propuesta de fortalecimiento de la gestión de riesgos en

8

Propuesta de fortalecimiento de la gestión de riesgos en proyectos para el Centro de Educación e

Investigación para el Desarrollo Comunitario Y Rural - CEDECUR

Luisa Adriana Montaño Hurtado [email protected]

Sandra Viviana Murillo Fierro [email protected]

Trabajo de grado para optar por el título de

Especialista en Gestión Integral de Proyectos.

Asesor: Luis Fernando Cruz Caicedo - MBA, PMP, PRINCE2 Foundation

Universidad de San Buenaventura Colombia

Facultad de Ingeniería

Especialización en Gestión Integral de Proyectos

Santiago de Cali, Colombia

2017

Citar/How to cite [1]

Referencia/Reference

Estilo/Style:

IEEE (2014)

[1] L. A. Montaño Hurtado, y S. V. Murillo Fierro, “Propuesta de fortalecimiento

de la gestión de riesgos en proyectos para el Centro de Educación e

Investigación para el Desarrollo Comunitario Y Rural - CEDECUR.”, Trabajo

de gradoEspecialización en Gestión Integral de Proyectos, Universidad de San

Buenaventura Cali, Facultad de Ingenierías, 2017.

Especialización en Gestión Integral de Proyectos, Cohorte V.

Bibliotecas Universidad de San Buenaventura

Biblioteca Fray Alberto Montealegre OFM - Bogotá.

Biblioteca Fray Arturo Calle Restrepo OFM - Medellín, Bello, Armenia, Ibagué.

Departamento de Biblioteca - Cali.

Biblioteca Central Fray Antonio de Marchena – Cartagena.

Universidad de San Buenaventura Colombia

Universidad de San Buenaventura Colombia - http://www.usb.edu.co/

Bogotá - http://www.usbbog.edu.co

Medellín - http://www.usbmed.edu.co

Cali -http://www.usbcali.edu.co

Cartagena - http://www.usbctg.edu.co

Editorial Bonaventuriana - http://www.editorialbonaventuriana.usb.edu.co/

Revistas - http://revistas.usb.edu.co/

Biblioteca Digital (Repositorio)

http://bibliotecadigital.usb.edu.co

https://co.creativecommons.org/?page_id=13

https://co.creativecommons.org/?page_id=13

TABLA DE CONTENIDO

INTRODUCCIÓN ................................................................................................................... 9

1. DESCRIPCIÓN DEL PROBLEMA ........................................................................ 11

2. PREGUNTA ............................................................................................................ 13

3. OBJETIVOS ............................................................................................................ 14

3.1 OBJETIVO GENERAL ........................................................................................... 14

3.2 OBJETIVOS ESPECÍFICOS ................................................................................... 14

4. JUSTIFICACIÓN .................................................................................................... 15

5. MARCO REFERENCIAL. ...................................................................................... 16

5.1 ANTECEDENTES ................................................................................................... 16

5.1.1 METODOLOGÍA PRINCE2 ................................................................................... 16

5.1.2 NORMA ISO 31000:2009 ....................................................................................... 16

5.1.3 GUÍA TÉCNICA COLOMBIANA GTC ISO 21500:2012 ..................................... 16

5.1.4 GUÍA DE LOS FUNDAMENTOS PARA LA DIRECCIÓN DE PROYECTOS

(Guía del PMBOK) QUINTA EDICION ................................................................ 17

5.2 MARCO CONCEPTUAL ........................................................................................ 17

5.3 MARCO TEORICO ................................................................................................. 20

5.3.1 GESTION DE RIESGOS EN PROYECTOS .......................................................... 20

5.3.2 GESTIÓN DEL RIESGO SEGÚN ESTANDAR PMBOK .................................... 21

5.3.3 GESTIÓN DEL RIESGO EN PROYECTOS SEGÚN LINEAMIENTOS DE

PRINCE2 ................................................................................................................. 24

5.3.4 NORMA TECNICA ISO 31000:2009 ..................................................................... 26

5.3.5 PROCESO DE LA GESTIÓN DEL RIESGO EN PROYECTOS SEGÚN EL

ESTANDAR ISO 21500 .......................................................................................... 27

5.3.6 MODELO DE MADUREZ DE RIESGO DEL PROYECTO ................................. 28

6. METODOLOGIA DE LA INVESTIGACIÓN ....................................................... 32

7. RESULTADOS DEL PROYECTO ......................................................................... 33

7.1 TÉCNICAS Y HERRAMIENTAS SUGERIDAS PARA LA GESTION DE

RIESGOS DE PROYECTOS EN CEDECUR ........................................................ 33

7.1.1 Lluvia de ideas ......................................................................................................... 34

7.1.2 Juicio de expertos ..................................................................................................... 35

7.1.3 Estructura jerárquica de riesgos (Risk Structure Breakdown RBS)......................... 35

7.1.4 Revisiones post proyecto / Lecciones Aprendidas Información Histórica .............. 35

7.1.5 Técnicas de grupo nominal ...................................................................................... 35

7.1.6 Evaluación de Probabilidad e Impacto de los Riesgos ............................................ 35

7.1.7 Matriz de Probabilidad e Impacto ............................................................................ 36

7.2 PROCEDIMIENTO PARA LA GESTION DEL RIESGO ..................................... 36

7.3 ELEMENTOS BÁSICOS PARA CONSIDERAR SOBRE CAPACITACION EN

GESTION DEL RIESGO DE PROYECTOS AL PERSONAL DE CEDECUR .... 44

8. CONCLUSIONES ................................................................................................... 52

BIBLIOGRAFIA .................................................................................................................... 53

ANEXOS ................................................................................................................................ 55

LISTA DE TABLAS

Tabla 1. Descripción detallada del proceso de Gestión del Riesgo según lineamientos del PMI .. 22

Tabla 2. Proceso de la gestión del riesgo con PRINCE2 ............................................................... 24

Tabla 3. Modelo de madurez bg para la gestión de riesgos en proyectos. ..................................... 30

Tabla 4. Tabla de técnicas y herramientas para la Gestión de Riesgos en Proyectos .................... 33

Tabla 5. Matriz de comparación del Gestión de riesgo en proyectos según el proceso determinado

en PMBOK frente a ISO 21500: 2009, Y PRINCE2. ...................................................... 36

Tabla 6. Matriz de planificación del proyecto ................................................................................ 41

Tabla 7. Criterios para determinar el nivel de madurez de la organización ................................... 44

Tabla 8. Resultados de la Encuesta para determinar el nivel de madurez según el personal de

CEDECUR ....................................................................................................................... 46

Tabla 9. Plan de capacitación en Gestión de Riesgos en Proyectos ............................................... 50

LISTA DE GRÁFICAS

Gráfico 1. Proceso de la Gestión de Riesgo con PRINCE2 ........................................................... 25

Gráfico 2. Proceso de la Gestión del Riesgo según Norma ISO 31000:2009 ................................ 26

Gráfico 3. Procesos definidos en la ISO 21500 para la gestión de riesgos en proyectos ............... 28

Gráfico 4. Modelo de Madurez en Riesgos en Proyectos .............................................................. 29

Gráfico 5. Estructura de desglose del trabajo (EDT) ..................................................................... 43

Gráfico 6. Resultados del diagnóstico grado de madurez en la gestión del riesgo en la

organización. .................................................................................................................. 48

RESUMEN

La Gestión de Riesgos es una de las disciplinas que más impacto tienen en el éxito (o fracaso) de

la Gerencia de un proyecto, por consiguiente, el propósito de este trabajo finales lograr identificar

las técnicas más apropiadas para gestión del riesgo en la planeación y seguimiento de proyectos

en elCentro de Investigación y Educación para el desarrollo Rural y Urbano – CEDECUR- en la

ciudad de Cali-Colombia.

Este trabajo se desarrolla metodológicamente a través la investigación cualitativa de tipo

descriptivo en el cual se consultó las diferentes técnicas utilizadas y sugeridas por diferentes

autores nacionales e internacionales respecto al tema; la recolección de la información

especializada obtenida de la base de datos de la biblioteca de la Universidad San Buenaventura, y

literatura propia de la gestión del riesgo.

Los resultados muestran que el proceso de la Gestión de riesgos es fundamental para la

protección, fortalecimiento, desarrollo y mejora sobre la gestión estratégica y táctica de

CEDECUR.

Palabras claves: riesgo, gestión del riesgo, técnicas y herramientas, proceso de gestión de

riesgos, capacitación.

ABSTRACT

Risk Management is one of the disciplines that have the most impact on the success (or failure)

of Project Management, though, the purpose of this final work is to identify the most appropriate

techniques for risk management in planning and monitoring of projects in the Center for

Research and Education for Rural and Urban Development - CEDECUR - in Cali, Colombia.

This work is developed methodologically through the qualitative and descriptiveresearch, the

different techniques used and suggested were consulted by different national and international

authors on the subject; the collection of specialized information was obtained from the San

Buenaventura University library database, and risk management literature.

The results show that the risk management process is fundamental for the protection,

strengthening, development and improvement on the strategic and tactical management of

CEDECUR.

Key words: risk, risk management, techniques and tools, risksmanagement process, training

9

INTRODUCCIÓN

Este documento propone metodológicamente el fortalecimiento de la organización sin ánimo de

lucro CEDECUR desde la gestión de riesgos en los proyectos.Para ello, se determinan

inicialmente las características esenciales determinándose como resultado, las herramientas más

adecuadas para esta organización, entre ellas son especificados un procedimiento con sus

correspondientes plantillas que instrumentan la gestión del riesgo y se establece la mejora de las

competencias del personal.

Esta investigación parte de la necesidad de la implementación de mecanismos de fortalecimiento

y desarrollo organizacional, la dirección actual de este ente de la sociedad civil ha manifestado la

falta de planificación en la gestión de los proyectos, identificando esta brecha que imposibilita el

desarrollo del Centro. Adicionalmente este tema está asociado con el proceso de transición a la

nueva versión de las Normas ISO 9001, para lo cual la versión 2015 abre las posibilidades de

disminuir las amenazas y aumentar las oportunidades en este cierre de brechas.

Los anteriores son algunas de las razones beneficiosas por las cuales se desarrolla esta

investigación, por lo que se considera necesario estudiar los distintos estándares que permiten el

desarrollo de los objetivos planteados en esta investigación, tales como:

El PMI (Project Management Institute), a través de su Guía PMBOK 5ª edición, plantea un grupo

de procesos para la gestión de los riesgos; los cuales corresponden a identificar, evaluar, tratar y

planificar la respuesta a riesgos para lo cual se requieren unos insumos o entradas, para establecer

así las salidas. (Project Management Institute, 2013).

La norma ISO 21500, Directrices para la Dirección y Gestión de Proyectos, de una manera

similar al PMBOK 5ª Edición, propone una guía para la dirección de proyectos, en donde

establece los siguientes procesos: identificar los riesgos, evaluar los riesgos, tratar los riesgos y

controlar los riesgos, (International Standard Organization, 2012).

10

La Norma ISO 31000 (Gestión del Riesgo: Principios y Directrices); tiene como principio ayudar

a gestionar el riesgo con efectividad. La norma establece un proceso para la gestión del riesgo, la

cual se compone de las siguientes actividades: establecer el contexto, identificar el riesgo,

analizar los riesgos, evaluar los riesgos y tratar los riesgos; todas estas actividades se encuentran

en constante seguimiento y revisión, y de igual manera se comunican y se consultan,

(International Standard Organization, 2009).

Toda la literatura mencionada y consultada anteriormente se convertirá en una base de datos

digital, de donde se sustraerá la información concerniente a la Gestión del Riesgo en la ejecución

de proyectos para así lograr identificar las técnicas existentes para la gestión del mismo; esta

información permitirá crear una encuesta dirigida a gerentes de proyecto la cual busca dar a

conocer el uso de las herramientas e identificar aquellas no identificadas en la literatura

consultada y que en ocasiones son diseñadas e implementadas en las empresas por los mismos

gerentes.

Por otra parte, este documento se desarrolla como parte del trabajo de final para obtener el título

de especialista en Gestión Integral de Proyectos de la Universidad San Buenaventura Cali.

11

1. DESCRIPCIÓN DEL PROBLEMA

El Centro de Educación e Investigación para el Desarrollo Comunitario Urbano y Rural –

CEDECUR es una organización sin ánimo de lucro que nace en el año de 1982 en la ciudad de

Santiago de Cali, la forma de prestar sus servicios a la comunidad es a través de proyectos que

permitan disminuir las desigualdades en la sociedad colombiana, con el apoyo de entidades de

cooperación internacional y entidades gubernamentales.

Para el desarrollo de sus intervenciones CEDECUR, cuenta con un portafolio de productos, que

son llamadas áreas de desarrollo las cuales son:

Área Artística y Cultural

Área de Desarrollo Rural

Área de Gestión y Educación Ambiental

Área de Generación de Ingresos

Área Social.

A través de estas áreas es donde CEDECUR ha desarrollado su densa trayectoria en la ejecución

de proyectos, por lo que es conocida como una entidad con experiencia y compromiso en el

desarrollo de sus actividades.

En los últimos años, la gestión de proyectos se ha dinamizado con normas y estándares cuyo

objetivo es hacer esta tarea más eficiente esta tarea. Uno de los temas que sale a relucir es la

gestión de riesgos, donde la última actualización de la ISO 9001: 2008 que se realizó en 2015 y la

organización cuenta con esta certificación, hace mención a esta área, se toma como referencia la

norma ISO 31000: 2011, resaltando la importancia de este proceso en el liderazgo y

especialmente en la planificación. Por ello surge la necesidad de diseñar la gestión del riesgo del

proyecto que le permitan alinear sus operaciones con estas actualizaciones, además permita

aumentar la probabilidad de éxito en los proyectos que ayuda a fortalecer su imagen con los

involucrados identificados.

12

Para mencionar algunos problemas recurrentes en los proyectos por la falta de gestión de

riesgos:

Sobrecostos por aplicación de plan de contingencias sin planificarlo.

Sobrecostos del personal,

Incumplimientos y/o atrasos de entrega sobre productos.

Sobre carga del personal, mala imagen con partes interesadas.

Adicionalmente el personal de CEDECUR, no cuenta con la experiencia ni el conocimiento sobre

técnicas y herramientas para la gestión del riesgo en proyectos.

13

2. PREGUNTA

Por lo anterior se deriva la siguiente pregunta:

¿Cuáles son los componentes necesarios para el fortalecimiento de la gestión de riesgos en

proyectos en el Centro de Formación e Investigación para el desarrollo urbano y rural –

CEDECUR?

14

3. OBJETIVOS

3.1 OBJETIVO GENERAL

Fortalecer la gestión de riesgos en proyectos en la organización Centro de Formación e

investigación para el Desarrollo Urbano y Rural-CEDECUR.

3.2 OBJETIVOS ESPECÍFICOS

Determinar las herramientas más adecuadas para la gestión del riesgo en proyectos de la

organización CEDECUR

Establecer los procedimientos e instrumentos para la gestión del riesgo de la organización

CEDECUR.

Determinar un plan de capacitación para mejorar las competencias en la gestión de riesgos

en proyectos al personal de CEDECUR.

15

4. JUSTIFICACIÓN

Esta propuesta de fortalecimiento de la gestión del riesgo en proyectos para el centro de

educación e investigación para el desarrollo comunitario y rural-CEDECUR, responde a una

necesidad que tiene la organización actualmente; debido a la transición a la Norma Técnica

Colombiana ISO 9001:2015, la cual invita a la gestión del riesgo; a pesar de que la norma no

establece la estructuración de un proceso de gestión del riesgo; la dirección de esta ONG, ha

determinado la gestión del riesgo como parte fundamental para disminuir y controlar los riesgos

de su organización en los servicios prestados.

Para ello CEDECUR necesita identificar y tratar el riesgo en toda la organización, mejorar en la

identificación de oportunidades y amenazas, cumplir con los requerimientos legales, mejorar la

confianza de los grupos de interés, mejorar la eficacia y eficiencia operativa, minimizar las

pérdidas, mejorar la capacidad de respuesta, fortalecer las relaciones comerciales con los clientes;

es parte esencial para CEDECUR, ya que es una organizacional que 100% trabaja por proyectos.

Por lo anterior esta ONG se beneficiará con una caja de herramientas que se adecuan a su modelo

de gestión, y contribuirá a su vez con la documentación necesaria que describe el paso a paso de

la gestión de riesgos para los proyectos, a través de un procedimiento con sus respectivas

plantillas para ser implementadas; y un plan de capacitación para mejorar las competencias del

personal involucrado en los proyectos; facilitando la implementación de la gestión del riesgo en

proyectos.

16

5. MARCO REFERENCIAL.

5.1 ANTECEDENTES

5.1.1 METODOLOGÍA PRINCE2

PRINCE2 (Project in Controlled Environments) es una metodología de gestión de proyectos que

propone la administración, control y organización de cualquier tipo de proyecto enfocándose en

los productos o entregables y en las características de gobernabilidad, determinando si es posible

continuar o gestionar cambios al proyecto en cada una de sus fases. La metodología de PRINCE2

debe ser justificada mediante la viabilidad de un Business Case (documento donde se identifican

los supuestos que pueden afectar el resultado deseado en el proyecto) durante todo el proyecto

(Oficina Gubernamental del Reino Unido, 2009).

5.1.2 NORMA ISO 31000:2009

En esta norma técnica provee de principios y directrices genéricas a considerarse en la gestión del

riesgo en las organizaciones, definiendo esta última como las actividades coordinadas para dirigir

y controlar una organización con respecto al riesgo. (ICONTEC, 2009). Básicamente esta norma

propone a las organizaciones de todo tipo hacer un adecuado proceso de la gestión del riesgo,

para cualquiera de sus áreas de operación, estratégica, procesos, proyectos, entre otros.

Esta norma se adapta a cualquier tipo de riesgo, sean operativos, estratégicos, de infraestructura,

financieros del proyecto o de la organización, además de generar los principios para adecuar la

gestión del riesgo a la Norma Técnica ISO 9001:2015 en la cual se encuentra certificada la

institución (ICONTEC, 2009).

5.1.3 GUÍA TÉCNICA COLOMBIANA GTC ISO 21500:2012

La finalidad de esta norma es proporcionar una descripción detallada de las buenas prácticas en

dirección y gestión de proyectos, de esta manera, contar con un estándar que sea aplicable a

17

cualquier organización, dirigida a patrocinadores, altos directivos, directores de proyectos,

equipos de dirección de proyectos, miembros de equipos de proyectos, basadas en las practicas

propuestas en la guía del PMBOK (Grupo Iberoamericano de Análisis de la Norma ISO 21500,

2012).

5.1.4 GUÍA DE LOS FUNDAMENTOS PARA LA DIRECCIÓN DE PROYECTOS (Guía

del PMBOK) QUINTA EDICION

La gestión del riesgo es importante, pues este ayuda a identificar aquellos factores que afectan al

proyecto u organización, para establecer los planes de acción contra las afectaciones negativas

que puedan generar sobre los objetivos u potencializar las oportunidades en caso tal de que el

riesgo sea positivo, es necesario identificar, analizar, planificar la respuesta al riesgo y como

controlarlos en caso de que se materialicen(Project Management Institute, 2013).

La importancia de controlar los riesgos es que estos impactan de manera negativa en la línea base

del proyecto, como consecuencia restaría eficiencia en la gestión del alcance, presupuesto y la

calidad en los procesos.

5.2 MARCO CONCEPTUAL

Riesgo

El riesgo de un proyecto es un evento o condición incierta que, de producirse, tiene un efecto

positivo o negativo en uno o más de los objetivos del proyecto (Project Management Institute,

2013)

Tolerancia al riesgo

Es el grado, cantidad o volumen de riesgo que podrá resistir una organización o individuo

(Project Management Institute, 2013)

18

Umbral del riesgo

Medida del nivel de incertidumbre o el nivel de impacto en el que un interesado pueda tener

particular interés. Por debajo de ese umbral de riesgo, la organización aceptará el riesgo. Por

encima de ese umbral de riesgo, la organización no tolerará el riesgo (Project Management

Institute, 2013).

Categorías de riesgos

Son aquellas que proporcionan un medio para agrupar las causas potenciales de riesgo (Project

Management Institute, 2013)

Estructura Analítica Del Proyecto (EAP)

Es un esquema de la alternativa de solución más viable expresada en sus rasgos más generales a

la manera de un árbol de objetivos y actividades (Ortegón , Pacheco , & Prieto)

Estructura de desglose de trabajo (EDT)

Una descomposición jerárquica del alcance total del trabajo a ser realizado por el equipo del

proyecto para cumplir con los objetivos del proyecto y crear los entregables requeridos (Project

Management Institute, 2013).

Plan de Gestión de riesgos

Este es un componente del plan para la dirección del proyecto y describe el modo en que se

estructurarán y se llevarán a cabo las actividades de gestión de riesgos (Project Management

Institute, 2013).

19

Juicio de expertos

Con el fin de asegurar una definición exhaustiva del plan de gestión de los riesgos se debe

recabar el juicio y la experiencia de grupos o individuos con capacitación o conocimientos

especializados en el tema en cuestión (Project Management Institute, 2013)

Reuniones

Los participantes de estas reuniones pueden ser, entre otros, el director del proyecto, miembros

del equipo del proyecto e interesados seleccionados, cualquier persona de la organización con la

responsabilidad de gestionar la planificación y ejecución de actividades relacionadas con los

riesgos, así como otras personas, según sea necesario. (Project Management Institute, 2013).

Técnicas analíticas

Estas técnicas analíticas se utilizan para entender y definir el contexto general de la gestión de

riesgos del proyecto. El contexto de la gestión de riesgos es una combinación entre las actitudes

de los interesados frente al riesgo y la exposición al riesgo estratégico de un determinado

proyecto sobre la base del contexto general del proyecto. (Project Management Institute, 2013).

Registro de riesgos

Un documento en el cual se registran los resultados del análisis de riesgos y de la planificación de

la respuesta a los riesgos (Project Management Institute, 2013).

Evitar riesgo

Es una estrategia de respuesta a los riesgos según la cual el equipo del proyecto actúa para

eliminar la amenaza o para proteger al proyecto de su impacto(Project Management Institute,

2013).

20

Transferir riesgo

Es una estrategia de respuesta a los riesgos según la cual el equipo del proyecto traslada el

impacto de una amenaza a un tercero, junto con la responsabilidad de la respuesta(Project

Management Institute, 2013)

Aceptar riesgo

Es una estrategia de respuesta a los riesgos según la cual el equipo del proyecto decide reconocer

el riesgo y no tomar ninguna medida a menos que el riesgo se ocurra(Project Management

Institute, 2013).

Mitigar riesgo

Es una estrategia de respuesta a los riesgos según la cual el equipo del proyecto actúa para reducir

la probabilidad de ocurrencia o impacto de un riesgo(Project Management Institute, 2013).

5.3 MARCO TEORICO

El riesgo es un evento o combinación de eventos que podrían o no ocurrir, pero de suceder

tendrían un efecto en los resultados de los objetivos del proyecto (Bentley, 2015).

5.3.1 GESTION DE RIESGOS EN PROYECTOS

La Gestión del Riesgo se reconoce como una parte integral de las buenas prácticas de gestión. Es

un proceso iterativo compuesto por una serie de pasos que, si se ejecutan en secuencia, permiten

la mejora continua en la toma de decisiones (Project Management Institute, 2013). Los objetivos

de la gestión de los riesgos del proyecto consisten en aumentar la probabilidad y el impacto de

21

los eventos positivos, y disminuir la probabilidad y el impacto de los eventos negativos en el

proyecto(Project Management Institute, 2013), para ello se identifica el proceso de la gestión del

riesgo según PMBOK.

La gestión del riesgo se refiere a la aplicación sistemática de procedimientos a la tarea de

identificar y evaluar los riesgos y a la posterior planificación e implementación de la respuesta al

riesgo. Esto proporciona un entorno disciplinado para la toma de decisiones. La gestión del riesgo

se aplica desde una perspectiva estratégica, operativa del programa y del proyecto, los

procedimientos deben ser adaptados a cada una de ellas. (OGC, 2009).

Para la adecuada gestión del riesgo, se proponen integrar los procedimientos con las herramientas

y técnicas analíticas, para que sus resultados produzcan los efectos esperados. Las herramientas

se consideran como algo tangible, como una plantilla o un programa de software, utilizado al

realizar una actividad para producir un producto o resultado (Project Management Institute,

2013), las técnicas analíticas como diversas técnicas utilizadas para evaluar, analizar o

pronosticar resultados potenciales en base a posibles modificaciones de variables del proyecto o

variables ambientales y sus relaciones con otras variables (Project Management Institute, 2013).

5.3.2 GESTIÓN DEL RIESGO SEGÚN ESTANDAR PMBOK

Uno de los propósitos del PMBOK es dar a conocer estándares apropiados para la adecuada

dirección de proyectos, la cual consiste en aplicar conocimientos, habilidades, herramientas y

técnicas, promoviendo las buenas prácticas para la gestión de proyecto. Para PMBOK, la gestión

del riesgo es un área de conocimiento que implica los procesos de: Planificar el riesgo, Identificar

los riesgos, Realizar el análisis del proceso cualitativo, Realizar el análisis cuantitativo de

riesgos, Planificar la respuesta al riesgo, Realizar el análisis cuantitativo de riesgos, Planificar la

respuesta al riesgo y Controlar los riesgos. A continuación, en la siguiente tabla se expone los

lineamientos de la gestión del riesgo según los lineamientos del PMBOK detallando las

actividades que deben realizarse en cada uno de los procesos:

22

Tabla 1. Descripción detallada del proceso de Gestión del Riesgo según lineamientos del PMI

G

RU

PO

DE

PR

OC

ES

O

PROCESO CONCEPTO ENTRADAS HERRAMIENTAS SALIDAS P

LA

NIF

ICA

CIÓ

N

1. Planificar

el riesgo

En este proceso define cómo realizar

las actividades de

gestión de riesgos de un proyecto.

1. Plan para la dirección del proyecto

2. Acta de constitución

del proyecto 3. Registro de

interesados

4. Factores ambientales de la empresa

5. Activos de los

procesos de la organización

1. Técnicas analíticas

2. Juicio de expertos

3. Reuniones

1. Plan de gestión de

los riesgos

PL

AN

IFIC

AC

IÓN

Identificar

los riesgos

El proceso de

determinar los riesgos que pueden afectar al

proyecto y

documentar sus características.

1 Plan de gestión de los

riesgos 2. Plan de gestión de los

costos

3. Plan de gestión del

cronograma

4. Plan de gestión de la

calidad 5. Plan de gestión de los

recursos humanos

6. Línea base del alcance

Estimación de costos de las actividades

7. Estimación de la

duración de las

actividades 8. Registro de

interesados

9. Documentos del

proyecto

10. Documentos de las

adquisiciones 11. Factores ambientales

de la empresa

12. Activos de los


1. Revisiones a la

documentación

2. Técnicas de

recopilación de

información

3. Análisis con lista

de verificación

4. Análisis de

supuestos Técnicas de

diagramación

5. Análisis FODA

6. Juicio de expertos

1. Registro de

riesgos

23

PL

AN

IFIC

AC

IÓN

Realizar el

análisis

cualitativo

de riesgos

El proceso de priorizar

riesgos para análisis o acción posterior,

evaluando y

combinando la probabilidad de

ocurrencia e impacto

de dichos riesgos.

1. Plan de gestión de los

riesgos

2. Línea base del alcance

Registro de riesgos 3. Factores ambientales

de la empresa

4. Activos de los


1. Evaluación de

probabilidad e

impacto de los riesgos

2. Matriz de

probabilidad e

impacto. 3. Evaluación de la

calidad de los

datos sobre los riesgos

4. Categorización

de riesgos

5. Evaluación de la

urgencia de los riesgos

6. Juicio de

expertos

1. Actualizaciones a

los documentos

del proyecto

PL

AN

IFIC

AC

IÓN

Realizar el

análisis

cuantitativo

de riesgos

El proceso de analizar numéricamente el

efecto de los riesgos

identificados sobre los objetivos generales

del proyecto.


riesgos


costos


cronograma

4. Registro de riesgos

5. Factores ambientales

de la empresa 6. Activos de los

procesos de la

organización

1. Técnicas de recopilación y

representación de

datos

2. Técnicas de análisis

cuantitativo de

riesgos y de modelado

3. Juicio de

expertos

1. Actualizaciones a los documentos

del proyecto

PL

AN

IFIC

AC

IÓN

Planificar la

respuesta al

riesgo

Se determinan las

estrategias para tratar

los riesgos identificados y

evaluados, así como

determinar el umbral del riesgo


riesgo


1. Estrategias para

riesgos

negativos o amenazas

2. Estrategias para

riesgos

positivos u oportunidades

3. Estrategias de

respuesta a

contingencias

4. Juicio de

expertos

1. Actualizaciones al

plan para la

dirección del proyecto


los documentos del proyecto

24

Fuente: Fundamentos para la Dirección de Proyectos (Guía PMBOK). Quinta Edición

5.3.3 GESTIÓN DEL RIESGO EN PROYECTOS SEGÚN LINEAMIENTOS DE

PRINCE2

Desde la metodología de PRINCE2, el área de gestión del riesgo (Oficina Gubernamental del

Reino Unido, 2009), está conformada por los procesos Identificar, Evaluar, Planificar,

Implementar y Comunicar, lo cual se puede evidenciar en la tabla 2:

Tabla 2. Proceso de la gestión del riesgo con PRINCE2

PROCESO DEFINICION

Identificar Se deben reconocer las oportunidades y amenazas que podrían afectar el logro de los

objetivos del proyecto, (Oficina Gubernamental del Reino Unido, 2009)

Evaluar Se deben hacer una estimación y evaluación del riesgo, determinando sus

probabilidades, el impacto y la proximidad en el tiempo del riesgo u oportunidad.

Planificar

Identificar y evaluar una serie de opciones para responder a amenazas y

oportunidades (Oficina Gubernamental del Reino Unido, 2009).

Implementar En este paso se busca garantizar que las estrategias al riesgo sean implementadas

MO

NIT

OR

EO

Y C

ON

TR

OL

Controlar

los riesgos

El proceso de

implementar los planes de respuesta a

los riesgos,

dar seguimiento a los riesgos identificados,

monitorear los riesgos

residuales, identificar nuevos riesgos y

evaluar la efectividad

del proceso de gestión de los riesgos a través

del proyecto.

1. Plan para la dirección

del proyecto


3. Datos de desempeño

del trabajo 4. Informes de

desempeño del

trabajo

1. Reevaluación de

los riesgos

2. Auditorías de los riesgos

3. Análisis de

variación y de

tendencias

4. Medición del desempeño

técnico

5. Análisis de

reservas

6. Reuniones

6. Información de

desempeño del trabajo

Solicitudes de

cambio 7. Actualizaciones al

plan para la

dirección del proyecto


los documentos del proyecto


los activos de los procesos de la

organización

25

Comunicar Proponiendo que este proceso debe ser iterativo y las actividades de comunicar debe

ser transversal en cada uno de los procesos, debido a que los riesgos se comunican

como parte de los siguientes productos de la gestión (informes de puntos de control,

informes de desarrollo, informes al final de la fase, informes al final del proyecto e

informes sobre las lecciones) (Oficina Gubernamental del Reino Unido, 2009).

Fuente: Managing Succesful Project with PRINCE2

En el gráfico 1 se describe el proceso de gestión del riesgo según PRINCE2 y como el proceso de

comunicar el riesgo se propone gestionar de forma trasversal a los demás procesos:

Gráfico 1. Proceso de la Gestión de Riesgo con PRINCE2

Fuente: Managing Successful Project with PRINCE2

26

5.3.4 NORMATECNICA ISO 31000:2009

Para la gestión de riesgos la Norma Técnica NTC ISO 31000:2009 proporciona principios y

directrices para la gestión de riesgos en el nivel estratégico y operativo de las organizaciones, sin

embargo, se puede ejercer su aplicabilidad en los proyectos. Esta norma considera tres elementos

claves para la gestión del riesgo:

En el siguiente gráfico se muestra la propuesta de la Norma ISO 31000 para la gestión del riesgo:

Gráfico 2. Proceso de la Gestión del Riesgo según Norma ISO 31000:2009

Fuente: Norma ISO 31000:2009

27

Sin embargo, la clave de la adecuada gestión de este proceso se centra en el establecimiento del

contexto, debido a que es aquí dónde se encuentran los eventos que deben ser tratados y además

proporciona sus criterios de evaluación (ICONTEC, 2009).

Para la gestión de riesgos la Norma Técnica NTC ISO 31000:2009 proporciona principios y

directrices para la gestión de riesgos en el nivel estratégico y operativo de las organizaciones, sin

embargo, se puede ejercer su aplicabilidad en los proyectos. Esta norma considera tres elementos

claves para la gestión del riesgo:

5.3.5 PROCESO DE LA GESTIÓN DEL RIESGO EN PROYECTOS SEGÚN EL

ESTANDAR ISO 21500

Los objetivos de la gestión de riesgos en los proyectos es incrementar la probabilidad e impacto

de las oportunidades y disminuir la probabilidad e impacto de las amenazas. La gestión de riesgos

no es una actividad opcional, es esencial para una exitosa gestión de proyectos (Grupo

Iberoamericano de Análisis de la Norma ISO 21500, 2012).

Las buenas prácticas sugieren que esta gestión de los riesgos debe involucrar no solo a los

miembros de los equipos de proyecto, sino que debe incluir al patrocinador y a las partes

interesadas que se considere necesario (Grupo Iberoamericano de Análisis de la Norma ISO

21500, 2012)

Los procesos que se desarrollan para la gestión del riesgo para este estándar son:

a) Identificar el riesgo

b) Evaluación del riesgo

c) Tratar el riesgo

d) Controlar los riesgos

Es importante destacar el carácter iterativo de la gestión del riesgo, representado por: - Flujo de

vuelta del proceso “Controlar los riesgos “hacia los procesos “Identificar riesgos “y “Tratar los

riesgos“- Flujo de vuelta del proceso “Tratar los riesgos “ hacia los procesos “Identificar riesgos

28

“ y “Evaluar los riegos“(Grupo Iberoamericano de Análisis de la Norma ISO 21500, 2012), tal

como se muestra en el gráfico 3.

Gráfico 3. Procesos definidos en la ISO 21500 para la gestión de riesgos en proyectos

Fuente: Grupo Iberoamericano de Análisis de la Norma Técnica ISO 21500

5.3.6 MODELO DE MADUREZ DE RIESGO DEL PROYECTO

Es una herramienta diseñada para evaluar la capacidad de administrar el riesgo (Hopkinson,

2017), este consiste en establecer niveles para evaluarse y a través de esta información identificar

acciones de mejora. David Hillson fue el primero en desarrollar el modelo de madurez de riesgos

en proyectos:

5.3.2.1 Ingenuo: la administración de riesgos en proyectos no ha iniciado.

5.3.2.2 Novato: aplican procesos en la gestión del riesgo, sin embargo, no presentan resultados

significativos en el proyecto, es decir se ejerce una gestión del riesgo de manera

experimental.

29

5.3.2.3 Normal: la administración de riesgos de proyectos es formalizada e implementada

sistemáticamente, respondiendo de manera significativa ante los eventos que pueden

impactar en el proyecto.

5.3.2.4 Natural: la incertidumbre que afecta los objetivos del proyecto es manejados de manera

sistemática dentro del contexto de la organización, haciendo parte de la cultura dentro

de los procesos del mismo.

Gráfico 4. Modelo de Madurez en Riesgos en Proyectos

Fuente: (Hopkinson, 2017)

El modelo de madurez del riesgo está basado en perspectiva de las siguientes seis estructuras

(Hopkinson, 2017):

a) Interesados del proyecto

b) Identificación del riesgo

c) Análisis del riesgo

d) Respuesta al riesgo

e) Administración del proyecto

f) Cultura de la administración del riesgo.

30

Por otro lado, el modelo de madurez bg (Buchtik Global) permite evaluar en qué nivel de

madurez está una organización en su gestión de riesgos de proyectos y así establecer áreas de

mejora (Buchtik, 2012).

El modelo de madurez bg establece cuatro niveles de madurez y nueve atributos a evaluar como

se muestra en la siguiente tabla:

Tabla 3. Modelo de madurez bg para la gestión de riesgos en proyectos.

ATRIBUTOS REACTIVO BÁSICO PROYECTOS ORGANIZACIÓN

Capacitación

Conocimiento

en gestión de

riesgos

No hay o

depende del

individuo

Se planifica

aisladamente

algunos directores

de proyecto de

riesgo se

capacitan

Se establecen

cursos

obligatorios para

todos los gerentes

de proyectos y de

riesgos. Hay

elecciones de

riesgos en

algunos

proyectos

La capacitación se

expande a todos los

integrantes de

equipos de

proyecto, y se

incorpora una

versión básica para

ejecutivos. Base de

datos central y

compartida de

lecciones.

Alcance de la

gestión de

riesgos

No hay

involucramiento

Involucra a

algunos equipos

de proyectos de la

organización

Involucra a los

interesados de

ciertos proyectos

de la

organización

Involucra a la

organización y se

extiende a los

clientes y a sus

proveedores

Enfoque a la

gestión de

riesgos

Totalmente

reactiva

Se comienza a

definir y/o a

adoptar la

terminología a

usar

Parcialmente

provocativa. Se

enfoca en

amenazas y

comienza a

identificar

oportunidades.

Totalmente

proactiva. Se

enfoca en las

amenazas y

oportunidades.

Terminología

de gestión de

riesgos en

proyectos

No existe Se comienza a

definir y/o

adoptar la

terminología a

usar

Esta

estandarizada en

algunos

proyectos

Es común y se usa

en todos los

proyectos de la

organización.

Uso de

plantillas y

herramientas

No hay Hay plantillas

básicas y

herramientas en

uso. No hay

software.

Hay plantillas

básicas

estandarizadas en

algunos

proyectos. Se

comienzan a

utilizar métricas

Plantillas definidas

de uso obligatorio

en todos los

proyectos dela

organización. Se

incorporan

plantillas más

31

avanzadas. Se

definen

herramientas

obligatorias.

Cultura de

gestión de

riesgos y

recursos

No hay cultura

en gestión del

riesgo, no se

conoce ni

reconocen sus

beneficios.

Se comienzan a

conocer sus

beneficios, pero a

un se le ve como

un costo, no como

una inversión. No

hay recursos

dedicados a la

gestión de riesgos

Se entienden los

beneficios a nivel

de los directores

de proyectos,

gerentes

funcionales.

Se entiende y se

apoya en todos los

niveles de la

organización. El

apoyo incluye el

reconocimiento

público y los

recursos humanos y

financieros

necesarios.

Estándares de

gestión de

riesgos en

proyectos

No hay procesos

formales ni

estandarizados.

Cada persona usa

el estándar que

quiere, nadie lo

exige.

Están definidos

genéricamente, su

uso depende de

que los individuos

lo quieran usar.

Aún no son

obligatorios.

Están adaptados a

proyectos

particulares.

Algunos

proyectos lo

usan. No hay una

aplicación

consistente.

Están adaptados a

los proyectos de

toda la

organización.

Todos los proyectos

lo usan

consistentemente.

Se exige a los

proveedores, de ser

necesario incorpora

el análisis

numérico.

Repositorio

central de

riesgos

No existe un

repositorio.

Cada uno tiene

su registro de

riesgos aislado

Los registros de

riesgos se

guardan en un

lugar central, pero

están en archivos

separados.

El registro de

riesgos está en un

lugar central

donde se accede

según

administración de

seguridad.

Se crea una base

central de riesgos

comunes y típicos

por tipo de

proyecto, por

categoría y otros

filtros, donde se le

puede consultar

online para agilizar

la identificación de

riesgos y

aprovechar el

conocimiento

pasado.

Fuente: (Buchtik, 2012)

El propósito de analizar modelos de madurez en la gestión de riesgo de proyectos en este trabajo

es contar con herramientas que permitan realizar un diagnóstico para identificar el grado de

conocimiento y experiencia de la organización en la gestión del riesgo de proyectos y determinar

el plan de capacitación para la organización.

32

6. METODOLOGIA DE LA INVESTIGACIÓN

El tipo de metodología investigativa para el trabajo es de carácter descriptivo, donde se procede a

estudiar las distintas teorías en gestión de riesgos en proyectos, el análisis de las normas técnicas

relacionadas en la gestión del riesgo en proyectos, con el fin de identificar las herramientas y

procedimientos que permitan mejorar la GRP en la ONG CEDECUR. También se realizan

evaluaciones internas a la organización y encuestas que permiten elaborar un diagnóstico de la

organización.

33

7. RESULTADOS DEL PROYECTO

7.1 TÉCNICAS Y HERRAMIENTAS SUGERIDAS PARA LA GESTION DEL

RIESGO DE PROYECTO EN CEDECUR

Según la investigación realizada se logran identificar las distintas técnicas y herramientas para la

gestión de riesgos en proyectos según las metodologías PMBOK 5TA edición, ISO 21500:2012 y

PRINCE2.Las técnicas identificadas que permitirán elaborar el ejercicio de establecer la gestión

de riesgos en proyectos de CEDECUR se describen a continuación:

Tabla 4. Tabla de técnicas y herramientas para la Gestión de Riesgos en Proyectos

TÉCNICAS Y

HERRAMIENTAS

PMBOK PRINCE2 ISO

21500:2012

ISO

31010

Análisis causa – raíz x x x

Análisis DAFO x x x

Árbol de decisión x x x x

Análisis de Árbol de Fallos y

Errores

x x

Análisis de reserva x x

Conocimiento sobre la industria x x

Cuestionario x x

Simulación Monte Carlo x x x

Diagramas causa – efecto o de

espina de pez

x x

Diagramas de influencia x x

Entrevistas x x x

Estructura de desglose de riesgos x x x x

Evaluación de Probabilidad e

Impacto de los Riesgos

x x

Juicio de expertos x x

Lista de posibles riesgos x

Lista de riesgos x x x x

34

Listas de control x x

Listas indicadoras x x

Lluvia de ideas x x x x

Matriz de probabilidad e impacto x x

Reevaluación del riesgo x x

Reuniones x x x

Revisión de documentos x x

Revisiones post proyecto /

Lecciones Aprendidas

Información Histórica

x x x

Simulación de Montecarlo x x

Técnica del grupo nominal x x

Técnica Delphi x x x x

Técnicas de estimación de la

probabilidad y el impacto

x x

Elaboración propia.

Como se hace referencia en el marco teórico la norma técnica ISO 31000, no identifica

herramientas para la gestión del riesgo, ya que esta norma se encarga de brindar principios y

directrices en la gestión del riesgo en cualquier tipo de organización, las técnicas relacionadas se

identifican en la Norma ISO 31010.

Para la organización CEDECUR, no solo es importante determinar los riesgos negativos o

amenazas que se pueden presentar en el proyecto, sino también identificar las oportunidades que

estos puedan generar catalogándolos como riesgos positivos u oportunidades. Por lo tanto, se

establece el uso de las siguientes herramientas y técnicas para la gestión del riesgo en proyectos

para las áreas de desarrollo:

7.1.1 Lluvia de ideas

El objetivo de la tormenta de ideas es obtener una lista completa de los riesgos del proyecto. Por

lo general, el equipo del proyecto efectúa tormentas de ideas, a menudo con un grupo

35

multidisciplinario de expertos que no forman parte del equipo (Project Management Institute,

2013).

7.1.2 Juicio de expertos

Debido a la capacidad y experiencia que estos tienen permitirán obtener otros puntos de vista que

permiten identificar otros tipos de riesgos.

7.1.3 Estructura jerárquica de riesgos (Risk Structure Breakdown RBS)

Es una distribución jerárquica de las potenciales fuentes de riesgo en un proyecto. Una

organización puede desarrollar una RBS genérica para todos los proyectos o un proyecto puede

usar una RBS específica (Grupo Iberoamericano de Análisis de la Norma ISO 21500, 2012)

7.1.4 Revisiones post proyecto / Lecciones Aprendidas Información Histórica

Esta herramienta se define como la información relevante para los riesgos del proyecto. Se

pueden obtener revisando las bases de datos de los riesgos que han ocurrido en situaciones

similares (Grupo Iberoamericano de Análisis de la Norma ISO 21500, 2012).

7.1.5 Técnicas de grupo nominal

Es una adaptación de la lluvia de ideas donde los participantes comparten y discuten todos los

temas antes de la evaluación en la cual cada participante tiene voto (Grupo Iberoamericano de

Análisis de la Norma ISO 21500, 2012).

7.1.6 Evaluación de Probabilidad e Impacto de los Riesgos

36

La evaluación de la probabilidad de los riesgos estudia la probabilidad de ocurrencia de cada

riesgo específico. La evaluación del impacto de los riesgos estudia el efecto potencial de los

mismos sobre un objetivo del proyecto, tal como el cronograma, el costo, la calidad o el

desempeño, incluidos tanto los efectos negativos en el caso de las amenazas, como los positivos,

en el caso de las oportunidades (Project Management Institute, 2013).

7.1.7 Matriz de Probabilidad e Impacto

Los riesgos se pueden priorizar con vistas a un análisis cuantitativo posterior y a la planificación

de respuestas basadas en su calificación (Project Management Institute, 2013).

7.2 PROCEDIMIENTO PARA LA GESTION DEL RIESGO

Según el análisis que se realizó a los estándares y teorías estudiadas anteriormente, se elabora un

cuadro comparativo que permite visualizar cuales son los elementos que componen el proceso de

la gestión del riesgo para cada uno, el resultado se evidencia en la tabla 5:

Tabla 5. Matriz de comparación del Gestión de riesgo en proyectos según el proceso determinado

en PMBOK frente a ISO 21500: 2009, Y PRINCE2.

PROCESOS DE LA GESTION DE

RIESGO EN PROYECTOS PMBOK ISO 21500 PRINCE2 ISO 31000

Planificar el riesgo x x

Establecimiento del contexto x

Identificar los riesgos x x x x

Realizar el análisis del proceso cualitativo x x x x

Realizar el análisis cuantitativo de riesgos x x x x

Planificar la respuesta al riesgo x

37


A partir del análisis anterior, se determina el procedimiento de la gestión del riesgo en proyectos

para la organización CEDECUR evidenciándose en la siguiente tabla, donde se describen los

aspectos a desarrollar, las plantillas a utilizar y el responsable en cada fase del proceso.

Tabla 6. Procedimiento de la Gestión de Riesgos en Proyectos

Controlar los riesgos x x

Implementar x

Tratamiento del riesgo x

Comunicar el riesgo x

Monitorear el riesgo x

No PASO DESCRIPCIÓN TÉCNICAS REGISTRO RESPONSABLE

Inicio

1

Planificación

Clasificación de

los riesgos.

Caracterización

de los riesgos,

para la

integración de

los procesos de

la organización.

Estructura

de desglose

de riesgos

(RBS)

Planes operativos por

procesos y planes de

calidad por proyectos.

Coordinadores de

procesos (Dirección-

Calidad-Mercadeo-

Técnica-

Administrativa-

Talento Humano-

Contable y Financiera)

Coordinadores de

proyectos

Identificación y

Valoración del

riesgo: una vez

identificado el

riesgo se debe

valorar según la

DOFA -

análisis

PESTEL-

lecciones

aprendidas

análisis

causa raíz (5

Registro de riesgos

G_ISO21500_RSK_P01

Matriz de riesgos

G_ISO21500_RSK_02

Coordinadores de


Calidad-Mercadeo-

Técnica-

Administrativa-

Talento Humano-


38

probabilidad del

riesgo y valorar

la probabilidad

de la

oportunidad.

(considere el

ciclo de vida del

proyecto)

por qué)

juicio de

expertos

(equipo del

proyecto)

Coordinadores de

proyectos

2 Implementación Establecer los

mecanismos para

tratar el riesgo

debe generar

plan de

contingencia,

determinando la

tolerancia y

umbrales para

mitigar, prevenir

y/o mejorar la

gestión de los

riesgos

priorizados.

Transferir

– mitigar

explotar.

Compartir-

mejorar-

Hoja de datos del

riesgo

G_ISO21500_RSK_03

Evaluación de

probabilidad impacto

G_ISO21500_RSK_04

Coordinadores de


Calidad-Mercadeo-

Técnica-

Administrativa-

Talento Humano-


Coordinadores de

proyectos

3 Control Define niveles de

control según

frecuencias de

medición

internas

Ciclo de

auditorías

internas a

los procesos

y proyectos.

Reuniones

de

supervisión

Reuniones

de equipo.

Comunicación de

riesgo

G_ISO21500_RSK_06

Limitaciones e

Hipótesis de partida

G_ISO21500_RSK_07

Coordinadores de


Calidad-Mercadeo-

Técnica-

Administrativa-

Talento Humano-


Coordinadores de

proyectos

39


Las plantillas correspondientes (Registro de Riesgos, Matriz de riesgos, hoja de datos de riesgos,

evaluación de probabilidad e impacto, Auditoría del riesgo, Comunicación del riesgo,

Limitaciones e hipótesis de partida) que apoyan el proceso de la gestión de riesgos en proyectos,

están especificadas en los anexos 1 a 7.

En el gráfico 4 se presenta el diagrama de flujo propuesto para el procedimiento de la gestión de

riesgos en proyectos para CEDECUR, en él se puede observar de manera gráfica el cuadro

anterior de la misma manera especificando las actividades y herramientas necesarias para llevar a

cabo la gestión del riesgo en proyectos.

4 Verificación Define niveles de

evaluación para

verificar la

eficacia de los

mecanismos de

tratamiento del

riesgo.

Revisión por

la dirección

Lecciones

aprendidas

Planes de

mejora

Auditoria del riesgo

G_ISO21500_RSK_05

Coordinadores de


Calidad-Mercadeo-

Técnica-

Administrativa-

Talento Humano-


Coordinadores de

proyectos

7 FIN

40

Gráfico 4. Flujograma Gestión del Riesgo CEDECUR


41

A continuación, en la tabla 6 se muestra la matriz de planificación de proyecto donde se sintetiza

la propuesta de fortalecimiento para la gestión de riesgo en proyectos en la organización

CEDECUR:

Tabla 6. Matriz de planificación del proyecto

OBJETIVOS INDICADORES FUENTES DE

VERIFICACIÓN SUPUESTOS

FIN

Imagen corporativa de la

ONG CEDECUR

fortalecida

Aumento del nivel de

aceptación de los

involucrados

Encuesta de satisfacción al

cliente

Apoyo y

reconocimiento de

CEDECUR por parte

de los involucrados se

mantenga

PROPÓSITO

Gestión de riesgos en

proyectos en la ONG

CEDECUR mejorada

% de efectividad de los

planes de respuesta al

riesgo

Plan de GRP en la entidad. Si no se realiza el

proyecto, la

organización no estará

actualizando sus

procesos según la

normatividad de ISO

9001:25.

De realizar el proyecto,

les otorgará a sus

proyectos un valor

agregado que les

permitirá aumentar la

probabilidad de éxito

en los proyectos y

fortalecer la imagen de

la compañía a nivel

interno y externo

RESULTADOS

1. Herramientas y

técnicas

adecuadas para la

GRP en

CEDECUR

identificadas

2. Procedimiento

para la GRP

establecido

3. Especificado el

1. Siete (7)

plantillas que

permiten

implementar de

manera adecuada

la GRP.

2. Procedimiento

básico para la

GRP aplicable a

todas las áreas de

desarrollo

3. Plan de

1. Documento de

GRP básico

aplicable a las

áreas de

desarrollo

2. Flujograma de

procedimiento de

GRP en la

organización.

3. 7 (siete)

trabajadores

capacitados en la

1. Las

referencias

encontradas

permitan

alinearse a los

objetivos del

proyecto

2. El

procedimiento

permita ser

aplicable a la

organización

42

plan de mejora de

las competencias

en la gestión de

riesgos en

proyectos al

personal de

CEDECUR.

capacitación al

personal en GRP

GRP en la

organización.

3. El personal se

muestre

interesado en

utilizar las

herramientas y

procedimiento

identificado.

ACTIVIDADES

1. Identificar

herramientas y

técnicas.

1.1. Revisión de

fuentes

bibliográficas

1.2. Identificar las

diferentes

técnicas

determinadas en

los estándares

ISO 21500, 3100

en GRP

1.3. Determinar cuáles

son las

herramientas

adecuadas para la

GRP en la

organización.

2. Establecer un

procedimiento para

la GRP

3. Especificar el plan de

mejora de las

competencias en la

gestión de riesgos en

proyectos al personal

de CEDECUR.

RECURSOS

Libros referentes al tema

Trabajos universitarios

Monetarios

Humanos

Equipos de computo

Papelería

COSTOS

establecido en 1.552 horas

de trabajo identificando un

costo estimado de

$46.560.000

1. Documento del

Plan de Dirección

del Proyecto,

incluyendo sus

líneas de base

(Declaración del

alcance y

Estructura de

Desglose de

Trabajo,

Cronograma y

Presupuesto)

Se tienen los recursos

disponibles para

ejecutar las actividades

del proyecto


43

En el grafico 5, se puede observar la estructura de desglose de trabajo EDT, donde identifican las

actividades pertinentes y el costo asociado a cada una de ellas, según los establecido en la matriz de

planificación del proyecto.

Gráfico 5. Estructura de desglose del trabajo (EDT)

44


7.3 ELEMENTOS BÁSICOS PARA CONSIDERAR SOBRE CAPACITACION EN

GESTION DEL RIESGO DE PROYECTOS AL PERSONAL DE CEDECUR

Para identificar los elementos básicos se elabora un diagnóstico del personal que permita

medirlos y así asegurar que todos comprendan los criterios, definiciones, técnicas, plantillas y

beneficios de la gestión del riesgo en los proyectos, y que a su vez logre escalar de nivel según

elementos evaluados. Para ello se aplica una entrevista a siete colaboradores de la organización.

Para obtener los resultados correspondientes se ve la necesidad de elaborar un esquema donde se

permita evaluar mediante unos criterios definidos el nivel de madurez de la organización en la

gestión de riesgos de proyectos basado y adaptado de los modelos de Hillson y bg, relacionados

en la siguiente tabla:

Tabla 7. Criterios para determinar el nivel de madurez de la organización

ÁREAS DE

APLICACIÓN EN

GRP

NIVEL DE MADUREZ EN GESTION DE RIESGO DE PROYECTOS

BASICO MEDIO ALTO AVANZADO

Herramientas y

técnicas

No han sido diseñadas

ni aplicadas al proceso

Herramientas y

técnicas básicas

según

estándares

relacionados a

GRP

Se estandariza el

uso de

herramientas y

técnicas, se

aplican a todos

los proyectos

El uso de herramientas y

técnicas son de uso

obligatorio aplicados a

todos los proyectos de la

organización, el uso de

herramientas y técnicas

incluyen métodos

estadísticos, uso de

software especializado en

riesgos

Procesos No ha sido

implementado ningún

Proceso no

definido para

Se establece un

proceso formal

Se establece el proceso

formal y estandarizado

45

proceso para

administrar el riesgo

GRP en la

organización

aplicable a todos

los proyectos

aplicable a los proyectos de

cada una de las áreas de

desarrollo

Roles y

responsabilidades en

la GRP

No existen

responsables o

encargados

Responsables

de la GRP es el

director de

proyecto

Se tienen

responsables

definidos entre

los directores del

proyecto, equipo

y directores

funcionales

Responsabilidades claras y

definidas para los directores

de proyecto, equipos de

trabajo, gerentes

funcionales y directivos en

la GRP

Capacitación en

gestión del riesgo

No existe Solo se dirige a

los directores

de proyecto

Obligatoriedad de

la capacitación

para los

directores de

proyecto y

miembros del

equipo y gerentes

funcionales

Las capacitaciones en

riesgo incluyen a los

directivos, gerentes

funcionales, directores de

proyecto y equipos de

trabajo

Cultura de gestión

del riesgo

La GRP no es

relevante

No se reconoce

la importancia

en la GRP, por

lo que no se

encuentra entre

las prioridades

La GRP es

importante para el

director de

proyecto y su

equipo de trabajo

La GRP es importante para

toda la organización,

estableciendo una base de

registro de lecciones

aprendidas.

Interesados del

proyecto

Interesados del

proyecto no participan

en la identificación del

riesgo

Se tienen en

cuenta algunos

interesados del

proyecto

Se tienen en

cuenta a todos los

interesados para

la identificación

del riesgo del

proyecto

Se establecen estrategias de

comunicación en el plan de

comunicaciones que

permitan ayudar a entender

como los interesados

perciben el riesgo, además

de otro tipo de información

que permitan ayudar en

GRP


46

Los participantes asignaron un código al nivel de madurez en la gestión de riesgos del proyecto,

siendo: básico (1), medio (2), alto (3) y avanzado (4). La entrevista se desarrolló de manera

grupal. A través de esta se logra concluir que la organización se clasifica en grado de madurez

medio. El resultado de la encuesta se puede observar en la tabla 8:

Tabla 8. Resultados de la Encuesta para determinar el nivel de madurez según el personal de

CEDECUR

PREGUNTAS

NIVEL DE MADUREZ EN GESTION DE RIESGO DE PROYECTOS RESPUESTA

BASICO (1) MEDIO (2) ALTO (3) AVANZADO (4)

Según los criterios

planteados, ¿en qué

nivel de madurez se

encuentra categorizado

el uso de herramientas y

técnicas para la GRP en

la organización?

No han sido

diseñadas ni

aplicadas al

proceso

Herramientas y

técnicas básicas

según estándares

relacionados a

GRP, aplicables a

algunos proyectos

Se estandariza el

uso de

herramientas y

técnicas, se

aplican a todos los

proyectos

El uso de

herramientas y

técnicas son de uso

obligatorio

aplicados a todos

los proyectos de la

organización, el uso

de herramientas y

técnicas incluyen

métodos

estadísticos, uso de

software

especializado en

riesgos

2



nivel de madurez se


los procesos para la

GRP en la

organización?

No ha sido

implementado

ningún proceso

para administrar

el riesgo

Proceso no

definido para

GRP en la

organización

Se establece un

proceso formal y

estandarizado

aplicable a todos

los proyectos

Se establece el

proceso formal y

estandarizado

aplicable a los

proyectos de cada

una de las áreas de

desarrollo

1



nivel de madurez se


el establecimiento de

roles y

responsabilidades en la

GRP en la

organización?

No existen

responsables o

encargados

Responsables de

la GRP es el

director de

proyecto

Se tienen

responsables

definidos entre los

directores del

proyecto, equipo y

directores

funcionales

Responsabilidades

claras y definidas

para los directores

de proyecto,

equipos de trabajo,

gerentes funcionales

y directivos en la

GRP

1

47



nivel de madurez se


el establecimiento

Capacitación en gestión

del riesgo en la GRP en

la organización?

No existe Solo se dirige a

los directores de

proyecto

Obligatoriedad de

la capacitación

para los directores

de proyecto y

miembros del

equipo y gerentes

funcionales

Las capacitaciones

en riesgo incluyen a

los directivos,

gerentes

funcionales,

directores de

proyecto y equipos

de trabajo

2


planteados, ¿Cuál es el

grado de madurez en la

cultura de gestión del

riesgo dentro de la

organización?

La GRP no es

relevante

No se reconoce la

importancia en la

GRP, por lo que

no se encuentra

entre las

prioridades

La GRP es

importante para el

director de

proyecto y su

equipo de trabajo

La GRP es

importante para

toda la

organización,

estableciendo una

base de registro de

lecciones

aprendidas.

2



nivel de madurez se

encuentra el

involucramiento de

interesados del proyecto

en la GRP en la

organización?

Interesados del

proyecto no

participan en la

identificación

del riesgo

Se tienen en

cuenta algunos

interesados del

proyecto

Se tienen en

cuenta a todos los

interesados para la

identificación del

riesgo del

proyecto

Se establecen

estrategias de

comunicación en el

plan de

comunicaciones que

permitan ayudar a

entender como los

interesados perciben

el riesgo, además de

otro tipo de

información que

permitan ayudar en

GRP

2


Según los resultados de la encuesta realizada, se el personal de CEDECUR considera ubicar en

nivel básico los aspectos “implementación de un proceso en la gestión de riesgos” y “roles y

responsabilidades en la gestión de riesgos” en proyectos, los demás aspectos se ubican en nivel 2

es decir nivel medio de madurez, pues se tienen nociones de lo que implica la gestión de riesgos,

pero no es un proceso claramente definido en la administración de proyectos.

En el gráfico 6 se presenta un diagrama de radar donde se pretende mostrar la brecha entre una

organización de grado avanzado en la gestión de riesgos de proyectos y los resultados al

diagnóstico realizado a CEDECUR:

48

Gráfico 6. Resultados del diagnóstico grado de madurez en la gestión del riesgo en la

organización.


Además, la encuesta también logra evidenciar las

49

En la organización la planificación de riesgos se realiza de manera aislada desde la

coordinación del sistema de gestión de calidad.

El alcance la gestión del riesgo no es dirigida a los proyectos.

El equipo de proyecto no está familiarizado con la terminología apropiada para la gestión

del riesgo en proyectos.

La organización cuenta con plantillas en uso, pero sin aplicación de software.

Con relación a la cultura en gestión del riesgo, el personal no conoce ni reconoce la

gestión del riesgo.

Cuentan con algunos estándares definidos, pero son de uso gerencial y su no son

obligatorios.

Mantienen registros de riesgos que están salvaguardados por los procesos gerenciales de

la organización.

Se considera que la capacitación debe cumplir con los siguientes objetivos:

Dar a conocer las técnicas de identificación y análisis de riesgos

Lograr que el personal de CEDECUR tenga la capacidad de realizar un proceso básico de

gestión de los riesgos en proyectos, identificando y analizando los riesgos principales de

dichos proyectos

Con el resultado del diagnóstico y los objetivos definidos, se procede a identificar que los temas a

considerar en el plan de capacitación para la gestión del riesgo en CEDECUR son: Gestión del

riesgo en proyectos, Tratamiento del riesgo y Control del riesgo, recomendando tratar cada tema

en un día con una intensidad de 3 horas diarias para no interferir con las actividades diarias de la

organización.A continuación, se presenta de manera detallada el plan de capacitación en la tabla

8 se muestra la estructura del plan de capacitación.

50

Tabla 9. Plan de capacitación en Gestión de Riesgos en Proyectos

TEMA TIEMPO INVOLUCRADOS CONTENIDO COSTO

ESTIMADO

FACILITAD

OR/A

RESPONS

ABLE

GESTIÓN DEL

RIESGO EN

PROYECTOS.

Riesgo y su

definición.

Clasificación de

riesgos e

identificación de

riesgos

27 nov-

17

(3 horas)

Coordinadores de

procesos

Dirección-

Calidad-Mercadeo

-Técnica-

Administrativa-

Talento Humano-

Contable y

Financiera.

Coordinadores de

proyectos

Conocer las

técnicas de

identificación y

análisis de

riesgos de uso

más frecuente

en proyectos.

$

300.000,00

Experiencia

mínima de 5

años en

gestión del

riesgo en

proyectos.

Dirección

y Gestión

de Talento

Humano

TRATAMIENTO

DEL RIESGO.

El análisis

cualitativo de

riesgos.

Estableciendo

mecanismos de

tratamiento del

riesgo.

28 nov-

17

(3 horas)

Coordinadores de

procesos

Dirección-

Calidad-Mercadeo

-Técnica-

Administrativa-

Talento Humano-

Contable y

Financiera.

Coordinadores de

proyectos

Ser capaces de

realizar un

proceso básico

de gestión de

los riesgos en

proyectos,

analizando los

riesgos

principales de

dichos

proyectos, y

estableciendo

estrategias y

acciones de

respuesta.

$

300.000,00

Experiencia

mínima de 5

años en

gestión del

riesgo en

proyectos.

Dirección

y Gestión

de Talento

Humano

51

CONTROL DEL

RIESGO.

Planificar las

respuestas ante los

riesgos.

El registro de riesgos

del proyecto.

29 nov-

17

(8 horas)

Coordinadores de

procesos

Dirección-

Calidad-Mercadeo

-Técnica-

Administrativa-

Talento Humano-

Contable y

Financiera.

Coordinadores de

proyectos

Ser capaces de

definir niveles

de tolerancia y

control;

Incluyendo

criterios

auditables de

gestión del

riesgo.

$

300.000,00

Experiencia

mínima de 5

años en

gestión del

riesgo en

proyectos.

Dirección

y Gestión

de Talento

Humano

Elaboración propia

52

8. CONCLUSIONES

Para una organización que depende 100% de la ejecución de proyectos, la gestión del riesgo no

puede estar por fuera de la estructura organizativa, ni de sus áreas de conocimiento propio. Para

CEDECUR esta propuesta de fortalecimiento le permitirá la implementación desde todos los

niveles organizacionales e involucrar a todas las partes interesadas, e implementarse desde todos

los procesos de la organización hasta los proyectos.

La determinación de herramientas más adecuadas para la gestión del riesgo en los proyectos de

CEDECUR, les precisa como mejorar su modelo de gestión para el desarrollo organizacional

apoyado en los lineamientos de la ISO 21500 y en las otras técnicas propuestas en el documento

que les facilita la operación de la gestión del riesgo sobre los proyectos sin importar la naturaleza

del mismo.

Los retos que enfrenta la organización para la implementación del procedimiento, técnicas y

herramientas suministradas por las distintas teorías y estándares analizados, le brindan a

CEDECUR una caja de herramientas estructural ysólida que permitirá fortalecer la gestión del

riesgo en proyectos para la organización y así, podrán mejorar de forma integral lagestión de sus

proyectos; alcanzando muy posiblemente mayor éxito en cada uno de ellos.

El diagnóstico propuesto para desarrollar las competencias en gestión del riesgo le brinda a la

organización un punto de partida para mejorar la gestión del conocimiento en todo su personal,

generando un plan de acción anual para determinar con mayor facilidad los avances sobre los

niveles estructurales desde las herramientas mismas propuestas en este trabajo de grado. Por lo

anterior se cuenta con el compromiso de la Dirección y de la comprensión del proceso de

Calidad, para el desarrollo de competencias de todo el equipo de colaboradores que además debe

implicar un esfuerzo de todo el personal de la organización.

53

BIBLIOGRAFIA

Bentley, C. (2015). The PRINCE2 Practitioner: From Practitioner to Professional.New

York: Taylor Francis Group .

Bolaños, J & Cuero M. (2016). Técnicas Utilizadas en la Gestión de Riesgo en la

Planeación y Seguimiento de Proyectos en Las Organizaciones De Cali-Colombia. (tesis

de especialización). Universidad San Buenaventura, Cali

Buchtik, L. (2012). Secretos para dominar la gestión del riesgo. Uruguay: Buchtik

Global.

Grupo Iberoamericano de Análisis de la Norma ISO 21500. (2012). Guía de

Implementación de la Norma Técnica ISO 21500.

Harvard, H. B. (2011). Developing a Business Case: expert solutions to everyday

challenges.Estados Unidos de America .

Hopkinson, M. (2017). The Project Risk Maturity Model: Measuring and Improving Risk

Management.

Hurtado, F. (2011). Dirección de proyectos: Una Introducción con base en el marco de

PMI. Estados Unidos de América.

ICONTEC, E. I. (2009). NORMA TÉCNICA COLOMBIANA NTC-ISO 31000. Bogotá.

Recuperado el Mayo de 2017

Oficina Gubernamental del Reino Unido. (2009). Managing Succesful Project with

PRINCE2.Oficina Gubernamental del Reino Unido.

54

OGC, O. G. (2009). Éxito en la gestión de Proyectos con PRINCE2. Oficina

Gubernamental del Reino Unido .

Ortegón , E., Pacheco , J. F., & Prieto, A. (s.f.). Metodología del marco lógico para la

planificación, el seguimiento y la evaluación de proyectos y programas. Naciones Unidas.

Project Management Institute, I. (2013). Guía para la Dirección de Proyectos (Guía del

PMBOK) Quinta edición.

Lledó, P. (2013). Director de proyectos: Cómo aprobar el examen PMP® sin morir en el

intento (2da ed.). Victoria, BC, Canadá

Santofimio, Y & Manrique C. (2015). Técnicas de Evaluación del Riesgo para determinar

la Viabilidad del Proyecto en La Etapa de Formulación. (tesis de especialización).

Universidad San Buenaventura, Cali.

55

ANEXOS

Anexo 1. Registro de riesgos

Anexo 2. Matriz de riesgos

Anexo 3. Hoja de datos de riesgo

Anexo 4. Evaluación probabilidad – impacto

Anexo 5. Auditoria del riesgo

Anexo 6. Comunicación del riesgo

Anexo 7. Limitaciones e hipótesis de partida

REGISTRO DE RIESGOS

PAGINA 1/4

HOJA DE DECLARACIÓN

PRIO

ALCANCE COSTO TIEMPO CALIDAD(VAL)

NOMBRE DEL PROYECTO:

FECHA: EDICION/VERSIÓN:

PROB RESPUESTA RESPONSABLEIMPACTO TRIGGER

DISPARADORCODIGO CAUSA/ORIGENRIESGO ENUNCIADOCATEGORIA

REGISTRO DE RIESGOS

PAGINA 2/4

HOJA DE ACTUALIZACION

ALCANCE COSTO TIEMPO CALIDAD

PRIO

ACTUAL ACCIONES PENDIENTES

FECHA:

COMENTARIOS

PROB

ACTUAL

IMPACTON ACTUAL

ESTADO ACTUALCODIGO RIESGO

EDICION/VERSIÓN:


REGISTRO DE RIESGOS

PAGINA 3/4

HOJA DE DECLARACIÓN Y HOJA DE ACTUALIZACIÓN

ENUNCIADO DEL RIESGO

PROBABILIDAD E IMPACTO

EDICION/VERSIÓN:

ANEXO – Referencias y conceptos

La identificación de los riesgos ha de hacerse con la máxima claridad, y aportando la información necesaria para que el posible evento sea

perfectamente comprendido, incluyendo una descripción de la o las posibles causas que pueden provocarlo o los sucesos que deben

ocurrir para desencadenar el evento del riesgo. Además de listar los posibles riesgos y detallar sus características, a la hora de enunciar los

riesgos en los diferentes documentos del proyecto, el lenguaje expresado en la definición del riesgo es importante, y por ello se

recomienda que siga la forma: "Como resultado de una (causa) un (evento incierto) puede ocurrir el cual podría resultar en un (efecto)",

como se sugiere en el campo de ejemplo en la plantilla.

La especificación de la probabilidad e impacto deben ser lo más precisas posible, y en cualquier caso, seguir las directrices marcadas en el

“Plan de Gestión de Riesgos” (ver la plantilla en el área de Integración) y estar en concordancia con los niveles establecidos también en la

“Matriz de Riesgos” y en el documento de “Evaluación de Prioridad e Impacto” (por ejemplo si definimos 5 niveles – Muy alto, alto, medio,

bajo y muy bajo – debe ser coherente la escala en todos los documentos del proyecto. Tanto la probabilidad como el posible impacto de un

riesgo pueden variar a lo largo de la vida del proyecto, bien debido a la acción de medidas preventivas o por cambiar las circunstancias en

las que se desarrolla el proyecto, lo cual hace necesario una reevaluación de los parámetros del riesgo y su registro, incluso aunque el

riesgo pueda haber desaparecido, pues el conocimiento de su evolución es una información muy valiosa para futuros proyectos.

Esta plantilla propone la utilización de dos hojas que formarán un único documento; la primera para hacer una primera declaración de

riesgos que puede incluir, si ya se conoce, la estrategia de respuesta frente al riesgo y acciones concretas a realizar, y una segunda hoja

para actualizar el estado de los riesgos una vez se haya avanzado en el proyecto, puesto que el proceso de gestión de riesgos es iterativo y

continuo. En la hoja de actualización los campos correspondientes al nombre y código del proyecto, así como la edición y versión del

documento deben ser los mismos que en la primera, y de hecho pueden suprimirse, pero se han mantenido por seguridad.

REGISTRO DE RIESGOS

PAGINA 4/4

PRIORIDAD

TRIGGER / DISPARADOR

RESPONSABLE

Adaptado de la Guía Norma Técnica ISO 21500 - Grupo Iberoamericano de Análisis de la Norma ISO 21500

Aunque la responsabilidad final de la gestión de los riesgos recae en el director del proyecto, puede designarse un responsable específico para el

tratamiento de cada riesgo en particular, con la evidente necesidad de coordinación e integración de las actividades para lograr el óptimo global para el

proyecto. En la hoja de actualización se entiende que el responsable para cada riesgo se mantiene, y en caso de cambio puede anotarse en el campo de

“comentario”



La asignación de la prioridad (puntuación) a los riesgos requiere de su análisis y valoración cualitativa y cuantitativa, comparando a menudo unos con

otros para tomar la decisión de a cuál de ellos asignar los recursos escasos de los que podemos disponer. La asignación de una prioridad debe tener en

cuenta también el nivel de tolerancia y el umbral de riesgo soportado por la organización, y que debemos haber reflejado también en el Plan de Riesgos

(Integración).

Algunos planes de respuesta frente a riesgos se definen para realizarse solamente en determinadas condiciones. Los eventos o condiciones que

“disparan” la respuesta deben estar especificados y ser controlados en el seguimiento del proyecto.

MATRIZ DE RIESGOS

PAGINA 1/3

FECHA: EDICION/VERSIÓN: NOMBRE DEL

PROYECTO:

IMPACTO

P

R

O

B

A

B

I

L

I

D

A

D

MUY ALTO

ALTO

MEDIO

BAJO

MUY BAJO

BAJO MEDIO ALTO MUY ALTO

AMENAZAS

MUY BAJO

MATRIZ DE RIESGOS

PAGINA 2/3


IMPACTO


OPORTUNIDADES

MUY ALTO

MUY ALTO

MUY BAJO BAJO MEDIO ALTO

ALTO

MEDIO

BAJO

MUY BAJO

P

R

O

B

A

B

I

L

I

D

A

D

MATRIZ DE RIESGOS

PAGINA 3/3

EDICION/VERSIÓN:

PROBABILIDAD E IMPACTO

ESCALAS

ZONA SOMBREADA

La severidad del riesgo viene dada por el producto de su (probabilidad x impacto), y nos sirve para valorar los riesgos y posicionarlos en la matriz.


La gestión de riesgos se entiende tanto para riesgos cuyo impacto es negativo sobre los objetivos del proyecto (amenazas), como para aquellos que pueden tener un impacto positivo

(oportunidades). Por ello en este documento se propone el uso de dos matrices, una para cada uno de los tipos. Queda a elección del director del proyecto el uso de las dos matrices por

separado o su integración, pero en cualquier caso su gestión ha de abarcar ambos tipos de eventos posibles, amenazas y oportunidades


La especificación de la probabilidad e impacto deben ser lo más precisas posible, y en cualquier caso, seguir las directrices marcadas en el Plan de Gestión de Riesgos (ver la plantilla en el

área de Integración). Tanto la probabilidad como el posible impacto pueden variar a lo largo de la vida del proyecto, bien debido a la acción de medidas preventivas o por cambiar las

circunstancias en las que se desarrolla el proyecto, lo cual hace necesario una reevaluación de los parámetros del riesgo y su registro, incluso aunque el riesgo pueda haber desaparecido,

pues el conocimiento de su evolución es una información muy valiosa para futuros proyectos.

Aunque en la plantilla se nombran las escalas de forma cualitativa, es inmediata su conversión a escala numérica, estableciendo los valores mínimos y máximos (ej. 0% -- 100%), para el

caso de que nuestra valoración de los riesgos del proyecto pueda arrojar cuantificación en valores concretos.

En cada organización el responsable del proyecto debe conocer cuáles son los niveles de probabilidad e impacto a partir de los cuales el riesgo es considerado como de severidad alta,

media o baja. La zona sombreada (riesgos de extrema importancia) como ejemplo en la matriz debe personalizarse para cada proyecto concreto, de igual manera que el umbral inferior a

partir del cual el riesgo puede ser aceptado debe ser también fijado si viene al caso.

AMENAZAS Y OPORTUNIDADES

HOJA DE DATOS DEL RIESGO

PAGINA 1/3


CODIGO ESTADO


PRIOR.ALCANCE COSTO TIEMPO CALIDAD

PRIOR.



RIESGOS

SECUNDARIOS

COMENTARIOS

RESPONSABLEIMPACTO

FECHA


ESTRATEGIA/RESPUESTA

TRATAMIENTO DEL RIESGO

ENUNCIADO DEL RIESGO (AMENAZA / OPORTUNIDAD):

PROBABILIDAD

DESCRIPCIÓN DEL RIESGO

CAUSA DEL RIESGO/ORIGEN

PLAN DE PREVENCIÓN

(ACCIONES)

VALORACIÓN DEL RIESGO

PRESUPUESTO

PRESUPUESTO

FECHA

PLAN DE CONTINGENCIA TRIGGER/ DISPARADOR

ACCIONES

VALORACIÓN REVISADA / ACTUALIZADA

ESTRATEGIA/RESPUESTA (ACTUALIZADA)PRIORIDAD /VALOR RESPONSABLEIMPACTOPROBABILIDAD/

REVISIÓN

RIESGOS

RESIDUALES

IMPACTO

IMPACTOPROB

PROB


PAGINA 2/3



RID

Identidad del riesgo. Número que le asignamos para identificarlo de forma unívoca en los documentos del proyecto.

ESTADO

PROBABILIDAD, IMPACTO y PRIORIDAD

ESTRATEGIA / RESPUESTA

Como sabemos existen varios tipos de respuesta frente a los eventos posibles de riesgo, según sean de impacto negativo (amenazas) o positivo (oportunidades), esto es:

Para las amenazas: □ Evitar □ Mitigar □ Transferir □ Aceptar

Para las oportunidades: □ Explotar □ Mejorar □ Compartir □ Aceptar

RIESGOS SECUNDARIOS Y RESIDUALES



Situación en la que se encuentra el riesgo. En el caso de que ya se hayan realizado acciones para evitarlo o mitigarlo su estado puede haber cambiado, e incluso llegar a haber “desaparecido” (cuando hemos

sido capaces de eliminar la causa que lo produce), y sin embargo no podemos dejar de reflejarlo en la información del proyecto.

La severidad de un riesgo viene dada por el producto de su PROBABILIDAD de ocurrencia y su IMPACTO. En función de ello podremos clasificarlos en la MATRIZ DE RIESGOS (ver plantilla), asignar a los riesgos

una PRIORIDAD y ver cuáles son los que deben ser atendidos en primer lugar o a los que dedicar prioritariamente los recursos, así como establecer con sentido la estrategia de respuesta y el seguimiento de su

eficacia.

La elección de una estrategia de respuesta nos lleva a definir las acciones (preventivas y/o de contingencia) a realizar frente al riesgo. A veces existe la posibilidad de combinar varios tipos de respuesta frente a

un riesgo, y ello suele aportar buenos resultados frente a una respuesta única.

Los RIESGOS SECUNDARIOS son aquellos que aparecen como resultado directo de aplicar las acciones de respuesta frente a un riesgo. Los RIESGOS RESIDUALES son aquellos riesgos iniciales que permanecen

después de haber llevado a cabo los planes de respuesta, con menor probabilidad o impacto que el inicial debido a nuestra labor. Sin embargo, si después de realizar las acciones de respuesta éste no

disminuye en su severidad (o ésta aumentase) no se trataría de un riesgo residual sino de un fracaso de la estrategia frente al riesgo, evidentemente.


PAGINA 3/3


TRIGGER / DISPARADOR

COMENTARIOS

Algunos planes de respuesta frente a riesgos se definen para realizarse solamente en determinadas condiciones. Los eventos o condiciones que “disparan” la respuesta deben estar especificados y ser

controlados en el seguimiento del proyecto.

Cualquier información que pueda servir para corregir una estimación, justificar una decisión o estrategia de respuesta, o para aportar elementos importantes a tener en cuenta en proyectos futuros puede ser

de enorme ayuda para el director del proyecto.


PAGINA 1/2

1

2

3

4

5



IMPACTO SOBRE EL ALCANCE

IMPACTO SOBRE LA CALIDAD

MUY ALTO

ALTO

MUY ALTO

ALTO

MEDIO

BAJO

MUY BAJO

BAJO

BAJO

MUY BAJO

IMPACTO SOBRE EL CRONOGRAMA

MEDIO

MUY ALTO

ALTO

MEDIO

IMPACTO SOBRE EL PRESUPUESTO

MUY ALTO

ALTO

MUY BAJO

MUY ALTO

ALTO

BAJO

MUY BAJO

DEFINICIÓN DE LA ESCALA DE PROBABILIDAD

MEDIO

<= 15%

MEDIO

MUY ALTO

ALTO

MEDIO

BAJO

MUY BAJO

DEFINICIÓN DE LOS NIVELES DE PRIORIDAD

>= 85%

>= 70%

<70%

>30%<= 30%

MUY BAJO

BAJO

PAGINA 2/2

Adaptado de la Guía Norma Técnica ISO 21500

DEFINICIÓN DE LOS NIVELES DE IMPACTO

DEFINICIÓN DE LOS NIVELES DE PROBABILIDAD

DEFINICIÓN DE LOS NIVELES DE PRIORIDAD PARA LOS RIESGOS

La prioridad de un riesgo dependerá de la combinación de su probabilidad e impacto sobre los objetivos. Los

niveles pueden ser simplemente “bajo-medio-alto” o disponer de una escala más precisa. La clasificación

elegida se reflejará en el registro sobre la matriz de riesgos y los demás documentos de gestión, fijando los

La definición en detalle de los niveles de impacto sobre el alcance y los objetivos del proyecto debe estar en

concordancia con lo establecido en las directrices del “Plan de Gestión de Riesgos” (ver plantilla en el área

de Integración) y la “Matriz de Riesgos”, y será de aplicación tanto para el “Registro de Riesgos” como para

la “Hoja de Datos de Riesgo” (para cada riesgo).

Por ejemplo aunque en esta plantilla se ofrece una división en cinco niveles de forma cualitativa, esto debe

ser adaptado a cada caso en función de las necesidades de la organización y del propio proyecto. Una

definición cuantitativa de los niveles resulta más precisa pero puede resultar difícil en algunos casos, por lo

cual la explicación de los niveles definidos sí debe ser lo más exacta precisa, justificando tanto la elección

del número de niveles como la forma de aplicarlos a la valoración de los riesgos.

Al igual que en los niveles de impacto debe haber coherencia con lo definido en el “Plan de Gestión de

Riesgos” y la “Matriz de Riesgos”, y los demás documentos relacionados con la gestión de riesgos.

Los valores numéricos propuestos en esta plantilla son solamente un ejemplo y deben ser personalizados

para cada proyecto en concreto. La determinación de los valores puede hacerse por varios métodos; de

acuerdo a datos históricos (si existen), recurriendo a la participación de expertos, por consenso con todo el

equipo de gestión de riesgos, etc.

De igual forma a lo expresado para impacto y probabilidad, deben definirse los niveles de prioridad para

poder clasificar los riesgos, y para ello deben tenerse en cuenta las preferencias de la organización y los

umbrales de riesgo y tolerancia de las áreas y stakeholders.

EDICION/VERSIÓN:



FECHA:

AUDITORIA DE RIESGOS

PAGINA 1/4

FECHA: EDICION/VERSIÓN: NOMBRE DEL PROYECTO:

CODIGO EVENTO

OCURRIDOCAUSA RIESGO PREVISTO IMPACTO COMENTARIOS

CODIGO EVENTO

OCURRIDORESPUESTA RESULTADOS


AUDITORIA DE RESPUESTA A LOS RIESGOS

ACCIONES DE MEJORA


PAGINA 2/4

NOMBRE DEL PROYECTO: DIRECTOR DE PROYECTO:

PROCESO REALIZADO POR METODOLOGIA

IMPLEMENTADASEGUIMIENTO

INICIO

PLANIFICACIO

N

IMPLEMENTA

CIÓN

CONTROL

VERIFICACIÓN


AUDITORÍA DEL PROCESO DE GESTIÓN DE RIESGO

COMENTARIOS

DESCRIPCIÓN DE LAS PRÁCTICAS DE ÉXITO EN EL PROYECTO

DESCRIPCIÓN DE LAS PRÁCTICAS DE MEJORA


PAGINA 3/4

EDICION/VERSIÓN: NOMBRE DEL PROYECTO:


CONTROLAR LOS RIESGOS

AUDITORÍA DE RIESGOS

AUDITORÍA DE RESPUESTA A RIESGOS

AUDITORÍA DEL PROCESO DE GESTIÓN

FECHA:


Controlar los riesgos es el proceso que consiste en llevar a cabo y verificar la efectividad de todo el proceso de gestión de riesgos a lo largo del

proyecto (planes de respuesta, monitorización de riesgos primarios, secundarios y residuales, identificación de nuevos riesgos, eficacia de las

En el apartado de auditoría de riesgos se recoge un histórico de los eventos ocurridos y sus causas, que deberían haber sido previstos como riesgos

(y por ello tener asignado un RID previamente), detallando su impacto sobre el proyecto para ver si corresponde con el estimado para ese

evento/riesgo o si es diferente (por ejemplo debido a que se adoptaron acciones preventivas o de contingencia), detallando a ser posible la razón de

la diferencia.

En este apartado se estudia la efectividad de la respuesta prevista frente a cada evento en concreto, y si existen posibilidades de responder mejor en

una siguiente ocasión. Si la identificación de riesgos y la planificación de respuestas fue realizada correctamente, cada evento habrá sido previsto

como riesgo, y el campo “RID” puede usarse como referencia de enlace con la tabla anterior de auditoría de riesgos.

En este caso se verifica si han sido llevados a cabo los procesos de gestión definidos por la norma ISO-21500. El director del proyecto puede

determinar hasta que punto delimitar los procesos para su control, por ejemplo, dividiendo la evaluación de los riesgos en “análisis cualitativo” y

“análisis cuantitativo” de los riesgos, lo cual nos valdría para estar más en concordancia con lo establecido en el PMBOK® 5Ed.


PAGINA 4/4

EDICION/VERSIÓN: NOMBRE DEL PROYECTO:

PRÁCTICAS DE ÉXITO Y ACCIONES DE MEJORA

(Nota: en algunos campos de la plantilla se sugieren algunas preguntas que podemos contestar al rellenar cada campo en cuestión).

FECHA:

Se trata de recoger, por un lado, aquellas acciones de gestión de riesgos que pueden determinare como “buenas prácticas” a lo largo del proyecto y

por otro aquellos aspectos que son susceptibles de mejora o han tenido errores, y ello es muy importante de cara a proyectos futuros tanto para el

mismo como para otros directores de proyectos.

COMUNICACIÓN DEL RIESGO

PAGINA 1/2

EDICIÓN/VERSIÓN:

EVENTO OCURRIDO TIPO RID (EID)PRIORIDAD

/URGENCIA

RID (EID)EVENTO

OCURRIDOFECHA LIMITE ESTADO RESPONSABLE

RESPUESTAS

IMPACTO RIESGO PREVISTO

EVENTOS


FECHA:

COMENTARIOACCIONES A REALIZAR

COMUNICACIÓN DEL RIESGO

PAGINA 2/2

EDICIÓN/VERSIÓN:


EVENTOS

RESPUESTAS

En esta parte se ofrece registrar los eventos ocurridos, especificando el tipo de evento (que podría corresponder con categorías de riesgo) y, si como se

espera, se hallaba previsto como riesgo, se puede indicar la identidad y el nombre del riesgo correspondiente a ese evento.

Por otro lado se refleja el impacto producido (o previsto si el efecto del evento tiene retardo) sobre los objetivos del proyecto y la prioridad (si el riesgo

estaba previsto estaría valorado y clasificado) o urgencia (en el caso de que sea un evento imprevisto y requiera señalar la urgencia con la que debe

obtener respuesta, o bien porque el señalar la urgencia sea más importante que la prioridad asignada previamente).

Para cada uno de los eventos señalados en la tabla superior de la plantilla se recoge en otra tabla las acciones a realizar y su fecha límite (o acciones

realizadas si la comunicación es posterior a la fecha de ejecución), su estado (realizada, pendiente, etc.) y el responsable de que sean llevadas a cabo

(que puede corresponder con el responsable de gestión del riesgo).

(Nota: Para el caso, no deseable, de que sucedan eventos no previstos como riesgos, el campo RID no puede servir como identificador del riesgo y

puede usarse como identificador del evento (EID), y en ese caso no debe coincidir con ningún identificador de riesgo asignado, sugiriéndose que su

FECHA:


LIMITACIONES Y PUNTO DE PARTIDA EN RIESGOS


EID TIPO

EIDFECHA

LIMITE ESTADO RESPONSABLE


LIMITACIONES Y PUNTO DE PARTIDA

COMENTARIOIMPACTO SOBRE OBJETIVOSLIMITACIONES/HIPOTESIS DE PARTIDA

LIMITACIONES/HIPOTESIS DE PARTIDADECISIONES TOMADAS/ACCIONES A

REALIZAR

LIMITACIONES Y PUNTO DE PARTIDA EN RIESGOS

EDICION/VERSIÓN:

Adaptado de la Guía Norma Técnica ISO 21500- Grupo Iberoamericano de Análisis de la Norma ISO 21500

LIMITACIONES E HIPÓTESIS DE PARTIDA

EID


Como sabemos, una limitación no es un riesgo, puesto que es una circunstancia ya presente (su probabilidad de ocurrencia

es del 100%) y que nos impacta sobre los objetivos del proyecto. En muchos casos, cuando la probabilidad de ocurrencia de

un evento es cercana al 100% puede ser conveniente gestionarlo como si fuese una limitación, y suponer ya desde el

principio que va a ocurrir y prepararnos para ello.

Por otro lado, al comienzo del proyecto pueden existir unas hipótesis de partida que condicionen las decisiones iniciales y la

estrategia de planificación y ejecución a llevar a cabo, y es necesario dejar expresado lo más claramente posible cuáles son

éstas hipótesis, para verificar a lo largo del proyecto que efectivamente se cumplen y si no es así, tomar medidas correctoras

lo más pronto posible. El hecho de tenerlas documentadas es de crucial importancia cuando pasa el tiempo o por ejemplo

se producen cambios en el equipo del proyecto, pues ayuda a tener una referencia clara del estado inicial y su evolución

hasta el momento de decisión, y a determinar las acciones correctoras a llevar a cabo.

Tanto las limitaciones como las hipótesis de partida pueden hacer que se tomen decisiones o se realicen acciones que, bien

tengan una fecha límite de ejecución o una fecha de revisión de su efectividad. El campo “Estado” se refiere a la situación, en la fecha de edición del documento, de las acciones a realizar, o de

verificación de las decisiones tomadas con respecto a su fecha de ejecución/revisión.

El campo de “identificación de evento” puede utilizarse como referencia para el cruce de ambas tablas, y debe ser

coherente en su formato y numeración con el utilizado en otras tablas como por ejemplo en la “Comunicación de Eventos de

Riesgo”. No debe confundirse con el campo “RID” de identificación de riesgos.

propuesta de fortalecimiento de la gestión de riesgos en

Documents