GESTION DE RIESGOS

Riesgo

Es el grado de probabilidad de que el Daño se materialice o una Amenaza se cumple. La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre.

El daño potencial que puede surgir por un proceso presente o suceso futuro. Diariamente en ocasiones se lo utiliza como sinónimo de probabilidad, pero en el asesoramiento profesional de riesgo, el riesgo combina la probabilidad de que ocurra un evento negativo con cuanto daño dicho evento causaría. Es decir, en palabras claras, el riesgo es la posibilidad de que un peligro pueda llegar a materializarse.

Sin embargo los riesgos pueden reducirse o manejarse. Si somos cuidadosos en nuestra relación con el ambiente, y si estamos conscientes de nuestras debilidades y vulnerabilidades frente a las amenazas existentes, podemos tomar medidas para asegurarnos de que las amenazas no se conviertan en desastres.

También es la probabilidad de que un resultado esperado no ocurra.

Hay varios tipos de riesgos:

• Geológicos: Erupciones, Sismos, Hundimientos, Deslaves.
• Hídro-Meteorológicos: Inundaciones, Huracanes.
• Sanitario-Ecologicos: Epidemias, Contaminación.Químicos: Incendios, Explosiones, Gases.
• Socio-Organizativos: Delincuencia, Huelgas, Terrorismo.

La Gestión del Riesgo

No solo nos permite prevenir desastres. También nos ayuda a practicar lo que se conoce como desarrollo sostenible. El desarrollo es sostenible cuando la gente puede vivir bien, con salud y felicidad, sin dañar el ambiente o a otras personas a largo plazo. Por ejemplo, se puede ganar la vida por un tiempo cortando árboles y vendiendo la madera, pero si no se siembran más árboles de los que se corta, pronto ya no habrá árboles y el sustento se habrá acabado. Entonces no es sostenible.

La gestión del riesgo se define como el proceso de identificar, analizar y cuantificar las probabilidades de pérdidas y efectos secundarios que se desprenden de los desastres, así como de las acciones preventivas, correctivas y deductivas correspondientes que deben emprenderse. El riesgo es una función de dos variables: la amenaza y la vulnerabilidad. Ambas son condiciones necesarias para expresar al riesgo, el cual se define como la probabilidad de pérdidas, en un punto geográfico definido y dentro de un tiempo específico. Mientras que los sucesos naturales no son siempre controlables, la vulnerabilidad sí lo es. El enfoque integral de la gestión del riesgo pone énfasis en las medidas ex-ante y ex-post y depende esencialmente de: la identificación y análisis del riesgo; la concepción y aplicación de medidas de prevención y mitigación; la protección financiera mediante la transferencia o retención del riesgo; y los preparativos y acciones para las fases posteriores de atención, rehabilitación y reconstrucción.

Objetivos de la gestión de riesgo

Los métodos para la identificación, análisis y evaluación de riesgos son una herramienta muy valiosa para abordar con decisión su detección, causa y consecuencias que puedan acarrear, con la finalidad de eliminar o atenuar los propios riesgos así como limitar sus consecuencias, en el caso de no poder eliminarlos.

Los objetivos principales son:

1. Identificar y medir los riesgos que representa una instalación industrial para las personas, el medio ambiente y los bienes materiales.
2. Deducir los posibles accidentes graves que pudieran producirse.
3. Determinar las consecuencias en el espacio y el tiempo de los accidentes, aplicando determinados criterios de vulnerabilidad.
4. Analizar las causas de dichos accidentes.
5. Discernir sobre la aceptabilidad o no de las propias instalaciones y operaciones realizadas en el establecimiento industrial.
6. Definir medidas y procedimientos de prevención y protección para evitar la ocurrencia y/o limitar las consecuencias de los accidentes.
7. Cumplir los requisitos legales de las normativas nacionales e internacionales que persiguen los mismos objetivos.
   

Elementos de la gestión de riesgos
Evaluación de riesgos

 Trazado de un perfil de riesgos.
 Clasificación del peligro a efectos de la evaluación de riesgos y la determinación de prioridades para la gestión de riesgos.
 Establecimiento de una política para la realización de la evaluación de riesgos.
 Puesta en servicio de la evaluación de riesgos.
 Examen del resultado de la evaluación de riesgos.
Evaluación de opciones para la gestión de riesgos
 Identificación de las opciones disponibles para la gestión de riesgos.
 Decisión final en "materia de gestión.
Aplicación de la decisión sobre gestión
Seguimiento y examen
 Evaluación de la eficacia de las medidas adoptadas.
 Revisión de la gestión y/o evaluación de riesgos, cuando proceda.

El resultado del proceso de evaluación de riesgos se debe combinar con la evaluación de las opciones disponibles en materia de gestión de riesgos, a fin de llegar a una decisión sobre la gestión del riesgo en cuestión. En la adopción de esta decisión se tendrá en cuenta antes que nada la protección de la salud humana, pero también otros factores que se consideren apropiados (por ej., costos económicos, beneficios, viabilidad técnica, percepción del riesgo, etc.). Una vez puesta en práctica de la decisión relativa a la gestión, se deberá seguir de cerca tanto la eficacia de las medidas de control adoptadas como sus efectos en el riesgo a que está expuesta la población de consumidores, a fin de garantizar que se alcance el objetivo de inocuidad establecido.

Procesos para manejar los riesgos

La metodología de la gerencia de proyectos identifica el área de manejo de los riesgos incluyendo los siguientes procesos:

• PLANIFICACIÓN DEL RIESGO
• IDENTIFICACIÓN DE RIESGOS
• CALIFICACIÓN DE RIESGOS
  Implica decidir y planificar la manera de cómo se piensa gerenciar los riesgos durante el proyecto.
  Implica identificar los riesgos que pueden afectar el proyecto y sus características.
  Implica hacer un análisis cualitativo de los riesgos y sus condiciones, para priorizar sus efectos.
• CUANTIFICACIÓN DE RIESGOS
• DESARROLLO DE PLANES DE REPUESTAS
• CONTROL DE LOS PLANES DE REPUESTAS
  Midiendo las consecuencias y las probabilidades de ocurrencia de los riesgos para cuantificar sus implicaciones.
  Implica tomar acciones para aprovechar las oportunidades y reducir las amenazas al proyecto.
  Implica hacer seguimiento a los riesgos, detectando nuevas amenazas y revisando la efectividad de las repuestas emitidas.

Métodos de identificación de riesgos:

Básicamente, existen dos tipos de métodos para la realización de análisis de riesgos, si atendemos a los aspectos de cuantificación:

1. Métodos cualitativos: se caracterizan por no recurrir a cálculos numéricos. Pueden ser métodos comparativos y métodos generalizados.
2. Métodos semicualitativos: los hay que introducen una valoración cuantitativa respecto a las frecuencias de ocurrencia de un determinado suceso y se denominan métodos para la determinación de frecuencias, o bien se caracterizan por recurrir a una clasificación de las áreas de una instalación en base a una serie de índices que cuantifican daños: índices de riesgo.
3. Métodos comparativos: Se basan en la utilización de técnicas obtenidas de la experiencia adquirida en equipos e instalaciones similares existentes, así como en el análisis de sucesos que hayan ocurrido en establecimientos parecidos al que se analiza. Principalmente son cuatro métodos los existentes: A. Manuales técnicos o códigos y normas de diseño; B. Listas de comprobación o "Safety check lists"; C. Análisis histórico de accidentes; D. Análisis preliminar de riesgos o PHA
4. Métodos generalizados: Los métodos generalizados de análisis de riesgos, se basan en estudios de las instalaciones y procesos mucho más estructurados desde el punto de vista lógico-deductivo que los métodos comparativos. Normalmente siguen un procedimiento lógico de deducción de fallos, errores, desviaciones en equipos, instalaciones, procesos, operaciones, etc. que trae como consecuencia la obtención de determinadas soluciones para este tipo de eventos.
   Existen varios métodos generalizados. Los más importantes son:
   Análisis "What if ...?"
   Análisis funcional de operabilidad, HAZOP
   Análisis de árbol de fallos, FTA
   Análisis de árbol de sucesos, ETA
   Análisis de modo y efecto de los fallos, FMEA
   Análisis de riesgo
   En su forma más simple es el postulado de que el riesgo es el resultado de relacionar la amenaza y la vulnerabilidad de los elementos expuestos, con el fin de determinar los posibles efectos y consecuencias sociales, económicas y ambientales asociadas a uno o varios fenómenos peligrosos. Cambios en uno o más de estos parámetros modifican el riesgo en sí mismo, es decir, el total de pérdidas esperadas y consecuencias en un área determinada.

En los últimos años han ocurrido muchos accidentes de origen industrial, debido a que personas, bienes materiales y el medio ambiente se encuentran próximos a un establecimiento industrial en el que se encuentran sustancias peligrosas, están sometidos a unos riesgos por la sola presencia de ducha instalación industrial y de las sustancias que utilizan.

En un análisis de riesgos es relevante estimar su magnitud, por lo que es necesario realizar un análisis sistemático y de lo mas completo posible de todos los aspectos que implica para la población, el medio ambiente y los bienes materiales, la presencia de un determinado establecimiento, las sustancias que utiliza, los equipos, los procedimientos, etc. Se trata de estimar el nivel de peligro potencial de una actividad industrial para las personas, el medio ambiente y los bienes materiales, en términos de cuantificar la magnitud del daño y de la probabilidad de ocurrencia.

Los análisis de riesgos, por tanto, tratan de estudiar, evaluar, medir y prevenir los fallos y las averías de los sistemas técnicos y de los procedimientos operativos que pueden iniciar y desencadenar sucesos no deseados (accidentes) que afecten a las personas, los bienes y el medio ambiente.

Secuencia de pasos a realizar a la hora de analizar los riesgos
¨ Evalúe los riesgos. Lo primero que hay que hacer es ver si existen riesgos, esto es, si es posible sufrir algún perjuicio optando por cierta alternativa.

¨ Tome en consideración las políticas y objetivos de la empresa. Su paso siguiente consiste en tomar en consideración las políticas, valores y objetivos de la empresa, o los suyos propios de tratarse de una decisión individual o profesional. Así pues una empresa puede seguir una política de crecer lentamente, o de crecer a ritmo normal, o de no crecer en absoluto, o de expandirse sólo en el sector de nuevos productos. Al profesional o empresario corresponde decidir si asumir el riesgo en cuestión estaría o no en consonancia con los objetivos establecidos.

¨ Defina claramente cada alternativa. Efectuados los pasos anteriores es menester que proceda a examinar cada alternativa de manera tal de evaluar sus costos con objetividad. El costo principal es de carácter financiero, pero siempre que proceda deberá también incluirse los costos personales, sociales y de otra índole. Así por ejemplo, cierta alternativa puede exigir del profesional un esfuerzo excesivo, o un posible fracaso podría menoscabar su prestigio. Es por lo tanto fundamental, determinar tanto los costos financieros, como de otra índole.

¨ Reúna la información pertinente y pese las alternativas. Deberá reunirse toda la información necesaria para estimar las posibilidades que ofrece cada alternativa. El empresario o directivo debe estudiar cada posibilidad hasta sus últimas consecuencias, haciéndose preguntas como éstas:

1. si el mercado actual alcanza su punto de saturación, ¿sería posible estimular la demanda en otros mercados modificando el producto?;
2. si la intensificación de la competencia reduce mi parte del mercado, ¿habrá posibilidades de penetrar en otros mercados con el mismo producto?;
3. en caso de que me viera en necesidad de comenzar a fabricar otros productos con las nuevas máquinas, ¿sería posible adaptarlas fácilmente para fabricarlos?;
4. si la demanda se incrementa, ¿es probable que mis proveedores y subcontratistas me aumenten sus precios?

¨ Reduzca los riesgos cuanto pueda. La importancia de esta fase no puede exagerarse. Para disminuir los riesgos es indispensable que el empresario valore con realismo la medida en que está en sus manos aumentar las probabilidades de éxito. Para ello es menester que el empresario o profesional: a) tenga una idea muy clara de su propia capacidad y de la de su empresa; b) demuestre su creatividad encontrando maneras de influir en dichas probabilidades; c) sea capaz de planificar en general y en detalle cómo procederá para influir en ellas; y d) tenga el empuje, la energía y el entusiasmo de llevar a buen término sus planes.

¨ Planifique la ejecución de la alternativa elegida. Una vez seleccionada una de las alternativas, deberá prepararse un plan para ponerla en práctica. Este plan debe fijar fechas, definir claramente los objetivos, prever los diversos resultados a que puede llevar la decisión tomada, planificar en detalle para cada resultado la conducta ulterior a seguir y establecer un procedimiento para vigilar la aplicación del plan a fin de que se le pueda efectuar rápidamente todo cambio que resulte necesario.

Administración del riesgo

La administración del riesgo tiene varias actividades, algunas de las cuales se listan a continuación:
- Análisis de riesgo
- Identificación de riesgo
- Proyección del riesgo
- Evaluación del riesgo


· Análisis de Riesgo: En el contexto de los proyectos del software, el riesgo se refiere a los problemas que pudieran afectar adversamente al costo, la calidad o el cronograma de un desarrollo de software. Otros factores como el método de implementación y operación de un programa o aplicación, el tipo de herramientas usadas, el número de personal involucrado, entre otros, son tratados también con análisis de riesgo. Este análisis consiste en analizar cada riesgo identificado, para determinar la probabilidad de que pueda ocurrir y el daño que este puede causar si ocurre.
· Identificación del Riesgo: Los riesgos son usualmente agrupados bajo varias categorías:
- Los riesgos del proyecto: están relacionados a problemas: de cronograma, de personal, de recursos, de requerimientos, etc.
- Los riesgos técnicos: están relacionados con la escogencia de tecnología, plataforma, y el tiempo requerido para cubrir gastos.
- Los riesgos del negocio: involucran aspectos relacionados al retorno de la inversión, y el tiempo requerido para cubrir gastos.
Agrupar riesgos bajo varias categorías ayuda a determinar los riesgos específicos del proyecto. Otro método para identificar los diferentes tipos de riesgos involucrados es hacer uso de un conjunto de preguntas para cada uno de estos riesgos. Obtener las respuestas ayuda a un planificador de proyectos a entender el riesgo en términos técnicos.

· Proyección del Riesgo: Apunta a medir cada elemento de riesgo realizando las siguientes preguntas:
- ¿Cuál es la probabilidad de que el riesgo sea real y que pueda ocurrir?
- Si este ocurre, ¿Cuáles son los problemas que se tendrán que manejar?
Cada pregunta en la lista de elementos de riesgo puede ser respondida con un SI o un NO pero esto no es practico. Seria mucho más realista responder tales preguntas con una escala de probabilidad en el otro extremo.
Un tercer método de proyectar los riesgos es percibiendo el impacto del riesgo en el proyecto y luego darle prioridad. Los tres factores que influyen el impacto del riesgo son:
- La naturaleza del riesgo: este da una idea acerca de los tipos de problemas que pueden darse si el riesgo ocurre. Código incorrecto, por ejemplo, resulta en errores durante la compilación o la ejecución de una aplicación de software.
- Alcance del riesgo: este tiene que ver con la extensión del daño que el riesgo puede causar en realidad, junto con la distribución global. En otras palabras es un indicativo de cuanto se afectara al proyecto.
- Tiempo del riesgo: este analizara el tiempo y la duración para el cual el impacto se sentirá.
Las cuatro actividades que se dan en la proyección del riesgo son:
- Medir la probabilidad de ocurrencia del riesgo.
- Listar un conjunto de problemas que se necesita manejar si el riesgo ocurre.
- Hacer un estimado del impacto del riesgo en el proyecto en cuestión.
- Evaluar el nivel de confiabilidad con el cual se ha proyectado el riesgo.

Cualquier administración estará más preocupada con el impacto del riesgo y la probabilidad y no excesivamente preocupada con un factor de riesgo con un peso de impacto alto pero con poca probabilidad de ocurrencia. Ellos se enfocaran en aquellos factores de riesgo que son de alto impacto con una mediana probabilidad de ocurrencia o riesgos de bajo impacto con alta probabilidad de ocurrencia “estos puntos deben ser tratados apropiadamente y los pasos adecuados deben ser tomados para resolverlos eficientemente”.

· Evaluación del Riesgo: Los tres factores tomados en consideración durante la evaluación del riesgo son riesgo proyectado, probabilidad del riesgo e impacto del riesgo.
Durante la fase de evaluación del riesgo, la exactitud de los cálculos hechos durante la proyección del riesgo es cuidadosamente examinada, y se les da prioridad a los riesgos. Las formas y medios para controlar estos riesgos también son estudiados.
Un nivel de referencia de riesgo tiene que ser definido por este análisis para que sea efectivo. El costo, cronograma y rendimiento son los tres niveles de referencia de riesgo para proyectos de software o desarrollo de procesos.
Cada uno de estos tres niveles: excederse en los costos, demora de los cronogramas o pobre rendimiento, tienen un cierto nivel alto. El trabajo en un proyecto determinara si un riesgo o una combinación de estos niveles de referencia. En el análisis de riesgo de software, un nivel de referencia de riesgo tiene un solo punto, llamado punto de referencia o punto de quiebre. Es el punto donde la decisión de seguir adelante un proyecto o termínalo, es aceptable. La cancelación puede ocurrir como resultado de muchos problemas en el proceso de desarrollo de software.
Los siguientes pasos son iniciados en al fase de evaluación de riesgo:
- Definir niveles de referencia de riesgo para un proyecto.
- Construir una relación entre los factores individuales, es decir, riesgo, probabilidad de riesgo e impacto de riesgo y niveles de referencia individuales.
- Llegar a un conjunto de puntos de quiebre que definirá la región de culminación.
- Entender la manera en la que las combinaciones compuestas de riesgos afectaran posiblemente un novel de referencia

Administración y Monitoreo de Riesgo

Las actividades que ayudan a administrar los riesgos se muestran en el siguiente esquema.

En cada una de estas actividades se estudian diferentes aspectos del riesgo. En la identificación del riesgo se establece si es un riesgo de proyecto, de producto o de negocio. En el análisis del riesgo se determina la probabilidad del riesgo y sus consecuencias. En la planificación se establece un plan para evitar o minimizar los efectos del riesgo y e monitoreo del riesgo se hace un seguimiento del riesgo a través de todo el proceso de desarrollo.
Los factores asociados con los riesgos individuales se toman como la base para generar los pasos de administración del riesgo. Se presenta un ejemplo para ilustrar este punto. Considere una compañía de software presenciando una alta pérdida de personal, la cual se toma como un riesgo proyectado. Basado en ocurrencias pasadas, digamos que la probabilidad de que la gente se vaya (probabilidad de riesgo) es cerca de 60%, un numero alto, y el impacto s probable que incremente el tiempo del proyecto en un 10%, incrementando el costo total en 15%. A continuación se presentan los pasos de administración del riesgo que la compañía debe tomar:
- Tener una reunión con el staff existente y determinar la razón por la cual se están retirando.
- Superar esas causas que están dentro del control de la compañía antes del comienzo del proyecto.
- Actuar asumiendo que las personas se retiraran aun después del comienzo del proyecto, además de tomar medidas para asegurar que el trabajo progrese aun cuando el personal se retire.
- Preparar equipos del proyecto y asegurar que la información acerca de cada proyecto circule ampliamente entre los trabajadores.
- Iniciar procesos de documentación estándar y usar mecanismos para asegurar que los documentos sean desarrollados a tiempo.
- Realizar revisiones de grupo de todo el trabajo que se esta realizando.
- Implementar un plan de respaldo para cada trabajador que es crítico para un proyecto.

Los pasos para administrar el riesgo incrementan el costo del proyecto. Es por esto, que la administración tiene que asegurar que el gasto extra del dinero esta bien gastado. Esto implica que la administración del riesgo también involucre evaluar si los beneficios del proceso de administración del riesgo sobrepasan los costos incurridos cuando se implementan, por ejemplo, un análisis de costo-beneficio. Es deber del planificar del proyecto analizar si el proceso de administración del riesgo vale el costo involucrado en implementarlo.

El numero de riesgos involucrados varia de proyecto a proyecto, normalmente depende del tamaño del proyecto. Para un proyecto grande, cerca de 40 a 45 riesgos pueden ser identificados, mientras que para un proyecto pequeño, podría haber menos de 7 o 9. Si para un proyecto grande, 4 a 6 pasos se identifican para cada riesgo, la administración del riesgo podría volverse por si misma un proyecto independiente. Para evitar tales posibilidades, se hace uso de la regla de Pareto 80/20 para enumerar los riesgos de software. De acuerdo a esta regla, el 80% de todos los riesgos del proyecto, puede ser ocasionado por el 20% de los riesgos identificados. Los planificadores de proyecto tendrán que identificar los riesgos que caen en ese 20%, observando el trabajo hecho en pasos previos del análisis de riesgo. De ser este el caso, algunos de los riesgos que han sido identificados, evaluados y proyectados podrían no figurar en el plan de administración del riesgo.

Los pasos de administración del riesgo están clasificados en Mitigación del riesgo, Monitoreo y Pan de Administración (RMMMP). Este documenta todo el trabajo realizado como parte del proceso de análisis del riesgo. El gerente de proyecto entonces usa este documento como parte de un plan global del proyecto.

El siguiente paso es el monitoreo del riesgo, el cual es principalmente una actividad de rastreo con tres objetivos principales. Estos son:
- Evaluar si un riesgo que ha sido pronosticado realmente ocurre.
- Asegurar que los pasos de administración del riesgo han sido correctamente aplicados.
- Recolectar datos e información que puedan ser útiles en futuros análisis de riesgo.
Otra importante función del proceso de monitoreo de riesgo es determinar cual riesgo causa un problema en particular en el proceso de desarrollo.

El análisis de riesgo puede tomar cantidad de tiempo significativa del planteamiento del proyecto, pero vale el esfuerzo ya que resultara en procesos de desarrollo mejores, más rápidos y más eficientes, así como, productos o aplicaciones de una alta calidad.