riesgos es altamente dependiente del conocimiento y experiencia del evaluador y de la disponibilidad de los datos. Cuando se disponga de poca o ninguna evidencia, es razonable suponer que la probabilidad de ocurrencia será alta.

La probabilidad de ocurrencia puede adaptarse en función del área de análisis, el riesgo identificado, o de los procesos y recursos de la organización relacionados con ellos.

En el ANEXO 3 se indican algunos ejemplos de criterios de referencia para la valoración de la probabilidad de ocurrencia.

5.3.2 IMPACTO DEL RIESGO

El impacto del riesgo representa cómo de crítica es la consecuencia si la condición de riesgo ocurre.




El impacto del riesgo o la severidad de su efecto dependerá del objetivo del sistema, proceso o producto objeto de análisis, y puede estar tanto en las prestaciones que tenga que ofrecer, como en los cambios en los plazos y costes asignados y su efecto potencial en otros proyectos o fases del proyecto.

En general, la valoración del impacto o la severidad debería hacerse teniendo en cuenta los efectos en prestaciones, coste o plazos.

La severidad del efecto puede estimarse en función de la posibilidad de reparación o recuperación del daño que se pueda derivar del uso en condiciones defectuosas sobre la seguridad de las personas, las instalaciones o la misión programada o en función de la existencia o no de alternativas y/o recursos para reparar o reconducir el daño dentro de las limitaciones impuestas por el contrato.

La tabla siguiente identifica atributos típicos de los impactos alto, medio y bajo para ayudar a los gestores de riesgos en la valoración:

TABLA 3: ATRIBUROS DEL IMPACTO DEL RIESGO

IMPACTO DEL RIESGO

ATRIBUTO

ALTA (9) La ocurrencia del riesgo puede ocasionar pérdida de vidas humanas o heridas graves o el fallo completo del proyecto/producto.

Daño ambiental permanente o serio; p. ej.: fuga radiactiva o contaminación química extensa.

Pérdida de recursos críticos.

El producto no servirá para el propósito definido, y éste no se puede alcanzar mediante medios alternativos (p. ej.: otro producto o sistema).

El plazo de entrega es largo, es una fuente única de suministro o la redundancia del sistema es prohibitivamente cara.

La falta de disponibilidad del equipo puede afectar a proyectos en marcha.

MEDIA (4) La ocurrencia del riesgo puede ocasionar personas heridas, o perjuicios importantes; p.ej.: retraso significativo o incremento excesivo de los costes.

Se restringe la funcionalidad del producto y se compromete al menos una característica crítica.

Características clave (no críticas) o requisitos especiales afectados.

El plazo de entrega es largo y la redundancia del sistema es cara.

La falta de disponibilidad del equipo puede afectar a futuros




proyectos o puede hacer necesaria la continuidad de los sistemas existentes.

Daño ambiental temporal o localizado.

Incremento significativo del coste del ciclo de vida.

BAJA (1) No hay requisitos críticos ni específicos afectados.

Incremento del coste, pero dentro de las restricciones presupuestarias.

Retrasos manejables, que no afectarán a las operaciones.

La apariencia del producto se verá afectada, pero no es crítica.

Efecto ambiental localizado y fácilmente recuperable.

El producto está disponible y no es excesivamente caro por lo que es fácilmente sustituible; p. ej.: consumibles y productos y servicios comerciales.

En el ANEXO 3 se identifican posibles criterios para la valoración de la severidad en función de la componente valorada.

5.3.3 ÍNDICE DEL RIESGO

El índice del riesgo es la manera cuantitativa de medir lo significativo de cada riesgo. Se calcula a partir de la valoración de la probabilidad de ocurrencia y del impacto del riesgo. Es el producto de la criticidad (S) y la probabilidad (P):

IC = P * S

La matriz del índice del riesgo, se usa para ilustrar los diferentes índices posibles.

MATRIZ DEL INDICE DE RIESGOS

INDICE DE CRITICIDAD (RIESGO)

Probabilidad de ocurrencia

Bajo (1) Medio (4) Alto (9)

Se

ve

rid

ad

de

l

efe

cto

/im

pa

cto

Pre

sta

cio

ne

s, p

lazo

o c

oste

Alto (9) 9

Medio

36

Alto

81

Alto

Medio (4) 4

Bajo

16

Medio

36

Alto

Bajo (1) 1

Bajo

4

Bajo

9

Medio

El Índice de Criticidad global del riesgo se obtendrá de la consideración del Índice de Criticidad más grave de los índices de Criticidad individualmente calculados para los paquetes de trabajo del proyecto, teniendo en cuenta los aspectos de prestaciones, coste o plazo.




La categorización de los ICs de cada riesgo, se establecerá mediante la consideración de tres niveles:

• BAJO: (IC = 1 ó 4)

• MEDIO: (IC = 9 ó 16)

• ALTO: (IC = 36 ó 81)

De acuerdo con la matriz del índice del riesgo, si el proyecto o contrato incluye algún elemento, subconjunto o equipo cuyo fallo pueda resultar catastrófico o suponer la pérdida de vidas humanas o de capacidades operacionales significativas, el índice de riesgo no puede ser menor de 9. Como ejemplos, se incluyen elementos críticos de seguridad, partes vitales y elementos de seguridad de vuelo.




6 PLANES DE ACCIÓN

En algunos casos habrá riesgos sobre los que se decida no ejecutar ningún plan de acción. Esto puede venir motivado por:

Los planes de mitigación son más costosos que el beneficio que se puede obtener evitando que el riesgo se materialice;

Se necesita focalizar esfuerzos y recursos en aquellos riesgos que son más críticos o bien en aquellos en los que el posible impacto está más cercano en el tiempo (no se pueden mitigar todos los riesgos a la vez);

Se asume el riesgo y no se ejecuta ningún plan de mitigación hasta no tener más evidencias sobre su posible resultado.

El responsable de gestión de cada riesgo, propondrá los planes que crea necesarios.

Para cada riesgo se debería elaborar un plan de acción que contendrá:

Objetivos a cumplir en fechas determinadas. Si se cumplen disminuyen el riesgo, y si no el riesgo debe ser revalorado.

Acciones concretas a realizar para conseguir los objetivos establecidos.

Fechas en las que deberían empezar a ejecutarse las distintas acciones.

Personas o funciones que deben intervenir en la consecución de dichos objetivos.

Objetivo del Indice de Criticidad (OIC) a alcanzar y en qué fecha, como consecuencia de disminuir la probabilidad de que el riesgo ocurra (planes preventivos) o como consecuencia de minimizar el impacto (planes de contingencia).

Los planes de acción pueden ser básicamente de dos tipos:

Planes de mitigación, con acciones preventivas (por cada causa identificada se podrá establecer una o varias acciones) destinados fundamentalmente a disminuir o eliminar la probabilidad de que el riesgo ocurra.

Planes con acciones de contingencia, destinados fundamentalmente a minimizar el posible impacto una vez que ocurra.

Los planes con acciones de contingencia normalmente deben ser propuestos por la posible área afectada si el riesgo se materializa. Debe identificarse cuándo es la última fecha en la que dichos planes deberían ejecutarse para que sean efectivos.

Toda la información relativa a los planes de acción debe ser introducida en el Registro de Riesgos del Proyecto.

La clasificación de los riesgos identificados permitirá determinar el tipo de actuación y seguimiento necesarios en cada caso.

Riesgo Alto: Una condición de riesgo alto no es, en general, aceptable (podría serlo en casos de investigación pura, o en fases iniciales de desarrollo tecnológico).

Se deberá presentar una propuesta documentada de acciones encaminadas a disminuir el IC y realizar el control y supervisión de las mismas.

Riesgo Medio: Se hará un control cercano y activo de todos los factores relacionados con el elemento de riesgo y se emitirá un informe periódico de seguimiento.




Riesgo Bajo: Normalmente no se requerirán acciones específicas; sin embargo deberán estar identificados y habrá que verificar ocasionalmente que los supuestos que han dado lugar a la consideración de riesgo bajo se mantienen.

En el siguiente cuadro se resume el tipo de objetivo y tareas que será esperable que haya que realizar en función de la criticidad del riesgo:

Riesgo Objetivo Tipo de tareas

ALTO Disminuir el riesgo a un nivel aceptable, estableciendo actuaciones específicas para ello, y

Actuación específica prioritaria

MEDIO Asegurarse de que los supuestos establecidos se cumplen, y

Seguimiento activo

BAJO Asegurarse de que no se incrementa el riesgo

Control

El ANEXO 2 PARTE II es un formato tipo para la documentación de las acciones identificadas para la mitigación de los riesgos identificados en la PARTE I.

Algunas de las acciones que se pueden incluir en los planes de riesgos pueden ser del tipo:

a) Evitar: debería ser la primera alternativa a considerar. Se logra cuando en los procesos se generan cambios sustanciales por mejora, rediseño o eliminación, resultado de unos adecuados controles y acciones emprendidas. Por ejemplo: en la realización de una obra, generar un plano con los sitios arqueológicos que hay en la zona, para evitar la paralización de las obras por encontrar hallazgos arqueológicos.

b) Reducir o controlar el Riesgo: Sí el riesgo no puede ser evitado porque crea grandes dificultades operacionales, el siguiente paso es reducirlo al más bajo nivel posible. La reducción del riesgo es probablemente el método más sencillo y económico para superar las debilidades antes de aplicar medidas más costosas y difíciles. Se consigue mediante la optimización de los procedimientos y la implementación de controles. Un ejemplo de reducir los riesgos es capacitar a los operarios con respecto a los nuevos procedimientos de trabajo. De esta manera, rebajaríamos el riesgo de realizar correcciones, por no cumplir los nuevos procedimientos.

c) Transferir el riesgo: se trata de compartir parte del riesgo. Ésta técnica es usada para eliminar o minimizar el riesgo de un lugar o grupo y pasarlo a otro. Por ejemplo, traspasar los riegos ocasionados en las rutas de transporte a las Empresas Aseguradoras a través de una Póliza de Seguros contratada por las Empresas transportistas.




7 SEGUIMIENTO Y CONTROL.

El Responsable asignado para gestionar cada riesgo deberá realizar el seguimiento sobre la tendencia de cada riesgo que se le haya asignado, así como el seguimiento de aquellos planes de acción que estén aprobados o que estén en ejecución.

La tendencia sobre cada riesgo, así como el progreso sobre los planes de acción propuestos ó en ejecución serán introducidos en el Registro de Riesgos del Proyecto.

El responsable de valoración de cada riesgo deberá revalorar el riesgo de acuerdo con la efectividad de los planes de acción de forma periódica asignando a cada riesgo que esté bajo su responsabilidad un Indice Actual de Criticidad (IAC), así como la fecha en que dicho riesgo ha sido revalorado.

Los resultados de la revaloración periódica de los riesgos del Proyecto (IAC) deberán actualizar el Registro de Riesgos del Proyecto.

Estas re-evaluaciones/re-valoraciones de los riesgos deben realizarse de forma periódica con el fin de conocer en cada momento el índice de criticidad de los riesgos así como de evaluar la efectividad de los planes de acción aprobados y poder reaccionar con suficiente antelación en los casos que sea necesario.

Es recomendable situar dentro de la planificación Hitos intermedios de control del Índice de Criticidad (CIC). Si se alcanzan estos hitos, disminuye el riesgo (baja la probabilidad de que el riesgo ocurra, o disminuye el impacto) y si no se alcanzan el riesgo debe ser revalorado. Estos hitos intermedios deben servir para discernir si los planes de acción que se han puesto en marcha son efectivos o no, y si no son efectivos, volver a analizar las causas y proponer nuevas alternativas con suficiente antelación.

Además del seguimiento de las acciones de mitigación de los riesgos identificados es necesario repetir de forma sistemática el proceso de evaluación (identificación, análisis, cuantificación) de riesgos, ya que a lo largo de la ejecución del contrato pueden aparecer nuevas circunstancias de riesgo. Esta reevaluación deberá hacerse si:

1. Se alcanzan hitos contractuales específicos (tomas de decisión, cambio de fase del proyecto, certificaciones específicas, etc.).

2. Se modifica el contenido del contrato.

3. Se recibe información adicional relevante del contratista de nivel anterior o los sub-contratistas (auditorías, revisiones de los planes de calidad, de gestión del contrato, reuniones de seguimiento, cierre de acciones correctivas, etc.).

4. El número de no conformidades, desviaciones, concesiones hace sospechar de algún problema recurrente o si, por el contrario, se observa un comportamiento satisfactorio.

5. El resultado de las acciones de seguimiento realizadas así lo aconseja.




8 CONCLUSIONES

Toda ejecución de un proyecto lleva asociados riesgos que pueden poner en peligro los objetivos de:

alcanzar los beneficios esperados

satisfacer las expectativas de los clientes en términos de plazos de ejecución y calidad de los productos o servicios a suministrar.

La Gestión de Riesgos es una parte de la Gestión Integral de un proyecto que consiste en aprobar y ejecutar los planes o acciones más adecuados para eliminar o disminuir los riesgos de ese proyecto hasta unos niveles tolerables.

El objetivo es controlar los riesgos desde el principio hasta la entrega, analizando anticipada y continuamente la situación de dichos riesgos y tomando las medidas oportunas para su control.

La valoración de los riesgos, inherentes a todo proyecto, debe realizarse de la manera más anticipada posible, con el fin de asegurar que los riesgos técnicos, de plazo y de costes son tenidos en cuenta y que las acciones para mitigar dichos riesgos son incorporadas a la planificación de cada proyecto.

Así se conseguirá la información suficiente para crear unos planes más creíbles y unos presupuestos de ejecución más fiables, incrementando la fiabilidad de cumplimiento de los planes de ejecución y un mayor espectro de posibles alternativas.

La clave para tener éxito en la Gestión de Riesgos es por tanto, evaluar los riesgos con suficiente antelación y ejecutar los planes de mitigación de forma adecuada.

En la Gestión de Riesgos se debe hacer partícipe a todas las áreas y funciones implicadas en su resolución consiguiendo además que las personas afectadas trabajen con el mismo objetivo común de eliminar o disminuir los riesgos.

La forma más efectiva para implantar una Gestión de Riesgos es la de conseguir que cada persona que forme parte de la ejecución del proyecto realice, como parte de su trabajo habitual, una valoración de los riesgos que asume en la consecución de sus objetivos parciales.

En definitiva, una correcta implantación de Gestión de Riesgos debe permitir:

Identificar las mejores opciones para alcanzar los objetivos del proyecto en términos de coste, plazos de ejecución y calidad del producto/servicio a contratar /suministrar.

Dar suficiente información sobre los riesgos del proyecto, de forma anticipada, para facilitar la toma de decisiones sobre los hitos principales del proyecto.

Hacer un seguimiento sobre la evolución del nivel de riesgo conforme el proyecto avanza.

En Julio de 2010, la Asociación Española de Normalización y Certificación (AENOR) ha publicado la norma UNE-ISO 31000 GESTIÓN DEL RIESGO. PRINCIPIOS Y DIRECTRICES (se facilita como lectura complementaria). Esta norma en su introducción dice: “Todas las actividades de una organización implican riesgos. Las organizaciones gestionan el riesgo identificándolo, analizándolo y evaluando después si el riesgo se debería modificar mediante un




tratamiento que satisfaga sus criterios de riesgo. A lo largo de todo este proceso, las organizaciones comunican y consultan a las partes interesadas y realizan seguimiento y revisan el riesgo y los controles que lo modifican para asegurar que no es necesario un tratamiento adicional del riesgo”. (…) El enfoque genérico que se describe en esta norma internacional proporciona los principios y directrices para gestionar cualquier forma de riesgo de una manera sistemática, transparente fiable, dentro de cualquier alcance y de cualquier contexto.

La norma no está prevista para fines de certificación ni tiene como objetivo promover la uniformidad en la gestión del riesgo en el seno de las organizaciones. Se tendrán que tener en cuenta las diversas necesidades de una organización específica, sus objetivos particulares, su contexto, su estructura, sus operaciones, sus procesos, sus funciones, sus proyectos, sus productos, sus servicios. Esta norma proporciona un enfoque común y apoya normas que tratan riesgos, pero no las sustituye.

La norma establece unos principios que deberían cumplir las organizaciones para que su gestión de riesgos sea eficaz y pretende ayudar a la organización a integrar la gestión del riesgo en su sistema de gestión global.

Una adecuada gestión de riesgos permite a una organización establecer una base fiable para la toma de decisiones y la planificación y asignar y utilizar de manera eficaz los recursos para el tratamiento de los riesgos.




9 ANEXOS

ANEXO 1

TABLA DE IDENTIFICACIÓN DE RIESGOS

ANEXO 2

I. Formato de registro de identificación y valoración de riesgos II. Formato de registro de actuaciones previstas

ANEXO 3

CRITERIOS DE VALORACIÓN (probabilidad de ocurrencia y severidad)

ANEXO 4

FORMATO DE IDENTIFICACIÓN DE RIESGOS




ANEXO 1: TABLA DE IDENTIFICACIÓN DE RIESGOS

ÁREAS DE RIESGO

Posibles orígenes del riesgo Riesgo inicial

Comentarios Riesgo

Rev

Bajo

Medio

Alto

Bajo

Medio

Alto

Ge

ne

ral

Externos

Procesos de absorción, compra, reestructuración

Intereses políticos/ multinacionales Dependencia de acuerdos comerciales/

gubernativos, licencias... Otras

SGC Certificación de alcance limitado Sin certificar por 3ª o 2ª parte Otras

Recursos Limitados en capacidad física (número) Limitados en capacidad técnica Otras

Ge

stió

n

Planificación

Criterios no definidos para cambios de fase Horizonte de planificación lejano Supuestos de planificación no identificados Concurrencias/ Solapes/ Holguras... Otras

Información

Organización no definida; reciente; cambiante Responsabilidades no claras Responsabilidades muy fragmentadas Muchas organizaciones involucradas Otras

Normativa y legislació

Cambiante, en definición Contradictoria Multinacional, Multidisciplinar Necesidad de certificaciones externas Otras




ÁREAS DE RIESGO


Comentarios Riesgo

Rev Bajo

Medio

Alto

Bajo

Medio

Alto

Documentación

Clasificación de la información Soporte, formato, idioma específicos Otras

Rea

liza

ció

n

Diseño

Sin referencias anteriores Extrapolación de datos Base tecnológica reciente Indefinición de las especificaciones Apoyo logístico integrado Reutilización/ Rediseño Portabilidad del SW Otras

Simulación y pruebas

Técnicas poco conocidas Entornos no equivalentes 100% Instalaciones, equipos o útiles especiales Otras

Proveedores/ Subcontratistas

Sin identificar o sin experiencia compatible Recientes, sin SGC Alto nivel de subcontratación Extranjeros Fuentes únicas o muy disgregadas Otras

Materiales/ Componentes

Especificaciones sin determinar No estandarizados De diseño/ rediseño específico Largo plazo de fabricación Escasez, obsolescencia Intercambiabilidad Materiales tóxicos, peligrosos o caducables Otras




ÁREAS DE RIESGO


Comentarios Riesgo

Rev Bajo

Medio

Alto

Bajo

Medio

Alto

Procesos de fabricación/

No identificados, recientes, sin homologar Procesos especiales, no retrabajables, no

verificables, críticos Procesos poco utilizados/ discontinuados Infraestructura/Equipos complejos Equipos únicos, muy diversificados o muy

utilizados Otras

Integración

Interfaces no definidos o no estandarizados Elementos de diferentes proveedores Elementos de diferentes “generaciones” Elementos complejos/ ”High Tech” Equipo propiedad Cliente Muchos niveles de integración Otras

Validación, verificación y pruebas

Criterios de aceptación no definidos Características críticas Control/ calibración de equipos Pruebas/ equipos especiales Necesidad de certificaciones externas Otras




ÁREAS DE RIESGO


Comentarios Riesgo

Rev Bajo

Medio

Alto

Bajo

Medio

Alto

En

trega

Distribución

Condiciones especiales de manejo, almacenaje y transporte

Accesibilidad Informes, permisos, licencias Multiplicidad de lugares de origen o recepción Multiplicidad de referencias Manuales y documentación (soportes,

formatos, idioma...) Otras

Servicio

Condiciones especiales de seguridad y/ o ambientales

Plan de transición no establecido Garantías no establecidas/ claras Necesidad de apoyo técnico específico Formación de usuarios Otras




ANEXO 2

I. Formato de registro de identificación y valoración de riesgos

Empresa Contrato Comprador

Descripción

PARTE I: IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS Revisión Responsable Fecha

Razón de la revisión:

Nº Riesgo

Área de análisis

Elemento Descripción Pr Se IC Referencia

P T C

Pr: probabilidad de ocurrencia

Se: severidad /impacto del efecto (P: prestaciones; T: plazos; C: coste). Se efectúa la valoración con el mayor de los tres elementos.

IC: Indice de criticidad

Elemento: proceso, procedimiento, actividad, hito, etc., al que se asocia el riesgo.




ANEXO 2

II. Formato de registro de actuaciones previstas

Empresa Contrato Comprador

Descripción

PARTE II: ACTUACIÓN Revisión Responsable Fecha

Razón de la revisión:

Nº Riesgo

IC Elemento IC deseabl

e

Acción Resp Fecha Estado Referencias


33


ANEXO 3

CRITERIOS DE VALORACIÓN

TABLA 3.1 Ejemplos de criterios para la valoración de la probabilidad de ocurrencia

Elemento

valorado

Probabilidad de ocurrencia

Alta (9) Media (4) Baja (1)

Capacidad declarada

Disponibilidad futura

Capacidad Evaluada

Disponibilidad corto plazo

Capacidad demostrada

Disponibilidad inmediata

Tecnología Falta validación a nivel experimental

Demostrada a nivel de laboratorio o prototipaje

Demostrada en modo operativo

Conocimiento/

Competencia

“Saber hacer”

Capacidad de replicación y pequeñas adaptaciones sobre lo establecido

Capacidad de innovación o modificación (nuevos modos)

Capacidad de desarrollo (nuevas funciones)

Procesos

Específico para el contrato Definido/documentado pero con implantación limitada

Resultados poco predecibles

Se recogen datos de la ejecución y se actúa si salen mal (reprocesado)

Posibilidad de reacción

Existen datos históricos

Los resultados están bajo control y se actúa proactivamente

Posibilidad de prevención

RRHH

Personal con la formación teórica adecuada

O

Bastante falta de personal

O

Conocimiento basado en “personas clave”

Experiencia indirecta/ formación específica sin ejercitar

Alguna falta de personal

Experiencia directa /habilidad específica ejercitada previamente

No se requiere personal extra

Recursos materiales

(Maquinaria/herramientas)

Se necesitan modificaciones importantes, o nueva maquinaria para lograr las características técnicas

Recursos homologado para el proceso/se han realizado pruebas de ingeniería

O

Modificaciones

Se ha usado previamente con resultados adecuados

Recursos disponibles

34


especificadas menores

Instalaciones

Se necesitan modificaciones importantes o nuevas instalaciones

Acondicionamiento menor

Instalaciones disponibles

35


TABLA 3.2 Ejemplos de criterios para la valoración de la severidad

Severidad

Prestaciones Plazo Coste

Alta (9) Prestación crítica, de seguridad personal o ambiental, imposible de alcanzar

Efecto en el camino crítico del proyecto o en hitos significativos o

X>20% del coste previsto

X: desviación

Media (4) Reducción importante de márgenes de actuación. Funcionamiento degradado pero seguro

Posible desplazamiento de algún hito, recuperable mediante la reasignación de recursos.

5%<X<20% del coste previsto

Baja (1) Reducción leve de alguna prestación no crítica

Retraso leve compatible con los plazos establecidos

X<5% del coste previsto

36


ANEXO 4

FORMATO IDENTIFICACIÓN RIESGOS

PROYECTO:

PAQUETE DE TRABAJO:

DETERMINACIÓN DEL RIESGO:

FECHA

TITULO

NÚMERO

(DESCRIPCIÓN)

CAUSAS:

VALORACIÓN

IMPACTO PROBABILIDAD INDICE DEL RIESGO

ESTADO ACTUAL DEL RIESGO

DECRECIENTE ESTABLE CRECIENTE

COMENTARIOS

PLAN DE ACCIÓN

ACCIÓN FECHA Y RESPONSABLE

ACCIÓN FECHA Y RESPONSABLE

REVISIÓN DEL RIESGO

FECHA:

SIN OCURRENCIA

OCURRIDO Y CONTROLADO

OCURRIDO Y NO CONTROLADO

GESTOR DEL RIESGO

1. la gestiÓn de riesgos - formatoedu.com · Índice de criticidad (ic): ... definir al principio...

Documents