View
0
Download
0
Category
Preview:
Citation preview
8
Propuesta de fortalecimiento de la gestión de riesgos en proyectos para el Centro de Educación e
Investigación para el Desarrollo Comunitario Y Rural - CEDECUR
Luisa Adriana Montaño Hurtado lamh116@gmail.com
Sandra Viviana Murillo Fierro vmurillo@cedecur.org
Trabajo de grado para optar por el título de
Especialista en Gestión Integral de Proyectos.
Asesor: Luis Fernando Cruz Caicedo - MBA, PMP, PRINCE2 Foundation
Universidad de San Buenaventura Colombia
Facultad de Ingeniería
Especialización en Gestión Integral de Proyectos
Santiago de Cali, Colombia
2017
Citar/How to cite [1]
Referencia/Reference
Estilo/Style:
IEEE (2014)
[1] L. A. Montaño Hurtado, y S. V. Murillo Fierro, “Propuesta de fortalecimiento
de la gestión de riesgos en proyectos para el Centro de Educación e
Investigación para el Desarrollo Comunitario Y Rural - CEDECUR.”, Trabajo
de gradoEspecialización en Gestión Integral de Proyectos, Universidad de San
Buenaventura Cali, Facultad de Ingenierías, 2017.
Especialización en Gestión Integral de Proyectos, Cohorte V.
Bibliotecas Universidad de San Buenaventura
Biblioteca Fray Alberto Montealegre OFM - Bogotá.
Biblioteca Fray Arturo Calle Restrepo OFM - Medellín, Bello, Armenia, Ibagué.
Departamento de Biblioteca - Cali.
Biblioteca Central Fray Antonio de Marchena – Cartagena.
Universidad de San Buenaventura Colombia
Universidad de San Buenaventura Colombia - http://www.usb.edu.co/
Bogotá - http://www.usbbog.edu.co
Medellín - http://www.usbmed.edu.co
Cali -http://www.usbcali.edu.co
Cartagena - http://www.usbctg.edu.co
Editorial Bonaventuriana - http://www.editorialbonaventuriana.usb.edu.co/
Revistas - http://revistas.usb.edu.co/
Biblioteca Digital (Repositorio)
http://bibliotecadigital.usb.edu.co
TABLA DE CONTENIDO
INTRODUCCIÓN ................................................................................................................... 9
1. DESCRIPCIÓN DEL PROBLEMA ........................................................................ 11
2. PREGUNTA ............................................................................................................ 13
3. OBJETIVOS ............................................................................................................ 14
3.1 OBJETIVO GENERAL ........................................................................................... 14
3.2 OBJETIVOS ESPECÍFICOS ................................................................................... 14
4. JUSTIFICACIÓN .................................................................................................... 15
5. MARCO REFERENCIAL. ...................................................................................... 16
5.1 ANTECEDENTES ................................................................................................... 16
5.1.1 METODOLOGÍA PRINCE2 ................................................................................... 16
5.1.2 NORMA ISO 31000:2009 ....................................................................................... 16
5.1.3 GUÍA TÉCNICA COLOMBIANA GTC ISO 21500:2012 ..................................... 16
5.1.4 GUÍA DE LOS FUNDAMENTOS PARA LA DIRECCIÓN DE PROYECTOS
(Guía del PMBOK) QUINTA EDICION ................................................................ 17
5.2 MARCO CONCEPTUAL ........................................................................................ 17
5.3 MARCO TEORICO ................................................................................................. 20
5.3.1 GESTION DE RIESGOS EN PROYECTOS .......................................................... 20
5.3.2 GESTIÓN DEL RIESGO SEGÚN ESTANDAR PMBOK .................................... 21
5.3.3 GESTIÓN DEL RIESGO EN PROYECTOS SEGÚN LINEAMIENTOS DE
PRINCE2 ................................................................................................................. 24
5.3.4 NORMA TECNICA ISO 31000:2009 ..................................................................... 26
5.3.5 PROCESO DE LA GESTIÓN DEL RIESGO EN PROYECTOS SEGÚN EL
ESTANDAR ISO 21500 .......................................................................................... 27
5.3.6 MODELO DE MADUREZ DE RIESGO DEL PROYECTO ................................. 28
6. METODOLOGIA DE LA INVESTIGACIÓN ....................................................... 32
7. RESULTADOS DEL PROYECTO ......................................................................... 33
7.1 TÉCNICAS Y HERRAMIENTAS SUGERIDAS PARA LA GESTION DE
RIESGOS DE PROYECTOS EN CEDECUR ........................................................ 33
7.1.1 Lluvia de ideas ......................................................................................................... 34
7.1.2 Juicio de expertos ..................................................................................................... 35
7.1.3 Estructura jerárquica de riesgos (Risk Structure Breakdown RBS)......................... 35
7.1.4 Revisiones post proyecto / Lecciones Aprendidas Información Histórica .............. 35
7.1.5 Técnicas de grupo nominal ...................................................................................... 35
7.1.6 Evaluación de Probabilidad e Impacto de los Riesgos ............................................ 35
7.1.7 Matriz de Probabilidad e Impacto ............................................................................ 36
7.2 PROCEDIMIENTO PARA LA GESTION DEL RIESGO ..................................... 36
7.3 ELEMENTOS BÁSICOS PARA CONSIDERAR SOBRE CAPACITACION EN
GESTION DEL RIESGO DE PROYECTOS AL PERSONAL DE CEDECUR .... 44
8. CONCLUSIONES ................................................................................................... 52
BIBLIOGRAFIA .................................................................................................................... 53
ANEXOS ................................................................................................................................ 55
LISTA DE TABLAS
Tabla 1. Descripción detallada del proceso de Gestión del Riesgo según lineamientos del PMI .. 22
Tabla 2. Proceso de la gestión del riesgo con PRINCE2 ............................................................... 24
Tabla 3. Modelo de madurez bg para la gestión de riesgos en proyectos. ..................................... 30
Tabla 4. Tabla de técnicas y herramientas para la Gestión de Riesgos en Proyectos .................... 33
Tabla 5. Matriz de comparación del Gestión de riesgo en proyectos según el proceso determinado
en PMBOK frente a ISO 21500: 2009, Y PRINCE2. ...................................................... 36
Tabla 6. Matriz de planificación del proyecto ................................................................................ 41
Tabla 7. Criterios para determinar el nivel de madurez de la organización ................................... 44
Tabla 8. Resultados de la Encuesta para determinar el nivel de madurez según el personal de
CEDECUR ....................................................................................................................... 46
Tabla 9. Plan de capacitación en Gestión de Riesgos en Proyectos ............................................... 50
LISTA DE GRÁFICAS
Gráfico 1. Proceso de la Gestión de Riesgo con PRINCE2 ........................................................... 25
Gráfico 2. Proceso de la Gestión del Riesgo según Norma ISO 31000:2009 ................................ 26
Gráfico 3. Procesos definidos en la ISO 21500 para la gestión de riesgos en proyectos ............... 28
Gráfico 4. Modelo de Madurez en Riesgos en Proyectos .............................................................. 29
Gráfico 5. Estructura de desglose del trabajo (EDT) ..................................................................... 43
Gráfico 6. Resultados del diagnóstico grado de madurez en la gestión del riesgo en la
organización. .................................................................................................................. 48
RESUMEN
La Gestión de Riesgos es una de las disciplinas que más impacto tienen en el éxito (o fracaso) de
la Gerencia de un proyecto, por consiguiente, el propósito de este trabajo finales lograr identificar
las técnicas más apropiadas para gestión del riesgo en la planeación y seguimiento de proyectos
en elCentro de Investigación y Educación para el desarrollo Rural y Urbano – CEDECUR- en la
ciudad de Cali-Colombia.
Este trabajo se desarrolla metodológicamente a través la investigación cualitativa de tipo
descriptivo en el cual se consultó las diferentes técnicas utilizadas y sugeridas por diferentes
autores nacionales e internacionales respecto al tema; la recolección de la información
especializada obtenida de la base de datos de la biblioteca de la Universidad San Buenaventura, y
literatura propia de la gestión del riesgo.
Los resultados muestran que el proceso de la Gestión de riesgos es fundamental para la
protección, fortalecimiento, desarrollo y mejora sobre la gestión estratégica y táctica de
CEDECUR.
Palabras claves: riesgo, gestión del riesgo, técnicas y herramientas, proceso de gestión de
riesgos, capacitación.
ABSTRACT
Risk Management is one of the disciplines that have the most impact on the success (or failure)
of Project Management, though, the purpose of this final work is to identify the most appropriate
techniques for risk management in planning and monitoring of projects in the Center for
Research and Education for Rural and Urban Development - CEDECUR - in Cali, Colombia.
This work is developed methodologically through the qualitative and descriptiveresearch, the
different techniques used and suggested were consulted by different national and international
authors on the subject; the collection of specialized information was obtained from the San
Buenaventura University library database, and risk management literature.
The results show that the risk management process is fundamental for the protection,
strengthening, development and improvement on the strategic and tactical management of
CEDECUR.
Key words: risk, risk management, techniques and tools, risksmanagement process, training
9
INTRODUCCIÓN
Este documento propone metodológicamente el fortalecimiento de la organización sin ánimo de
lucro CEDECUR desde la gestión de riesgos en los proyectos.Para ello, se determinan
inicialmente las características esenciales determinándose como resultado, las herramientas más
adecuadas para esta organización, entre ellas son especificados un procedimiento con sus
correspondientes plantillas que instrumentan la gestión del riesgo y se establece la mejora de las
competencias del personal.
Esta investigación parte de la necesidad de la implementación de mecanismos de fortalecimiento
y desarrollo organizacional, la dirección actual de este ente de la sociedad civil ha manifestado la
falta de planificación en la gestión de los proyectos, identificando esta brecha que imposibilita el
desarrollo del Centro. Adicionalmente este tema está asociado con el proceso de transición a la
nueva versión de las Normas ISO 9001, para lo cual la versión 2015 abre las posibilidades de
disminuir las amenazas y aumentar las oportunidades en este cierre de brechas.
Los anteriores son algunas de las razones beneficiosas por las cuales se desarrolla esta
investigación, por lo que se considera necesario estudiar los distintos estándares que permiten el
desarrollo de los objetivos planteados en esta investigación, tales como:
El PMI (Project Management Institute), a través de su Guía PMBOK 5ª edición, plantea un grupo
de procesos para la gestión de los riesgos; los cuales corresponden a identificar, evaluar, tratar y
planificar la respuesta a riesgos para lo cual se requieren unos insumos o entradas, para establecer
así las salidas. (Project Management Institute, 2013).
La norma ISO 21500, Directrices para la Dirección y Gestión de Proyectos, de una manera
similar al PMBOK 5ª Edición, propone una guía para la dirección de proyectos, en donde
establece los siguientes procesos: identificar los riesgos, evaluar los riesgos, tratar los riesgos y
controlar los riesgos, (International Standard Organization, 2012).
10
La Norma ISO 31000 (Gestión del Riesgo: Principios y Directrices); tiene como principio ayudar
a gestionar el riesgo con efectividad. La norma establece un proceso para la gestión del riesgo, la
cual se compone de las siguientes actividades: establecer el contexto, identificar el riesgo,
analizar los riesgos, evaluar los riesgos y tratar los riesgos; todas estas actividades se encuentran
en constante seguimiento y revisión, y de igual manera se comunican y se consultan,
(International Standard Organization, 2009).
Toda la literatura mencionada y consultada anteriormente se convertirá en una base de datos
digital, de donde se sustraerá la información concerniente a la Gestión del Riesgo en la ejecución
de proyectos para así lograr identificar las técnicas existentes para la gestión del mismo; esta
información permitirá crear una encuesta dirigida a gerentes de proyecto la cual busca dar a
conocer el uso de las herramientas e identificar aquellas no identificadas en la literatura
consultada y que en ocasiones son diseñadas e implementadas en las empresas por los mismos
gerentes.
Por otra parte, este documento se desarrolla como parte del trabajo de final para obtener el título
de especialista en Gestión Integral de Proyectos de la Universidad San Buenaventura Cali.
11
1. DESCRIPCIÓN DEL PROBLEMA
El Centro de Educación e Investigación para el Desarrollo Comunitario Urbano y Rural –
CEDECUR es una organización sin ánimo de lucro que nace en el año de 1982 en la ciudad de
Santiago de Cali, la forma de prestar sus servicios a la comunidad es a través de proyectos que
permitan disminuir las desigualdades en la sociedad colombiana, con el apoyo de entidades de
cooperación internacional y entidades gubernamentales.
Para el desarrollo de sus intervenciones CEDECUR, cuenta con un portafolio de productos, que
son llamadas áreas de desarrollo las cuales son:
Área Artística y Cultural
Área de Desarrollo Rural
Área de Gestión y Educación Ambiental
Área de Generación de Ingresos
Área Social.
A través de estas áreas es donde CEDECUR ha desarrollado su densa trayectoria en la ejecución
de proyectos, por lo que es conocida como una entidad con experiencia y compromiso en el
desarrollo de sus actividades.
En los últimos años, la gestión de proyectos se ha dinamizado con normas y estándares cuyo
objetivo es hacer esta tarea más eficiente esta tarea. Uno de los temas que sale a relucir es la
gestión de riesgos, donde la última actualización de la ISO 9001: 2008 que se realizó en 2015 y la
organización cuenta con esta certificación, hace mención a esta área, se toma como referencia la
norma ISO 31000: 2011, resaltando la importancia de este proceso en el liderazgo y
especialmente en la planificación. Por ello surge la necesidad de diseñar la gestión del riesgo del
proyecto que le permitan alinear sus operaciones con estas actualizaciones, además permita
aumentar la probabilidad de éxito en los proyectos que ayuda a fortalecer su imagen con los
involucrados identificados.
12
Para mencionar algunos problemas recurrentes en los proyectos por la falta de gestión de
riesgos:
Sobrecostos por aplicación de plan de contingencias sin planificarlo.
Sobrecostos del personal,
Incumplimientos y/o atrasos de entrega sobre productos.
Sobre carga del personal, mala imagen con partes interesadas.
Adicionalmente el personal de CEDECUR, no cuenta con la experiencia ni el conocimiento sobre
técnicas y herramientas para la gestión del riesgo en proyectos.
13
2. PREGUNTA
Por lo anterior se deriva la siguiente pregunta:
¿Cuáles son los componentes necesarios para el fortalecimiento de la gestión de riesgos en
proyectos en el Centro de Formación e Investigación para el desarrollo urbano y rural –
CEDECUR?
14
3. OBJETIVOS
3.1 OBJETIVO GENERAL
Fortalecer la gestión de riesgos en proyectos en la organización Centro de Formación e
investigación para el Desarrollo Urbano y Rural-CEDECUR.
3.2 OBJETIVOS ESPECÍFICOS
Determinar las herramientas más adecuadas para la gestión del riesgo en proyectos de la
organización CEDECUR
Establecer los procedimientos e instrumentos para la gestión del riesgo de la organización
CEDECUR.
Determinar un plan de capacitación para mejorar las competencias en la gestión de riesgos
en proyectos al personal de CEDECUR.
15
4. JUSTIFICACIÓN
Esta propuesta de fortalecimiento de la gestión del riesgo en proyectos para el centro de
educación e investigación para el desarrollo comunitario y rural-CEDECUR, responde a una
necesidad que tiene la organización actualmente; debido a la transición a la Norma Técnica
Colombiana ISO 9001:2015, la cual invita a la gestión del riesgo; a pesar de que la norma no
establece la estructuración de un proceso de gestión del riesgo; la dirección de esta ONG, ha
determinado la gestión del riesgo como parte fundamental para disminuir y controlar los riesgos
de su organización en los servicios prestados.
Para ello CEDECUR necesita identificar y tratar el riesgo en toda la organización, mejorar en la
identificación de oportunidades y amenazas, cumplir con los requerimientos legales, mejorar la
confianza de los grupos de interés, mejorar la eficacia y eficiencia operativa, minimizar las
pérdidas, mejorar la capacidad de respuesta, fortalecer las relaciones comerciales con los clientes;
es parte esencial para CEDECUR, ya que es una organizacional que 100% trabaja por proyectos.
Por lo anterior esta ONG se beneficiará con una caja de herramientas que se adecuan a su modelo
de gestión, y contribuirá a su vez con la documentación necesaria que describe el paso a paso de
la gestión de riesgos para los proyectos, a través de un procedimiento con sus respectivas
plantillas para ser implementadas; y un plan de capacitación para mejorar las competencias del
personal involucrado en los proyectos; facilitando la implementación de la gestión del riesgo en
proyectos.
16
5. MARCO REFERENCIAL.
5.1 ANTECEDENTES
5.1.1 METODOLOGÍA PRINCE2
PRINCE2 (Project in Controlled Environments) es una metodología de gestión de proyectos que
propone la administración, control y organización de cualquier tipo de proyecto enfocándose en
los productos o entregables y en las características de gobernabilidad, determinando si es posible
continuar o gestionar cambios al proyecto en cada una de sus fases. La metodología de PRINCE2
debe ser justificada mediante la viabilidad de un Business Case (documento donde se identifican
los supuestos que pueden afectar el resultado deseado en el proyecto) durante todo el proyecto
(Oficina Gubernamental del Reino Unido, 2009).
5.1.2 NORMA ISO 31000:2009
En esta norma técnica provee de principios y directrices genéricas a considerarse en la gestión del
riesgo en las organizaciones, definiendo esta última como las actividades coordinadas para dirigir
y controlar una organización con respecto al riesgo. (ICONTEC, 2009). Básicamente esta norma
propone a las organizaciones de todo tipo hacer un adecuado proceso de la gestión del riesgo,
para cualquiera de sus áreas de operación, estratégica, procesos, proyectos, entre otros.
Esta norma se adapta a cualquier tipo de riesgo, sean operativos, estratégicos, de infraestructura,
financieros del proyecto o de la organización, además de generar los principios para adecuar la
gestión del riesgo a la Norma Técnica ISO 9001:2015 en la cual se encuentra certificada la
institución (ICONTEC, 2009).
5.1.3 GUÍA TÉCNICA COLOMBIANA GTC ISO 21500:2012
La finalidad de esta norma es proporcionar una descripción detallada de las buenas prácticas en
dirección y gestión de proyectos, de esta manera, contar con un estándar que sea aplicable a
17
cualquier organización, dirigida a patrocinadores, altos directivos, directores de proyectos,
equipos de dirección de proyectos, miembros de equipos de proyectos, basadas en las practicas
propuestas en la guía del PMBOK (Grupo Iberoamericano de Análisis de la Norma ISO 21500,
2012).
5.1.4 GUÍA DE LOS FUNDAMENTOS PARA LA DIRECCIÓN DE PROYECTOS (Guía
del PMBOK) QUINTA EDICION
La gestión del riesgo es importante, pues este ayuda a identificar aquellos factores que afectan al
proyecto u organización, para establecer los planes de acción contra las afectaciones negativas
que puedan generar sobre los objetivos u potencializar las oportunidades en caso tal de que el
riesgo sea positivo, es necesario identificar, analizar, planificar la respuesta al riesgo y como
controlarlos en caso de que se materialicen(Project Management Institute, 2013).
La importancia de controlar los riesgos es que estos impactan de manera negativa en la línea base
del proyecto, como consecuencia restaría eficiencia en la gestión del alcance, presupuesto y la
calidad en los procesos.
5.2 MARCO CONCEPTUAL
Riesgo
El riesgo de un proyecto es un evento o condición incierta que, de producirse, tiene un efecto
positivo o negativo en uno o más de los objetivos del proyecto (Project Management Institute,
2013)
Tolerancia al riesgo
Es el grado, cantidad o volumen de riesgo que podrá resistir una organización o individuo
(Project Management Institute, 2013)
18
Umbral del riesgo
Medida del nivel de incertidumbre o el nivel de impacto en el que un interesado pueda tener
particular interés. Por debajo de ese umbral de riesgo, la organización aceptará el riesgo. Por
encima de ese umbral de riesgo, la organización no tolerará el riesgo (Project Management
Institute, 2013).
Categorías de riesgos
Son aquellas que proporcionan un medio para agrupar las causas potenciales de riesgo (Project
Management Institute, 2013)
Estructura Analítica Del Proyecto (EAP)
Es un esquema de la alternativa de solución más viable expresada en sus rasgos más generales a
la manera de un árbol de objetivos y actividades (Ortegón , Pacheco , & Prieto)
Estructura de desglose de trabajo (EDT)
Una descomposición jerárquica del alcance total del trabajo a ser realizado por el equipo del
proyecto para cumplir con los objetivos del proyecto y crear los entregables requeridos (Project
Management Institute, 2013).
Plan de Gestión de riesgos
Este es un componente del plan para la dirección del proyecto y describe el modo en que se
estructurarán y se llevarán a cabo las actividades de gestión de riesgos (Project Management
Institute, 2013).
19
Juicio de expertos
Con el fin de asegurar una definición exhaustiva del plan de gestión de los riesgos se debe
recabar el juicio y la experiencia de grupos o individuos con capacitación o conocimientos
especializados en el tema en cuestión (Project Management Institute, 2013)
Reuniones
Los participantes de estas reuniones pueden ser, entre otros, el director del proyecto, miembros
del equipo del proyecto e interesados seleccionados, cualquier persona de la organización con la
responsabilidad de gestionar la planificación y ejecución de actividades relacionadas con los
riesgos, así como otras personas, según sea necesario. (Project Management Institute, 2013).
Técnicas analíticas
Estas técnicas analíticas se utilizan para entender y definir el contexto general de la gestión de
riesgos del proyecto. El contexto de la gestión de riesgos es una combinación entre las actitudes
de los interesados frente al riesgo y la exposición al riesgo estratégico de un determinado
proyecto sobre la base del contexto general del proyecto. (Project Management Institute, 2013).
Registro de riesgos
Un documento en el cual se registran los resultados del análisis de riesgos y de la planificación de
la respuesta a los riesgos (Project Management Institute, 2013).
Evitar riesgo
Es una estrategia de respuesta a los riesgos según la cual el equipo del proyecto actúa para
eliminar la amenaza o para proteger al proyecto de su impacto(Project Management Institute,
2013).
20
Transferir riesgo
Es una estrategia de respuesta a los riesgos según la cual el equipo del proyecto traslada el
impacto de una amenaza a un tercero, junto con la responsabilidad de la respuesta(Project
Management Institute, 2013)
Aceptar riesgo
Es una estrategia de respuesta a los riesgos según la cual el equipo del proyecto decide reconocer
el riesgo y no tomar ninguna medida a menos que el riesgo se ocurra(Project Management
Institute, 2013).
Mitigar riesgo
Es una estrategia de respuesta a los riesgos según la cual el equipo del proyecto actúa para reducir
la probabilidad de ocurrencia o impacto de un riesgo(Project Management Institute, 2013).
5.3 MARCO TEORICO
El riesgo es un evento o combinación de eventos que podrían o no ocurrir, pero de suceder
tendrían un efecto en los resultados de los objetivos del proyecto (Bentley, 2015).
5.3.1 GESTION DE RIESGOS EN PROYECTOS
La Gestión del Riesgo se reconoce como una parte integral de las buenas prácticas de gestión. Es
un proceso iterativo compuesto por una serie de pasos que, si se ejecutan en secuencia, permiten
la mejora continua en la toma de decisiones (Project Management Institute, 2013). Los objetivos
de la gestión de los riesgos del proyecto consisten en aumentar la probabilidad y el impacto de
21
los eventos positivos, y disminuir la probabilidad y el impacto de los eventos negativos en el
proyecto(Project Management Institute, 2013), para ello se identifica el proceso de la gestión del
riesgo según PMBOK.
La gestión del riesgo se refiere a la aplicación sistemática de procedimientos a la tarea de
identificar y evaluar los riesgos y a la posterior planificación e implementación de la respuesta al
riesgo. Esto proporciona un entorno disciplinado para la toma de decisiones. La gestión del riesgo
se aplica desde una perspectiva estratégica, operativa del programa y del proyecto, los
procedimientos deben ser adaptados a cada una de ellas. (OGC, 2009).
Para la adecuada gestión del riesgo, se proponen integrar los procedimientos con las herramientas
y técnicas analíticas, para que sus resultados produzcan los efectos esperados. Las herramientas
se consideran como algo tangible, como una plantilla o un programa de software, utilizado al
realizar una actividad para producir un producto o resultado (Project Management Institute,
2013), las técnicas analíticas como diversas técnicas utilizadas para evaluar, analizar o
pronosticar resultados potenciales en base a posibles modificaciones de variables del proyecto o
variables ambientales y sus relaciones con otras variables (Project Management Institute, 2013).
5.3.2 GESTIÓN DEL RIESGO SEGÚN ESTANDAR PMBOK
Uno de los propósitos del PMBOK es dar a conocer estándares apropiados para la adecuada
dirección de proyectos, la cual consiste en aplicar conocimientos, habilidades, herramientas y
técnicas, promoviendo las buenas prácticas para la gestión de proyecto. Para PMBOK, la gestión
del riesgo es un área de conocimiento que implica los procesos de: Planificar el riesgo, Identificar
los riesgos, Realizar el análisis del proceso cualitativo, Realizar el análisis cuantitativo de
riesgos, Planificar la respuesta al riesgo, Realizar el análisis cuantitativo de riesgos, Planificar la
respuesta al riesgo y Controlar los riesgos. A continuación, en la siguiente tabla se expone los
lineamientos de la gestión del riesgo según los lineamientos del PMBOK detallando las
actividades que deben realizarse en cada uno de los procesos:
22
Tabla 1. Descripción detallada del proceso de Gestión del Riesgo según lineamientos del PMI
G
RU
PO
DE
PR
OC
ES
O
PROCESO CONCEPTO ENTRADAS HERRAMIENTAS SALIDAS P
LA
NIF
ICA
CIÓ
N
1. Planificar
el riesgo
En este proceso define cómo realizar
las actividades de
gestión de riesgos de un proyecto.
1. Plan para la dirección del proyecto
2. Acta de constitución
del proyecto 3. Registro de
interesados
4. Factores ambientales de la empresa
5. Activos de los
procesos de la organización
1. Técnicas analíticas
2. Juicio de expertos
3. Reuniones
1. Plan de gestión de
los riesgos
PL
AN
IFIC
AC
IÓN
Identificar
los riesgos
El proceso de
determinar los riesgos que pueden afectar al
proyecto y
documentar sus características.
1 Plan de gestión de los
riesgos 2. Plan de gestión de los
costos
3. Plan de gestión del
cronograma
4. Plan de gestión de la
calidad 5. Plan de gestión de los
recursos humanos
6. Línea base del alcance
Estimación de costos de las actividades
7. Estimación de la
duración de las
actividades 8. Registro de
interesados
9. Documentos del
proyecto
10. Documentos de las
adquisiciones 11. Factores ambientales
de la empresa
12. Activos de los
procesos de la organización
1. Revisiones a la
documentación
2. Técnicas de
recopilación de
información
3. Análisis con lista
de verificación
4. Análisis de
supuestos Técnicas de
diagramación
5. Análisis FODA
6. Juicio de expertos
1. Registro de
riesgos
23
PL
AN
IFIC
AC
IÓN
Realizar el
análisis
cualitativo
de riesgos
El proceso de priorizar
riesgos para análisis o acción posterior,
evaluando y
combinando la probabilidad de
ocurrencia e impacto
de dichos riesgos.
1. Plan de gestión de los
riesgos
2. Línea base del alcance
Registro de riesgos 3. Factores ambientales
de la empresa
4. Activos de los
procesos de la organización
1. Evaluación de
probabilidad e
impacto de los riesgos
2. Matriz de
probabilidad e
impacto. 3. Evaluación de la
calidad de los
datos sobre los riesgos
4. Categorización
de riesgos
5. Evaluación de la
urgencia de los riesgos
6. Juicio de
expertos
1. Actualizaciones a
los documentos
del proyecto
PL
AN
IFIC
AC
IÓN
Realizar el
análisis
cuantitativo
de riesgos
El proceso de analizar numéricamente el
efecto de los riesgos
identificados sobre los objetivos generales
del proyecto.
1. Plan de gestión de los
riesgos
2. Plan de gestión de los
costos
3. Plan de gestión del
cronograma
4. Registro de riesgos
5. Factores ambientales
de la empresa 6. Activos de los
procesos de la
organización
1. Técnicas de recopilación y
representación de
datos
2. Técnicas de análisis
cuantitativo de
riesgos y de modelado
3. Juicio de
expertos
1. Actualizaciones a los documentos
del proyecto
PL
AN
IFIC
AC
IÓN
Planificar la
respuesta al
riesgo
Se determinan las
estrategias para tratar
los riesgos identificados y
evaluados, así como
determinar el umbral del riesgo
1. Plan de gestión del
riesgo
2. Registro de riesgos
1. Estrategias para
riesgos
negativos o amenazas
2. Estrategias para
riesgos
positivos u oportunidades
3. Estrategias de
respuesta a
contingencias
4. Juicio de
expertos
1. Actualizaciones al
plan para la
dirección del proyecto
2. Actualizaciones a
los documentos del proyecto
24
Fuente: Fundamentos para la Dirección de Proyectos (Guía PMBOK). Quinta Edición
5.3.3 GESTIÓN DEL RIESGO EN PROYECTOS SEGÚN LINEAMIENTOS DE
PRINCE2
Desde la metodología de PRINCE2, el área de gestión del riesgo (Oficina Gubernamental del
Reino Unido, 2009), está conformada por los procesos Identificar, Evaluar, Planificar,
Implementar y Comunicar, lo cual se puede evidenciar en la tabla 2:
Tabla 2. Proceso de la gestión del riesgo con PRINCE2
PROCESO DEFINICION
Identificar Se deben reconocer las oportunidades y amenazas que podrían afectar el logro de los
objetivos del proyecto, (Oficina Gubernamental del Reino Unido, 2009)
Evaluar Se deben hacer una estimación y evaluación del riesgo, determinando sus
probabilidades, el impacto y la proximidad en el tiempo del riesgo u oportunidad.
Planificar
Identificar y evaluar una serie de opciones para responder a amenazas y
oportunidades (Oficina Gubernamental del Reino Unido, 2009).
Implementar En este paso se busca garantizar que las estrategias al riesgo sean implementadas
MO
NIT
OR
EO
Y C
ON
TR
OL
Controlar
los riesgos
El proceso de
implementar los planes de respuesta a
los riesgos,
dar seguimiento a los riesgos identificados,
monitorear los riesgos
residuales, identificar nuevos riesgos y
evaluar la efectividad
del proceso de gestión de los riesgos a través
del proyecto.
1. Plan para la dirección
del proyecto
2. Registro de riesgos
3. Datos de desempeño
del trabajo 4. Informes de
desempeño del
trabajo
1. Reevaluación de
los riesgos
2. Auditorías de los riesgos
3. Análisis de
variación y de
tendencias
4. Medición del desempeño
técnico
5. Análisis de
reservas
6. Reuniones
6. Información de
desempeño del trabajo
Solicitudes de
cambio 7. Actualizaciones al
plan para la
dirección del proyecto
8. Actualizaciones a
los documentos del proyecto
9. Actualizaciones a
los activos de los procesos de la
organización
25
Comunicar Proponiendo que este proceso debe ser iterativo y las actividades de comunicar debe
ser transversal en cada uno de los procesos, debido a que los riesgos se comunican
como parte de los siguientes productos de la gestión (informes de puntos de control,
informes de desarrollo, informes al final de la fase, informes al final del proyecto e
informes sobre las lecciones) (Oficina Gubernamental del Reino Unido, 2009).
Fuente: Managing Succesful Project with PRINCE2
En el gráfico 1 se describe el proceso de gestión del riesgo según PRINCE2 y como el proceso de
comunicar el riesgo se propone gestionar de forma trasversal a los demás procesos:
Gráfico 1. Proceso de la Gestión de Riesgo con PRINCE2
Fuente: Managing Successful Project with PRINCE2
26
5.3.4 NORMATECNICA ISO 31000:2009
Para la gestión de riesgos la Norma Técnica NTC ISO 31000:2009 proporciona principios y
directrices para la gestión de riesgos en el nivel estratégico y operativo de las organizaciones, sin
embargo, se puede ejercer su aplicabilidad en los proyectos. Esta norma considera tres elementos
claves para la gestión del riesgo:
En el siguiente gráfico se muestra la propuesta de la Norma ISO 31000 para la gestión del riesgo:
Gráfico 2. Proceso de la Gestión del Riesgo según Norma ISO 31000:2009
Fuente: Norma ISO 31000:2009
27
Sin embargo, la clave de la adecuada gestión de este proceso se centra en el establecimiento del
contexto, debido a que es aquí dónde se encuentran los eventos que deben ser tratados y además
proporciona sus criterios de evaluación (ICONTEC, 2009).
Para la gestión de riesgos la Norma Técnica NTC ISO 31000:2009 proporciona principios y
directrices para la gestión de riesgos en el nivel estratégico y operativo de las organizaciones, sin
embargo, se puede ejercer su aplicabilidad en los proyectos. Esta norma considera tres elementos
claves para la gestión del riesgo:
5.3.5 PROCESO DE LA GESTIÓN DEL RIESGO EN PROYECTOS SEGÚN EL
ESTANDAR ISO 21500
Los objetivos de la gestión de riesgos en los proyectos es incrementar la probabilidad e impacto
de las oportunidades y disminuir la probabilidad e impacto de las amenazas. La gestión de riesgos
no es una actividad opcional, es esencial para una exitosa gestión de proyectos (Grupo
Iberoamericano de Análisis de la Norma ISO 21500, 2012).
Las buenas prácticas sugieren que esta gestión de los riesgos debe involucrar no solo a los
miembros de los equipos de proyecto, sino que debe incluir al patrocinador y a las partes
interesadas que se considere necesario (Grupo Iberoamericano de Análisis de la Norma ISO
21500, 2012)
Los procesos que se desarrollan para la gestión del riesgo para este estándar son:
a) Identificar el riesgo
b) Evaluación del riesgo
c) Tratar el riesgo
d) Controlar los riesgos
Es importante destacar el carácter iterativo de la gestión del riesgo, representado por: - Flujo de
vuelta del proceso “Controlar los riesgos “hacia los procesos “Identificar riesgos “y “Tratar los
riesgos“- Flujo de vuelta del proceso “Tratar los riesgos “ hacia los procesos “Identificar riesgos
28
“ y “Evaluar los riegos“(Grupo Iberoamericano de Análisis de la Norma ISO 21500, 2012), tal
como se muestra en el gráfico 3.
Gráfico 3. Procesos definidos en la ISO 21500 para la gestión de riesgos en proyectos
Fuente: Grupo Iberoamericano de Análisis de la Norma Técnica ISO 21500
5.3.6 MODELO DE MADUREZ DE RIESGO DEL PROYECTO
Es una herramienta diseñada para evaluar la capacidad de administrar el riesgo (Hopkinson,
2017), este consiste en establecer niveles para evaluarse y a través de esta información identificar
acciones de mejora. David Hillson fue el primero en desarrollar el modelo de madurez de riesgos
en proyectos:
5.3.2.1 Ingenuo: la administración de riesgos en proyectos no ha iniciado.
5.3.2.2 Novato: aplican procesos en la gestión del riesgo, sin embargo, no presentan resultados
significativos en el proyecto, es decir se ejerce una gestión del riesgo de manera
experimental.
29
5.3.2.3 Normal: la administración de riesgos de proyectos es formalizada e implementada
sistemáticamente, respondiendo de manera significativa ante los eventos que pueden
impactar en el proyecto.
5.3.2.4 Natural: la incertidumbre que afecta los objetivos del proyecto es manejados de manera
sistemática dentro del contexto de la organización, haciendo parte de la cultura dentro
de los procesos del mismo.
Gráfico 4. Modelo de Madurez en Riesgos en Proyectos
Fuente: (Hopkinson, 2017)
El modelo de madurez del riesgo está basado en perspectiva de las siguientes seis estructuras
(Hopkinson, 2017):
a) Interesados del proyecto
b) Identificación del riesgo
c) Análisis del riesgo
d) Respuesta al riesgo
e) Administración del proyecto
f) Cultura de la administración del riesgo.
30
Por otro lado, el modelo de madurez bg (Buchtik Global) permite evaluar en qué nivel de
madurez está una organización en su gestión de riesgos de proyectos y así establecer áreas de
mejora (Buchtik, 2012).
El modelo de madurez bg establece cuatro niveles de madurez y nueve atributos a evaluar como
se muestra en la siguiente tabla:
Tabla 3. Modelo de madurez bg para la gestión de riesgos en proyectos.
ATRIBUTOS REACTIVO BÁSICO PROYECTOS ORGANIZACIÓN
Capacitación
Conocimiento
en gestión de
riesgos
No hay o
depende del
individuo
Se planifica
aisladamente
algunos directores
de proyecto de
riesgo se
capacitan
Se establecen
cursos
obligatorios para
todos los gerentes
de proyectos y de
riesgos. Hay
elecciones de
riesgos en
algunos
proyectos
La capacitación se
expande a todos los
integrantes de
equipos de
proyecto, y se
incorpora una
versión básica para
ejecutivos. Base de
datos central y
compartida de
lecciones.
Alcance de la
gestión de
riesgos
No hay
involucramiento
Involucra a
algunos equipos
de proyectos de la
organización
Involucra a los
interesados de
ciertos proyectos
de la
organización
Involucra a la
organización y se
extiende a los
clientes y a sus
proveedores
Enfoque a la
gestión de
riesgos
Totalmente
reactiva
Se comienza a
definir y/o a
adoptar la
terminología a
usar
Parcialmente
provocativa. Se
enfoca en
amenazas y
comienza a
identificar
oportunidades.
Totalmente
proactiva. Se
enfoca en las
amenazas y
oportunidades.
Terminología
de gestión de
riesgos en
proyectos
No existe Se comienza a
definir y/o
adoptar la
terminología a
usar
Esta
estandarizada en
algunos
proyectos
Es común y se usa
en todos los
proyectos de la
organización.
Uso de
plantillas y
herramientas
No hay Hay plantillas
básicas y
herramientas en
uso. No hay
software.
Hay plantillas
básicas
estandarizadas en
algunos
proyectos. Se
comienzan a
utilizar métricas
Plantillas definidas
de uso obligatorio
en todos los
proyectos dela
organización. Se
incorporan
plantillas más
31
avanzadas. Se
definen
herramientas
obligatorias.
Cultura de
gestión de
riesgos y
recursos
No hay cultura
en gestión del
riesgo, no se
conoce ni
reconocen sus
beneficios.
Se comienzan a
conocer sus
beneficios, pero a
un se le ve como
un costo, no como
una inversión. No
hay recursos
dedicados a la
gestión de riesgos
Se entienden los
beneficios a nivel
de los directores
de proyectos,
gerentes
funcionales.
Se entiende y se
apoya en todos los
niveles de la
organización. El
apoyo incluye el
reconocimiento
público y los
recursos humanos y
financieros
necesarios.
Estándares de
gestión de
riesgos en
proyectos
No hay procesos
formales ni
estandarizados.
Cada persona usa
el estándar que
quiere, nadie lo
exige.
Están definidos
genéricamente, su
uso depende de
que los individuos
lo quieran usar.
Aún no son
obligatorios.
Están adaptados a
proyectos
particulares.
Algunos
proyectos lo
usan. No hay una
aplicación
consistente.
Están adaptados a
los proyectos de
toda la
organización.
Todos los proyectos
lo usan
consistentemente.
Se exige a los
proveedores, de ser
necesario incorpora
el análisis
numérico.
Repositorio
central de
riesgos
No existe un
repositorio.
Cada uno tiene
su registro de
riesgos aislado
Los registros de
riesgos se
guardan en un
lugar central, pero
están en archivos
separados.
El registro de
riesgos está en un
lugar central
donde se accede
según
administración de
seguridad.
Se crea una base
central de riesgos
comunes y típicos
por tipo de
proyecto, por
categoría y otros
filtros, donde se le
puede consultar
online para agilizar
la identificación de
riesgos y
aprovechar el
conocimiento
pasado.
Fuente: (Buchtik, 2012)
El propósito de analizar modelos de madurez en la gestión de riesgo de proyectos en este trabajo
es contar con herramientas que permitan realizar un diagnóstico para identificar el grado de
conocimiento y experiencia de la organización en la gestión del riesgo de proyectos y determinar
el plan de capacitación para la organización.
32
6. METODOLOGIA DE LA INVESTIGACIÓN
El tipo de metodología investigativa para el trabajo es de carácter descriptivo, donde se procede a
estudiar las distintas teorías en gestión de riesgos en proyectos, el análisis de las normas técnicas
relacionadas en la gestión del riesgo en proyectos, con el fin de identificar las herramientas y
procedimientos que permitan mejorar la GRP en la ONG CEDECUR. También se realizan
evaluaciones internas a la organización y encuestas que permiten elaborar un diagnóstico de la
organización.
33
7. RESULTADOS DEL PROYECTO
7.1 TÉCNICAS Y HERRAMIENTAS SUGERIDAS PARA LA GESTION DEL
RIESGO DE PROYECTO EN CEDECUR
Según la investigación realizada se logran identificar las distintas técnicas y herramientas para la
gestión de riesgos en proyectos según las metodologías PMBOK 5TA edición, ISO 21500:2012 y
PRINCE2.Las técnicas identificadas que permitirán elaborar el ejercicio de establecer la gestión
de riesgos en proyectos de CEDECUR se describen a continuación:
Tabla 4. Tabla de técnicas y herramientas para la Gestión de Riesgos en Proyectos
TÉCNICAS Y
HERRAMIENTAS
PMBOK PRINCE2 ISO
21500:2012
ISO
31010
Análisis causa – raíz x x x
Análisis DAFO x x x
Árbol de decisión x x x x
Análisis de Árbol de Fallos y
Errores
x x
Análisis de reserva x x
Conocimiento sobre la industria x x
Cuestionario x x
Simulación Monte Carlo x x x
Diagramas causa – efecto o de
espina de pez
x x
Diagramas de influencia x x
Entrevistas x x x
Estructura de desglose de riesgos x x x x
Evaluación de Probabilidad e
Impacto de los Riesgos
x x
Juicio de expertos x x
Lista de posibles riesgos x
Lista de riesgos x x x x
34
Listas de control x x
Listas indicadoras x x
Lluvia de ideas x x x x
Matriz de probabilidad e impacto x x
Reevaluación del riesgo x x
Reuniones x x x
Revisión de documentos x x
Revisiones post proyecto /
Lecciones Aprendidas
Información Histórica
x x x
Simulación de Montecarlo x x
Técnica del grupo nominal x x
Técnica Delphi x x x x
Técnicas de estimación de la
probabilidad y el impacto
x x
Elaboración propia.
Como se hace referencia en el marco teórico la norma técnica ISO 31000, no identifica
herramientas para la gestión del riesgo, ya que esta norma se encarga de brindar principios y
directrices en la gestión del riesgo en cualquier tipo de organización, las técnicas relacionadas se
identifican en la Norma ISO 31010.
Para la organización CEDECUR, no solo es importante determinar los riesgos negativos o
amenazas que se pueden presentar en el proyecto, sino también identificar las oportunidades que
estos puedan generar catalogándolos como riesgos positivos u oportunidades. Por lo tanto, se
establece el uso de las siguientes herramientas y técnicas para la gestión del riesgo en proyectos
para las áreas de desarrollo:
7.1.1 Lluvia de ideas
El objetivo de la tormenta de ideas es obtener una lista completa de los riesgos del proyecto. Por
lo general, el equipo del proyecto efectúa tormentas de ideas, a menudo con un grupo
35
multidisciplinario de expertos que no forman parte del equipo (Project Management Institute,
2013).
7.1.2 Juicio de expertos
Debido a la capacidad y experiencia que estos tienen permitirán obtener otros puntos de vista que
permiten identificar otros tipos de riesgos.
7.1.3 Estructura jerárquica de riesgos (Risk Structure Breakdown RBS)
Es una distribución jerárquica de las potenciales fuentes de riesgo en un proyecto. Una
organización puede desarrollar una RBS genérica para todos los proyectos o un proyecto puede
usar una RBS específica (Grupo Iberoamericano de Análisis de la Norma ISO 21500, 2012)
7.1.4 Revisiones post proyecto / Lecciones Aprendidas Información Histórica
Esta herramienta se define como la información relevante para los riesgos del proyecto. Se
pueden obtener revisando las bases de datos de los riesgos que han ocurrido en situaciones
similares (Grupo Iberoamericano de Análisis de la Norma ISO 21500, 2012).
7.1.5 Técnicas de grupo nominal
Es una adaptación de la lluvia de ideas donde los participantes comparten y discuten todos los
temas antes de la evaluación en la cual cada participante tiene voto (Grupo Iberoamericano de
Análisis de la Norma ISO 21500, 2012).
7.1.6 Evaluación de Probabilidad e Impacto de los Riesgos
36
La evaluación de la probabilidad de los riesgos estudia la probabilidad de ocurrencia de cada
riesgo específico. La evaluación del impacto de los riesgos estudia el efecto potencial de los
mismos sobre un objetivo del proyecto, tal como el cronograma, el costo, la calidad o el
desempeño, incluidos tanto los efectos negativos en el caso de las amenazas, como los positivos,
en el caso de las oportunidades (Project Management Institute, 2013).
7.1.7 Matriz de Probabilidad e Impacto
Los riesgos se pueden priorizar con vistas a un análisis cuantitativo posterior y a la planificación
de respuestas basadas en su calificación (Project Management Institute, 2013).
7.2 PROCEDIMIENTO PARA LA GESTION DEL RIESGO
Según el análisis que se realizó a los estándares y teorías estudiadas anteriormente, se elabora un
cuadro comparativo que permite visualizar cuales son los elementos que componen el proceso de
la gestión del riesgo para cada uno, el resultado se evidencia en la tabla 5:
Tabla 5. Matriz de comparación del Gestión de riesgo en proyectos según el proceso determinado
en PMBOK frente a ISO 21500: 2009, Y PRINCE2.
PROCESOS DE LA GESTION DE
RIESGO EN PROYECTOS PMBOK ISO 21500 PRINCE2 ISO 31000
Planificar el riesgo x x
Establecimiento del contexto x
Identificar los riesgos x x x x
Realizar el análisis del proceso cualitativo x x x x
Realizar el análisis cuantitativo de riesgos x x x x
Planificar la respuesta al riesgo x
37
Elaboración propia.
A partir del análisis anterior, se determina el procedimiento de la gestión del riesgo en proyectos
para la organización CEDECUR evidenciándose en la siguiente tabla, donde se describen los
aspectos a desarrollar, las plantillas a utilizar y el responsable en cada fase del proceso.
Tabla 6. Procedimiento de la Gestión de Riesgos en Proyectos
Controlar los riesgos x x
Implementar x
Tratamiento del riesgo x
Comunicar el riesgo x
Monitorear el riesgo x
No PASO DESCRIPCIÓN TÉCNICAS REGISTRO RESPONSABLE
Inicio
1
Planificación
Clasificación de
los riesgos.
Caracterización
de los riesgos,
para la
integración de
los procesos de
la organización.
Estructura
de desglose
de riesgos
(RBS)
Planes operativos por
procesos y planes de
calidad por proyectos.
Coordinadores de
procesos (Dirección-
Calidad-Mercadeo-
Técnica-
Administrativa-
Talento Humano-
Contable y Financiera)
Coordinadores de
proyectos
Identificación y
Valoración del
riesgo: una vez
identificado el
riesgo se debe
valorar según la
DOFA -
análisis
PESTEL-
lecciones
aprendidas
análisis
causa raíz (5
Registro de riesgos
G_ISO21500_RSK_P01
Matriz de riesgos
G_ISO21500_RSK_02
Coordinadores de
procesos (Dirección-
Calidad-Mercadeo-
Técnica-
Administrativa-
Talento Humano-
Contable y Financiera)
38
probabilidad del
riesgo y valorar
la probabilidad
de la
oportunidad.
(considere el
ciclo de vida del
proyecto)
por qué)
juicio de
expertos
(equipo del
proyecto)
Coordinadores de
proyectos
2 Implementación Establecer los
mecanismos para
tratar el riesgo
debe generar
plan de
contingencia,
determinando la
tolerancia y
umbrales para
mitigar, prevenir
y/o mejorar la
gestión de los
riesgos
priorizados.
Transferir
– mitigar
explotar.
Compartir-
mejorar-
Hoja de datos del
riesgo
G_ISO21500_RSK_03
Evaluación de
probabilidad impacto
G_ISO21500_RSK_04
Coordinadores de
procesos (Dirección-
Calidad-Mercadeo-
Técnica-
Administrativa-
Talento Humano-
Contable y Financiera)
Coordinadores de
proyectos
3 Control Define niveles de
control según
frecuencias de
medición
internas
Ciclo de
auditorías
internas a
los procesos
y proyectos.
Reuniones
de
supervisión
Reuniones
de equipo.
Comunicación de
riesgo
G_ISO21500_RSK_06
Limitaciones e
Hipótesis de partida
G_ISO21500_RSK_07
Coordinadores de
procesos (Dirección-
Calidad-Mercadeo-
Técnica-
Administrativa-
Talento Humano-
Contable y Financiera)
Coordinadores de
proyectos
39
Elaboración propia.
Las plantillas correspondientes (Registro de Riesgos, Matriz de riesgos, hoja de datos de riesgos,
evaluación de probabilidad e impacto, Auditoría del riesgo, Comunicación del riesgo,
Limitaciones e hipótesis de partida) que apoyan el proceso de la gestión de riesgos en proyectos,
están especificadas en los anexos 1 a 7.
En el gráfico 4 se presenta el diagrama de flujo propuesto para el procedimiento de la gestión de
riesgos en proyectos para CEDECUR, en él se puede observar de manera gráfica el cuadro
anterior de la misma manera especificando las actividades y herramientas necesarias para llevar a
cabo la gestión del riesgo en proyectos.
4 Verificación Define niveles de
evaluación para
verificar la
eficacia de los
mecanismos de
tratamiento del
riesgo.
Revisión por
la dirección
Lecciones
aprendidas
Planes de
mejora
Auditoria del riesgo
G_ISO21500_RSK_05
Coordinadores de
procesos (Dirección-
Calidad-Mercadeo-
Técnica-
Administrativa-
Talento Humano-
Contable y Financiera)
Coordinadores de
proyectos
7 FIN
40
Gráfico 4. Flujograma Gestión del Riesgo CEDECUR
Elaboración propia.
41
A continuación, en la tabla 6 se muestra la matriz de planificación de proyecto donde se sintetiza
la propuesta de fortalecimiento para la gestión de riesgo en proyectos en la organización
CEDECUR:
Tabla 6. Matriz de planificación del proyecto
OBJETIVOS INDICADORES FUENTES DE
VERIFICACIÓN SUPUESTOS
FIN
Imagen corporativa de la
ONG CEDECUR
fortalecida
Aumento del nivel de
aceptación de los
involucrados
Encuesta de satisfacción al
cliente
Apoyo y
reconocimiento de
CEDECUR por parte
de los involucrados se
mantenga
PROPÓSITO
Gestión de riesgos en
proyectos en la ONG
CEDECUR mejorada
% de efectividad de los
planes de respuesta al
riesgo
Plan de GRP en la entidad. Si no se realiza el
proyecto, la
organización no estará
actualizando sus
procesos según la
normatividad de ISO
9001:25.
De realizar el proyecto,
les otorgará a sus
proyectos un valor
agregado que les
permitirá aumentar la
probabilidad de éxito
en los proyectos y
fortalecer la imagen de
la compañía a nivel
interno y externo
RESULTADOS
1. Herramientas y
técnicas
adecuadas para la
GRP en
CEDECUR
identificadas
2. Procedimiento
para la GRP
establecido
3. Especificado el
1. Siete (7)
plantillas que
permiten
implementar de
manera adecuada
la GRP.
2. Procedimiento
básico para la
GRP aplicable a
todas las áreas de
desarrollo
3. Plan de
1. Documento de
GRP básico
aplicable a las
áreas de
desarrollo
2. Flujograma de
procedimiento de
GRP en la
organización.
3. 7 (siete)
trabajadores
capacitados en la
1. Las
referencias
encontradas
permitan
alinearse a los
objetivos del
proyecto
2. El
procedimiento
permita ser
aplicable a la
organización
42
plan de mejora de
las competencias
en la gestión de
riesgos en
proyectos al
personal de
CEDECUR.
capacitación al
personal en GRP
GRP en la
organización.
3. El personal se
muestre
interesado en
utilizar las
herramientas y
procedimiento
identificado.
ACTIVIDADES
1. Identificar
herramientas y
técnicas.
1.1. Revisión de
fuentes
bibliográficas
1.2. Identificar las
diferentes
técnicas
determinadas en
los estándares
ISO 21500, 3100
en GRP
1.3. Determinar cuáles
son las
herramientas
adecuadas para la
GRP en la
organización.
2. Establecer un
procedimiento para
la GRP
3. Especificar el plan de
mejora de las
competencias en la
gestión de riesgos en
proyectos al personal
de CEDECUR.
RECURSOS
Libros referentes al tema
Trabajos universitarios
Monetarios
Humanos
Equipos de computo
Papelería
COSTOS
establecido en 1.552 horas
de trabajo identificando un
costo estimado de
$46.560.000
1. Documento del
Plan de Dirección
del Proyecto,
incluyendo sus
líneas de base
(Declaración del
alcance y
Estructura de
Desglose de
Trabajo,
Cronograma y
Presupuesto)
Se tienen los recursos
disponibles para
ejecutar las actividades
del proyecto
Elaboración propia.
43
En el grafico 5, se puede observar la estructura de desglose de trabajo EDT, donde identifican las
actividades pertinentes y el costo asociado a cada una de ellas, según los establecido en la matriz de
planificación del proyecto.
Gráfico 5. Estructura de desglose del trabajo (EDT)
44
Elaboración propia.
7.3 ELEMENTOS BÁSICOS PARA CONSIDERAR SOBRE CAPACITACION EN
GESTION DEL RIESGO DE PROYECTOS AL PERSONAL DE CEDECUR
Para identificar los elementos básicos se elabora un diagnóstico del personal que permita
medirlos y así asegurar que todos comprendan los criterios, definiciones, técnicas, plantillas y
beneficios de la gestión del riesgo en los proyectos, y que a su vez logre escalar de nivel según
elementos evaluados. Para ello se aplica una entrevista a siete colaboradores de la organización.
Para obtener los resultados correspondientes se ve la necesidad de elaborar un esquema donde se
permita evaluar mediante unos criterios definidos el nivel de madurez de la organización en la
gestión de riesgos de proyectos basado y adaptado de los modelos de Hillson y bg, relacionados
en la siguiente tabla:
Tabla 7. Criterios para determinar el nivel de madurez de la organización
ÁREAS DE
APLICACIÓN EN
GRP
NIVEL DE MADUREZ EN GESTION DE RIESGO DE PROYECTOS
BASICO MEDIO ALTO AVANZADO
Herramientas y
técnicas
No han sido diseñadas
ni aplicadas al proceso
Herramientas y
técnicas básicas
según
estándares
relacionados a
GRP
Se estandariza el
uso de
herramientas y
técnicas, se
aplican a todos
los proyectos
El uso de herramientas y
técnicas son de uso
obligatorio aplicados a
todos los proyectos de la
organización, el uso de
herramientas y técnicas
incluyen métodos
estadísticos, uso de
software especializado en
riesgos
Procesos No ha sido
implementado ningún
Proceso no
definido para
Se establece un
proceso formal
Se establece el proceso
formal y estandarizado
45
proceso para
administrar el riesgo
GRP en la
organización
aplicable a todos
los proyectos
aplicable a los proyectos de
cada una de las áreas de
desarrollo
Roles y
responsabilidades en
la GRP
No existen
responsables o
encargados
Responsables
de la GRP es el
director de
proyecto
Se tienen
responsables
definidos entre
los directores del
proyecto, equipo
y directores
funcionales
Responsabilidades claras y
definidas para los directores
de proyecto, equipos de
trabajo, gerentes
funcionales y directivos en
la GRP
Capacitación en
gestión del riesgo
No existe Solo se dirige a
los directores
de proyecto
Obligatoriedad de
la capacitación
para los
directores de
proyecto y
miembros del
equipo y gerentes
funcionales
Las capacitaciones en
riesgo incluyen a los
directivos, gerentes
funcionales, directores de
proyecto y equipos de
trabajo
Cultura de gestión
del riesgo
La GRP no es
relevante
No se reconoce
la importancia
en la GRP, por
lo que no se
encuentra entre
las prioridades
La GRP es
importante para el
director de
proyecto y su
equipo de trabajo
La GRP es importante para
toda la organización,
estableciendo una base de
registro de lecciones
aprendidas.
Interesados del
proyecto
Interesados del
proyecto no participan
en la identificación del
riesgo
Se tienen en
cuenta algunos
interesados del
proyecto
Se tienen en
cuenta a todos los
interesados para
la identificación
del riesgo del
proyecto
Se establecen estrategias de
comunicación en el plan de
comunicaciones que
permitan ayudar a entender
como los interesados
perciben el riesgo, además
de otro tipo de información
que permitan ayudar en
GRP
Elaboración propia.
46
Los participantes asignaron un código al nivel de madurez en la gestión de riesgos del proyecto,
siendo: básico (1), medio (2), alto (3) y avanzado (4). La entrevista se desarrolló de manera
grupal. A través de esta se logra concluir que la organización se clasifica en grado de madurez
medio. El resultado de la encuesta se puede observar en la tabla 8:
Tabla 8. Resultados de la Encuesta para determinar el nivel de madurez según el personal de
CEDECUR
PREGUNTAS
NIVEL DE MADUREZ EN GESTION DE RIESGO DE PROYECTOS RESPUESTA
BASICO (1) MEDIO (2) ALTO (3) AVANZADO (4)
Según los criterios
planteados, ¿en qué
nivel de madurez se
encuentra categorizado
el uso de herramientas y
técnicas para la GRP en
la organización?
No han sido
diseñadas ni
aplicadas al
proceso
Herramientas y
técnicas básicas
según estándares
relacionados a
GRP, aplicables a
algunos proyectos
Se estandariza el
uso de
herramientas y
técnicas, se
aplican a todos los
proyectos
El uso de
herramientas y
técnicas son de uso
obligatorio
aplicados a todos
los proyectos de la
organización, el uso
de herramientas y
técnicas incluyen
métodos
estadísticos, uso de
software
especializado en
riesgos
2
Según los criterios
planteados, ¿en qué
nivel de madurez se
encuentra categorizado
los procesos para la
GRP en la
organización?
No ha sido
implementado
ningún proceso
para administrar
el riesgo
Proceso no
definido para
GRP en la
organización
Se establece un
proceso formal y
estandarizado
aplicable a todos
los proyectos
Se establece el
proceso formal y
estandarizado
aplicable a los
proyectos de cada
una de las áreas de
desarrollo
1
Según los criterios
planteados, ¿en qué
nivel de madurez se
encuentra categorizado
el establecimiento de
roles y
responsabilidades en la
GRP en la
organización?
No existen
responsables o
encargados
Responsables de
la GRP es el
director de
proyecto
Se tienen
responsables
definidos entre los
directores del
proyecto, equipo y
directores
funcionales
Responsabilidades
claras y definidas
para los directores
de proyecto,
equipos de trabajo,
gerentes funcionales
y directivos en la
GRP
1
47
Según los criterios
planteados, ¿en qué
nivel de madurez se
encuentra categorizado
el establecimiento
Capacitación en gestión
del riesgo en la GRP en
la organización?
No existe Solo se dirige a
los directores de
proyecto
Obligatoriedad de
la capacitación
para los directores
de proyecto y
miembros del
equipo y gerentes
funcionales
Las capacitaciones
en riesgo incluyen a
los directivos,
gerentes
funcionales,
directores de
proyecto y equipos
de trabajo
2
Según los criterios
planteados, ¿Cuál es el
grado de madurez en la
cultura de gestión del
riesgo dentro de la
organización?
La GRP no es
relevante
No se reconoce la
importancia en la
GRP, por lo que
no se encuentra
entre las
prioridades
La GRP es
importante para el
director de
proyecto y su
equipo de trabajo
La GRP es
importante para
toda la
organización,
estableciendo una
base de registro de
lecciones
aprendidas.
2
Según los criterios
planteados, ¿en qué
nivel de madurez se
encuentra el
involucramiento de
interesados del proyecto
en la GRP en la
organización?
Interesados del
proyecto no
participan en la
identificación
del riesgo
Se tienen en
cuenta algunos
interesados del
proyecto
Se tienen en
cuenta a todos los
interesados para la
identificación del
riesgo del
proyecto
Se establecen
estrategias de
comunicación en el
plan de
comunicaciones que
permitan ayudar a
entender como los
interesados perciben
el riesgo, además de
otro tipo de
información que
permitan ayudar en
GRP
2
Elaboración propia.
Según los resultados de la encuesta realizada, se el personal de CEDECUR considera ubicar en
nivel básico los aspectos “implementación de un proceso en la gestión de riesgos” y “roles y
responsabilidades en la gestión de riesgos” en proyectos, los demás aspectos se ubican en nivel 2
es decir nivel medio de madurez, pues se tienen nociones de lo que implica la gestión de riesgos,
pero no es un proceso claramente definido en la administración de proyectos.
En el gráfico 6 se presenta un diagrama de radar donde se pretende mostrar la brecha entre una
organización de grado avanzado en la gestión de riesgos de proyectos y los resultados al
diagnóstico realizado a CEDECUR:
48
Gráfico 6. Resultados del diagnóstico grado de madurez en la gestión del riesgo en la
organización.
Elaboración propia.
Además, la encuesta también logra evidenciar las
49
En la organización la planificación de riesgos se realiza de manera aislada desde la
coordinación del sistema de gestión de calidad.
El alcance la gestión del riesgo no es dirigida a los proyectos.
El equipo de proyecto no está familiarizado con la terminología apropiada para la gestión
del riesgo en proyectos.
La organización cuenta con plantillas en uso, pero sin aplicación de software.
Con relación a la cultura en gestión del riesgo, el personal no conoce ni reconoce la
gestión del riesgo.
Cuentan con algunos estándares definidos, pero son de uso gerencial y su no son
obligatorios.
Mantienen registros de riesgos que están salvaguardados por los procesos gerenciales de
la organización.
Se considera que la capacitación debe cumplir con los siguientes objetivos:
Dar a conocer las técnicas de identificación y análisis de riesgos
Lograr que el personal de CEDECUR tenga la capacidad de realizar un proceso básico de
gestión de los riesgos en proyectos, identificando y analizando los riesgos principales de
dichos proyectos
Con el resultado del diagnóstico y los objetivos definidos, se procede a identificar que los temas a
considerar en el plan de capacitación para la gestión del riesgo en CEDECUR son: Gestión del
riesgo en proyectos, Tratamiento del riesgo y Control del riesgo, recomendando tratar cada tema
en un día con una intensidad de 3 horas diarias para no interferir con las actividades diarias de la
organización.A continuación, se presenta de manera detallada el plan de capacitación en la tabla
8 se muestra la estructura del plan de capacitación.
50
Tabla 9. Plan de capacitación en Gestión de Riesgos en Proyectos
TEMA TIEMPO INVOLUCRADOS CONTENIDO COSTO
ESTIMADO
FACILITAD
OR/A
RESPONS
ABLE
GESTIÓN DEL
RIESGO EN
PROYECTOS.
Riesgo y su
definición.
Clasificación de
riesgos e
identificación de
riesgos
27 nov-
17
(3 horas)
Coordinadores de
procesos
Dirección-
Calidad-Mercadeo
-Técnica-
Administrativa-
Talento Humano-
Contable y
Financiera.
Coordinadores de
proyectos
Conocer las
técnicas de
identificación y
análisis de
riesgos de uso
más frecuente
en proyectos.
$
300.000,00
Experiencia
mínima de 5
años en
gestión del
riesgo en
proyectos.
Dirección
y Gestión
de Talento
Humano
TRATAMIENTO
DEL RIESGO.
El análisis
cualitativo de
riesgos.
Estableciendo
mecanismos de
tratamiento del
riesgo.
28 nov-
17
(3 horas)
Coordinadores de
procesos
Dirección-
Calidad-Mercadeo
-Técnica-
Administrativa-
Talento Humano-
Contable y
Financiera.
Coordinadores de
proyectos
Ser capaces de
realizar un
proceso básico
de gestión de
los riesgos en
proyectos,
analizando los
riesgos
principales de
dichos
proyectos, y
estableciendo
estrategias y
acciones de
respuesta.
$
300.000,00
Experiencia
mínima de 5
años en
gestión del
riesgo en
proyectos.
Dirección
y Gestión
de Talento
Humano
51
CONTROL DEL
RIESGO.
Planificar las
respuestas ante los
riesgos.
El registro de riesgos
del proyecto.
29 nov-
17
(8 horas)
Coordinadores de
procesos
Dirección-
Calidad-Mercadeo
-Técnica-
Administrativa-
Talento Humano-
Contable y
Financiera.
Coordinadores de
proyectos
Ser capaces de
definir niveles
de tolerancia y
control;
Incluyendo
criterios
auditables de
gestión del
riesgo.
$
300.000,00
Experiencia
mínima de 5
años en
gestión del
riesgo en
proyectos.
Dirección
y Gestión
de Talento
Humano
Elaboración propia
52
8. CONCLUSIONES
Para una organización que depende 100% de la ejecución de proyectos, la gestión del riesgo no
puede estar por fuera de la estructura organizativa, ni de sus áreas de conocimiento propio. Para
CEDECUR esta propuesta de fortalecimiento le permitirá la implementación desde todos los
niveles organizacionales e involucrar a todas las partes interesadas, e implementarse desde todos
los procesos de la organización hasta los proyectos.
La determinación de herramientas más adecuadas para la gestión del riesgo en los proyectos de
CEDECUR, les precisa como mejorar su modelo de gestión para el desarrollo organizacional
apoyado en los lineamientos de la ISO 21500 y en las otras técnicas propuestas en el documento
que les facilita la operación de la gestión del riesgo sobre los proyectos sin importar la naturaleza
del mismo.
Los retos que enfrenta la organización para la implementación del procedimiento, técnicas y
herramientas suministradas por las distintas teorías y estándares analizados, le brindan a
CEDECUR una caja de herramientas estructural ysólida que permitirá fortalecer la gestión del
riesgo en proyectos para la organización y así, podrán mejorar de forma integral lagestión de sus
proyectos; alcanzando muy posiblemente mayor éxito en cada uno de ellos.
El diagnóstico propuesto para desarrollar las competencias en gestión del riesgo le brinda a la
organización un punto de partida para mejorar la gestión del conocimiento en todo su personal,
generando un plan de acción anual para determinar con mayor facilidad los avances sobre los
niveles estructurales desde las herramientas mismas propuestas en este trabajo de grado. Por lo
anterior se cuenta con el compromiso de la Dirección y de la comprensión del proceso de
Calidad, para el desarrollo de competencias de todo el equipo de colaboradores que además debe
implicar un esfuerzo de todo el personal de la organización.
53
BIBLIOGRAFIA
Bentley, C. (2015). The PRINCE2 Practitioner: From Practitioner to Professional.New
York: Taylor Francis Group .
Bolaños, J & Cuero M. (2016). Técnicas Utilizadas en la Gestión de Riesgo en la
Planeación y Seguimiento de Proyectos en Las Organizaciones De Cali-Colombia. (tesis
de especialización). Universidad San Buenaventura, Cali
Buchtik, L. (2012). Secretos para dominar la gestión del riesgo. Uruguay: Buchtik
Global.
Grupo Iberoamericano de Análisis de la Norma ISO 21500. (2012). Guía de
Implementación de la Norma Técnica ISO 21500.
Harvard, H. B. (2011). Developing a Business Case: expert solutions to everyday
challenges.Estados Unidos de America .
Hopkinson, M. (2017). The Project Risk Maturity Model: Measuring and Improving Risk
Management.
Hurtado, F. (2011). Dirección de proyectos: Una Introducción con base en el marco de
PMI. Estados Unidos de América.
ICONTEC, E. I. (2009). NORMA TÉCNICA COLOMBIANA NTC-ISO 31000. Bogotá.
Recuperado el Mayo de 2017
Oficina Gubernamental del Reino Unido. (2009). Managing Succesful Project with
PRINCE2.Oficina Gubernamental del Reino Unido.
54
OGC, O. G. (2009). Éxito en la gestión de Proyectos con PRINCE2. Oficina
Gubernamental del Reino Unido .
Ortegón , E., Pacheco , J. F., & Prieto, A. (s.f.). Metodología del marco lógico para la
planificación, el seguimiento y la evaluación de proyectos y programas. Naciones Unidas.
Project Management Institute, I. (2013). Guía para la Dirección de Proyectos (Guía del
PMBOK) Quinta edición.
Lledó, P. (2013). Director de proyectos: Cómo aprobar el examen PMP® sin morir en el
intento (2da ed.). Victoria, BC, Canadá
Santofimio, Y & Manrique C. (2015). Técnicas de Evaluación del Riesgo para determinar
la Viabilidad del Proyecto en La Etapa de Formulación. (tesis de especialización).
Universidad San Buenaventura, Cali.
55
ANEXOS
Anexo 1. Registro de riesgos
Anexo 2. Matriz de riesgos
Anexo 3. Hoja de datos de riesgo
Anexo 4. Evaluación probabilidad – impacto
Anexo 5. Auditoria del riesgo
Anexo 6. Comunicación del riesgo
Anexo 7. Limitaciones e hipótesis de partida
REGISTRO DE RIESGOS
PAGINA 1/4
HOJA DE DECLARACIÓN
PRIO
ALCANCE COSTO TIEMPO CALIDAD(VAL)
NOMBRE DEL PROYECTO:
FECHA: EDICION/VERSIÓN:
PROB RESPUESTA RESPONSABLEIMPACTO TRIGGER
DISPARADORCODIGO CAUSA/ORIGENRIESGO ENUNCIADOCATEGORIA
REGISTRO DE RIESGOS
PAGINA 2/4
HOJA DE ACTUALIZACION
ALCANCE COSTO TIEMPO CALIDAD
PRIO
ACTUAL ACCIONES PENDIENTES
FECHA:
COMENTARIOS
PROB
ACTUAL
IMPACTON ACTUAL
ESTADO ACTUALCODIGO RIESGO
EDICION/VERSIÓN:
NOMBRE DEL PROYECTO:
REGISTRO DE RIESGOS
PAGINA 3/4
HOJA DE DECLARACIÓN Y HOJA DE ACTUALIZACIÓN
ENUNCIADO DEL RIESGO
PROBABILIDAD E IMPACTO
EDICION/VERSIÓN:
ANEXO – Referencias y conceptos
La identificación de los riesgos ha de hacerse con la máxima claridad, y aportando la información necesaria para que el posible evento sea
perfectamente comprendido, incluyendo una descripción de la o las posibles causas que pueden provocarlo o los sucesos que deben
ocurrir para desencadenar el evento del riesgo. Además de listar los posibles riesgos y detallar sus características, a la hora de enunciar los
riesgos en los diferentes documentos del proyecto, el lenguaje expresado en la definición del riesgo es importante, y por ello se
recomienda que siga la forma: "Como resultado de una (causa) un (evento incierto) puede ocurrir el cual podría resultar en un (efecto)",
como se sugiere en el campo de ejemplo en la plantilla.
La especificación de la probabilidad e impacto deben ser lo más precisas posible, y en cualquier caso, seguir las directrices marcadas en el
“Plan de Gestión de Riesgos” (ver la plantilla en el área de Integración) y estar en concordancia con los niveles establecidos también en la
“Matriz de Riesgos” y en el documento de “Evaluación de Prioridad e Impacto” (por ejemplo si definimos 5 niveles – Muy alto, alto, medio,
bajo y muy bajo – debe ser coherente la escala en todos los documentos del proyecto. Tanto la probabilidad como el posible impacto de un
riesgo pueden variar a lo largo de la vida del proyecto, bien debido a la acción de medidas preventivas o por cambiar las circunstancias en
las que se desarrolla el proyecto, lo cual hace necesario una reevaluación de los parámetros del riesgo y su registro, incluso aunque el
riesgo pueda haber desaparecido, pues el conocimiento de su evolución es una información muy valiosa para futuros proyectos.
Esta plantilla propone la utilización de dos hojas que formarán un único documento; la primera para hacer una primera declaración de
riesgos que puede incluir, si ya se conoce, la estrategia de respuesta frente al riesgo y acciones concretas a realizar, y una segunda hoja
para actualizar el estado de los riesgos una vez se haya avanzado en el proyecto, puesto que el proceso de gestión de riesgos es iterativo y
continuo. En la hoja de actualización los campos correspondientes al nombre y código del proyecto, así como la edición y versión del
documento deben ser los mismos que en la primera, y de hecho pueden suprimirse, pero se han mantenido por seguridad.
REGISTRO DE RIESGOS
PAGINA 4/4
PRIORIDAD
TRIGGER / DISPARADOR
RESPONSABLE
Adaptado de la Guía Norma Técnica ISO 21500 - Grupo Iberoamericano de Análisis de la Norma ISO 21500
Aunque la responsabilidad final de la gestión de los riesgos recae en el director del proyecto, puede designarse un responsable específico para el
tratamiento de cada riesgo en particular, con la evidente necesidad de coordinación e integración de las actividades para lograr el óptimo global para el
proyecto. En la hoja de actualización se entiende que el responsable para cada riesgo se mantiene, y en caso de cambio puede anotarse en el campo de
“comentario”
FECHA: EDICION/VERSIÓN:
NOMBRE DEL PROYECTO:
La asignación de la prioridad (puntuación) a los riesgos requiere de su análisis y valoración cualitativa y cuantitativa, comparando a menudo unos con
otros para tomar la decisión de a cuál de ellos asignar los recursos escasos de los que podemos disponer. La asignación de una prioridad debe tener en
cuenta también el nivel de tolerancia y el umbral de riesgo soportado por la organización, y que debemos haber reflejado también en el Plan de Riesgos
(Integración).
Algunos planes de respuesta frente a riesgos se definen para realizarse solamente en determinadas condiciones. Los eventos o condiciones que
“disparan” la respuesta deben estar especificados y ser controlados en el seguimiento del proyecto.
MATRIZ DE RIESGOS
PAGINA 1/3
FECHA: EDICION/VERSIÓN: NOMBRE DEL
PROYECTO:
IMPACTO
P
R
O
B
A
B
I
L
I
D
A
D
MUY ALTO
ALTO
MEDIO
BAJO
MUY BAJO
BAJO MEDIO ALTO MUY ALTO
AMENAZAS
MUY BAJO
MATRIZ DE RIESGOS
PAGINA 2/3
FECHA: EDICION/VERSIÓN:
IMPACTO
NOMBRE DEL PROYECTO:
OPORTUNIDADES
MUY ALTO
MUY ALTO
MUY BAJO BAJO MEDIO ALTO
ALTO
MEDIO
BAJO
MUY BAJO
P
R
O
B
A
B
I
L
I
D
A
D
MATRIZ DE RIESGOS
PAGINA 3/3
EDICION/VERSIÓN:
PROBABILIDAD E IMPACTO
ESCALAS
ZONA SOMBREADA
La severidad del riesgo viene dada por el producto de su (probabilidad x impacto), y nos sirve para valorar los riesgos y posicionarlos en la matriz.
Adaptado de la Guía Norma Técnica ISO 21500 - Grupo Iberoamericano de Análisis de la Norma ISO 21500
La gestión de riesgos se entiende tanto para riesgos cuyo impacto es negativo sobre los objetivos del proyecto (amenazas), como para aquellos que pueden tener un impacto positivo
(oportunidades). Por ello en este documento se propone el uso de dos matrices, una para cada uno de los tipos. Queda a elección del director del proyecto el uso de las dos matrices por
separado o su integración, pero en cualquier caso su gestión ha de abarcar ambos tipos de eventos posibles, amenazas y oportunidades
ANEXO – Referencias y conceptos
La especificación de la probabilidad e impacto deben ser lo más precisas posible, y en cualquier caso, seguir las directrices marcadas en el Plan de Gestión de Riesgos (ver la plantilla en el
área de Integración). Tanto la probabilidad como el posible impacto pueden variar a lo largo de la vida del proyecto, bien debido a la acción de medidas preventivas o por cambiar las
circunstancias en las que se desarrolla el proyecto, lo cual hace necesario una reevaluación de los parámetros del riesgo y su registro, incluso aunque el riesgo pueda haber desaparecido,
pues el conocimiento de su evolución es una información muy valiosa para futuros proyectos.
Aunque en la plantilla se nombran las escalas de forma cualitativa, es inmediata su conversión a escala numérica, estableciendo los valores mínimos y máximos (ej. 0% -- 100%), para el
caso de que nuestra valoración de los riesgos del proyecto pueda arrojar cuantificación en valores concretos.
En cada organización el responsable del proyecto debe conocer cuáles son los niveles de probabilidad e impacto a partir de los cuales el riesgo es considerado como de severidad alta,
media o baja. La zona sombreada (riesgos de extrema importancia) como ejemplo en la matriz debe personalizarse para cada proyecto concreto, de igual manera que el umbral inferior a
partir del cual el riesgo puede ser aceptado debe ser también fijado si viene al caso.
AMENAZAS Y OPORTUNIDADES
HOJA DE DATOS DEL RIESGO
PAGINA 1/3
FECHA: EDICION/VERSIÓN:
CODIGO ESTADO
ALCANCE COSTO TIEMPO CALIDAD
PRIOR.ALCANCE COSTO TIEMPO CALIDAD
PRIOR.
ALCANCE COSTO TIEMPO CALIDAD
ALCANCE COSTO TIEMPO CALIDAD
RIESGOS
SECUNDARIOS
COMENTARIOS
RESPONSABLEIMPACTO
FECHA
NOMBRE DEL PROYECTO:
ESTRATEGIA/RESPUESTA
TRATAMIENTO DEL RIESGO
ENUNCIADO DEL RIESGO (AMENAZA / OPORTUNIDAD):
PROBABILIDAD
DESCRIPCIÓN DEL RIESGO
CAUSA DEL RIESGO/ORIGEN
PLAN DE PREVENCIÓN
(ACCIONES)
VALORACIÓN DEL RIESGO
PRESUPUESTO
PRESUPUESTO
FECHA
PLAN DE CONTINGENCIA TRIGGER/ DISPARADOR
ACCIONES
VALORACIÓN REVISADA / ACTUALIZADA
ESTRATEGIA/RESPUESTA (ACTUALIZADA)PRIORIDAD /VALOR RESPONSABLEIMPACTOPROBABILIDAD/
REVISIÓN
RIESGOS
RESIDUALES
IMPACTO
IMPACTOPROB
PROB
HOJA DE DATOS DEL RIESGO
PAGINA 2/3
FECHA: EDICION/VERSIÓN:
Adaptado de la Guía Norma Técnica ISO 21500 - Grupo Iberoamericano de Análisis de la Norma ISO 21500
RID
Identidad del riesgo. Número que le asignamos para identificarlo de forma unívoca en los documentos del proyecto.
ESTADO
PROBABILIDAD, IMPACTO y PRIORIDAD
ESTRATEGIA / RESPUESTA
Como sabemos existen varios tipos de respuesta frente a los eventos posibles de riesgo, según sean de impacto negativo (amenazas) o positivo (oportunidades), esto es:
Para las amenazas: □ Evitar □ Mitigar □ Transferir □ Aceptar
Para las oportunidades: □ Explotar □ Mejorar □ Compartir □ Aceptar
RIESGOS SECUNDARIOS Y RESIDUALES
NOMBRE DEL PROYECTO:
ANEXO – Referencias y conceptos
Situación en la que se encuentra el riesgo. En el caso de que ya se hayan realizado acciones para evitarlo o mitigarlo su estado puede haber cambiado, e incluso llegar a haber “desaparecido” (cuando hemos
sido capaces de eliminar la causa que lo produce), y sin embargo no podemos dejar de reflejarlo en la información del proyecto.
La severidad de un riesgo viene dada por el producto de su PROBABILIDAD de ocurrencia y su IMPACTO. En función de ello podremos clasificarlos en la MATRIZ DE RIESGOS (ver plantilla), asignar a los riesgos
una PRIORIDAD y ver cuáles son los que deben ser atendidos en primer lugar o a los que dedicar prioritariamente los recursos, así como establecer con sentido la estrategia de respuesta y el seguimiento de su
eficacia.
La elección de una estrategia de respuesta nos lleva a definir las acciones (preventivas y/o de contingencia) a realizar frente al riesgo. A veces existe la posibilidad de combinar varios tipos de respuesta frente a
un riesgo, y ello suele aportar buenos resultados frente a una respuesta única.
Los RIESGOS SECUNDARIOS son aquellos que aparecen como resultado directo de aplicar las acciones de respuesta frente a un riesgo. Los RIESGOS RESIDUALES son aquellos riesgos iniciales que permanecen
después de haber llevado a cabo los planes de respuesta, con menor probabilidad o impacto que el inicial debido a nuestra labor. Sin embargo, si después de realizar las acciones de respuesta éste no
disminuye en su severidad (o ésta aumentase) no se trataría de un riesgo residual sino de un fracaso de la estrategia frente al riesgo, evidentemente.
HOJA DE DATOS DEL RIESGO
PAGINA 3/3
FECHA: EDICION/VERSIÓN:
TRIGGER / DISPARADOR
COMENTARIOS
Algunos planes de respuesta frente a riesgos se definen para realizarse solamente en determinadas condiciones. Los eventos o condiciones que “disparan” la respuesta deben estar especificados y ser
controlados en el seguimiento del proyecto.
Cualquier información que pueda servir para corregir una estimación, justificar una decisión o estrategia de respuesta, o para aportar elementos importantes a tener en cuenta en proyectos futuros puede ser
de enorme ayuda para el director del proyecto.
NOMBRE DEL PROYECTO:
PAGINA 1/2
1
2
3
4
5
FECHA: EDICION/VERSIÓN:
NOMBRE DEL PROYECTO:
IMPACTO SOBRE EL ALCANCE
IMPACTO SOBRE LA CALIDAD
MUY ALTO
ALTO
MUY ALTO
ALTO
MEDIO
BAJO
MUY BAJO
BAJO
BAJO
MUY BAJO
IMPACTO SOBRE EL CRONOGRAMA
MEDIO
MUY ALTO
ALTO
MEDIO
IMPACTO SOBRE EL PRESUPUESTO
MUY ALTO
ALTO
MUY BAJO
MUY ALTO
ALTO
BAJO
MUY BAJO
DEFINICIÓN DE LA ESCALA DE PROBABILIDAD
MEDIO
<= 15%
MEDIO
MUY ALTO
ALTO
MEDIO
BAJO
MUY BAJO
DEFINICIÓN DE LOS NIVELES DE PRIORIDAD
>= 85%
>= 70%
<70%
>30%<= 30%
MUY BAJO
BAJO
PAGINA 2/2
Adaptado de la Guía Norma Técnica ISO 21500
DEFINICIÓN DE LOS NIVELES DE IMPACTO
DEFINICIÓN DE LOS NIVELES DE PROBABILIDAD
DEFINICIÓN DE LOS NIVELES DE PRIORIDAD PARA LOS RIESGOS
La prioridad de un riesgo dependerá de la combinación de su probabilidad e impacto sobre los objetivos. Los
niveles pueden ser simplemente “bajo-medio-alto” o disponer de una escala más precisa. La clasificación
elegida se reflejará en el registro sobre la matriz de riesgos y los demás documentos de gestión, fijando los
La definición en detalle de los niveles de impacto sobre el alcance y los objetivos del proyecto debe estar en
concordancia con lo establecido en las directrices del “Plan de Gestión de Riesgos” (ver plantilla en el área
de Integración) y la “Matriz de Riesgos”, y será de aplicación tanto para el “Registro de Riesgos” como para
la “Hoja de Datos de Riesgo” (para cada riesgo).
Por ejemplo aunque en esta plantilla se ofrece una división en cinco niveles de forma cualitativa, esto debe
ser adaptado a cada caso en función de las necesidades de la organización y del propio proyecto. Una
definición cuantitativa de los niveles resulta más precisa pero puede resultar difícil en algunos casos, por lo
cual la explicación de los niveles definidos sí debe ser lo más exacta precisa, justificando tanto la elección
del número de niveles como la forma de aplicarlos a la valoración de los riesgos.
Al igual que en los niveles de impacto debe haber coherencia con lo definido en el “Plan de Gestión de
Riesgos” y la “Matriz de Riesgos”, y los demás documentos relacionados con la gestión de riesgos.
Los valores numéricos propuestos en esta plantilla son solamente un ejemplo y deben ser personalizados
para cada proyecto en concreto. La determinación de los valores puede hacerse por varios métodos; de
acuerdo a datos históricos (si existen), recurriendo a la participación de expertos, por consenso con todo el
equipo de gestión de riesgos, etc.
De igual forma a lo expresado para impacto y probabilidad, deben definirse los niveles de prioridad para
poder clasificar los riesgos, y para ello deben tenerse en cuenta las preferencias de la organización y los
umbrales de riesgo y tolerancia de las áreas y stakeholders.
EDICION/VERSIÓN:
NOMBRE DEL PROYECTO:
ANEXO – Referencias y conceptos
FECHA:
AUDITORIA DE RIESGOS
PAGINA 1/4
FECHA: EDICION/VERSIÓN: NOMBRE DEL PROYECTO:
CODIGO EVENTO
OCURRIDOCAUSA RIESGO PREVISTO IMPACTO COMENTARIOS
CODIGO EVENTO
OCURRIDORESPUESTA RESULTADOS
AUDITORIA DE RIESGOS
AUDITORIA DE RESPUESTA A LOS RIESGOS
ACCIONES DE MEJORA
AUDITORIA DE RIESGOS
PAGINA 2/4
NOMBRE DEL PROYECTO: DIRECTOR DE PROYECTO:
PROCESO REALIZADO POR METODOLOGIA
IMPLEMENTADASEGUIMIENTO
INICIO
PLANIFICACIO
N
IMPLEMENTA
CIÓN
CONTROL
VERIFICACIÓN
FECHA: EDICION/VERSIÓN:
AUDITORÍA DEL PROCESO DE GESTIÓN DE RIESGO
COMENTARIOS
DESCRIPCIÓN DE LAS PRÁCTICAS DE ÉXITO EN EL PROYECTO
DESCRIPCIÓN DE LAS PRÁCTICAS DE MEJORA
AUDITORIA DE RIESGOS
PAGINA 3/4
EDICION/VERSIÓN: NOMBRE DEL PROYECTO:
Adaptado de la Guía Norma Técnica ISO 21500 - Grupo Iberoamericano de Análisis de la Norma ISO 21500
CONTROLAR LOS RIESGOS
AUDITORÍA DE RIESGOS
AUDITORÍA DE RESPUESTA A RIESGOS
AUDITORÍA DEL PROCESO DE GESTIÓN
FECHA:
ANEXO – Referencias y conceptos
Controlar los riesgos es el proceso que consiste en llevar a cabo y verificar la efectividad de todo el proceso de gestión de riesgos a lo largo del
proyecto (planes de respuesta, monitorización de riesgos primarios, secundarios y residuales, identificación de nuevos riesgos, eficacia de las
En el apartado de auditoría de riesgos se recoge un histórico de los eventos ocurridos y sus causas, que deberían haber sido previstos como riesgos
(y por ello tener asignado un RID previamente), detallando su impacto sobre el proyecto para ver si corresponde con el estimado para ese
evento/riesgo o si es diferente (por ejemplo debido a que se adoptaron acciones preventivas o de contingencia), detallando a ser posible la razón de
la diferencia.
En este apartado se estudia la efectividad de la respuesta prevista frente a cada evento en concreto, y si existen posibilidades de responder mejor en
una siguiente ocasión. Si la identificación de riesgos y la planificación de respuestas fue realizada correctamente, cada evento habrá sido previsto
como riesgo, y el campo “RID” puede usarse como referencia de enlace con la tabla anterior de auditoría de riesgos.
En este caso se verifica si han sido llevados a cabo los procesos de gestión definidos por la norma ISO-21500. El director del proyecto puede
determinar hasta que punto delimitar los procesos para su control, por ejemplo, dividiendo la evaluación de los riesgos en “análisis cualitativo” y
“análisis cuantitativo” de los riesgos, lo cual nos valdría para estar más en concordancia con lo establecido en el PMBOK® 5Ed.
AUDITORIA DE RIESGOS
PAGINA 4/4
EDICION/VERSIÓN: NOMBRE DEL PROYECTO:
PRÁCTICAS DE ÉXITO Y ACCIONES DE MEJORA
(Nota: en algunos campos de la plantilla se sugieren algunas preguntas que podemos contestar al rellenar cada campo en cuestión).
FECHA:
Se trata de recoger, por un lado, aquellas acciones de gestión de riesgos que pueden determinare como “buenas prácticas” a lo largo del proyecto y
por otro aquellos aspectos que son susceptibles de mejora o han tenido errores, y ello es muy importante de cara a proyectos futuros tanto para el
mismo como para otros directores de proyectos.
COMUNICACIÓN DEL RIESGO
PAGINA 1/2
EDICIÓN/VERSIÓN:
EVENTO OCURRIDO TIPO RID (EID)PRIORIDAD
/URGENCIA
RID (EID)EVENTO
OCURRIDOFECHA LIMITE ESTADO RESPONSABLE
RESPUESTAS
IMPACTO RIESGO PREVISTO
EVENTOS
NOMBRE DEL PROYECTO:
FECHA:
COMENTARIOACCIONES A REALIZAR
COMUNICACIÓN DEL RIESGO
PAGINA 2/2
EDICIÓN/VERSIÓN:
Adaptado de la Guía Norma Técnica ISO 21500 - Grupo Iberoamericano de Análisis de la Norma ISO 21500
EVENTOS
RESPUESTAS
En esta parte se ofrece registrar los eventos ocurridos, especificando el tipo de evento (que podría corresponder con categorías de riesgo) y, si como se
espera, se hallaba previsto como riesgo, se puede indicar la identidad y el nombre del riesgo correspondiente a ese evento.
Por otro lado se refleja el impacto producido (o previsto si el efecto del evento tiene retardo) sobre los objetivos del proyecto y la prioridad (si el riesgo
estaba previsto estaría valorado y clasificado) o urgencia (en el caso de que sea un evento imprevisto y requiera señalar la urgencia con la que debe
obtener respuesta, o bien porque el señalar la urgencia sea más importante que la prioridad asignada previamente).
Para cada uno de los eventos señalados en la tabla superior de la plantilla se recoge en otra tabla las acciones a realizar y su fecha límite (o acciones
realizadas si la comunicación es posterior a la fecha de ejecución), su estado (realizada, pendiente, etc.) y el responsable de que sean llevadas a cabo
(que puede corresponder con el responsable de gestión del riesgo).
(Nota: Para el caso, no deseable, de que sucedan eventos no previstos como riesgos, el campo RID no puede servir como identificador del riesgo y
puede usarse como identificador del evento (EID), y en ese caso no debe coincidir con ningún identificador de riesgo asignado, sugiriéndose que su
FECHA:
ANEXO – Referencias y conceptos
LIMITACIONES Y PUNTO DE PARTIDA EN RIESGOS
FECHA: EDICION/VERSIÓN:
EID TIPO
EIDFECHA
LIMITE ESTADO RESPONSABLE
NOMBRE DEL PROYECTO:
LIMITACIONES Y PUNTO DE PARTIDA
COMENTARIOIMPACTO SOBRE OBJETIVOSLIMITACIONES/HIPOTESIS DE PARTIDA
LIMITACIONES/HIPOTESIS DE PARTIDADECISIONES TOMADAS/ACCIONES A
REALIZAR
LIMITACIONES Y PUNTO DE PARTIDA EN RIESGOS
EDICION/VERSIÓN:
Adaptado de la Guía Norma Técnica ISO 21500- Grupo Iberoamericano de Análisis de la Norma ISO 21500
LIMITACIONES E HIPÓTESIS DE PARTIDA
EID
ANEXO – Referencias y conceptos
Como sabemos, una limitación no es un riesgo, puesto que es una circunstancia ya presente (su probabilidad de ocurrencia
es del 100%) y que nos impacta sobre los objetivos del proyecto. En muchos casos, cuando la probabilidad de ocurrencia de
un evento es cercana al 100% puede ser conveniente gestionarlo como si fuese una limitación, y suponer ya desde el
principio que va a ocurrir y prepararnos para ello.
Por otro lado, al comienzo del proyecto pueden existir unas hipótesis de partida que condicionen las decisiones iniciales y la
estrategia de planificación y ejecución a llevar a cabo, y es necesario dejar expresado lo más claramente posible cuáles son
éstas hipótesis, para verificar a lo largo del proyecto que efectivamente se cumplen y si no es así, tomar medidas correctoras
lo más pronto posible. El hecho de tenerlas documentadas es de crucial importancia cuando pasa el tiempo o por ejemplo
se producen cambios en el equipo del proyecto, pues ayuda a tener una referencia clara del estado inicial y su evolución
hasta el momento de decisión, y a determinar las acciones correctoras a llevar a cabo.
Tanto las limitaciones como las hipótesis de partida pueden hacer que se tomen decisiones o se realicen acciones que, bien
tengan una fecha límite de ejecución o una fecha de revisión de su efectividad. El campo “Estado” se refiere a la situación, en la fecha de edición del documento, de las acciones a realizar, o de
verificación de las decisiones tomadas con respecto a su fecha de ejecución/revisión.
El campo de “identificación de evento” puede utilizarse como referencia para el cruce de ambas tablas, y debe ser
coherente en su formato y numeración con el utilizado en otras tablas como por ejemplo en la “Comunicación de Eventos de
Riesgo”. No debe confundirse con el campo “RID” de identificación de riesgos.
Recommended