martes, 29 de mayo de 2012

Elementos para el control de riesgos

La gestión de riesgos en el modelo CMMI se considera en el área de proceso de Risk Management (RSKM) en particular y es utilizado en diferentes prácticas por otras áreas de proceso. De acuerdo con el glosario es el proceso analítico y organizado que se utiliza para identificar lo que puede causar daños o pérdidas (Identificación de riesgos), evaluar y cuantificar los riesgos identificados, y desarrollar y, si es necesario, implementar un enfoque apropiado para prevenir o controlar las causas de los riesgos que pueden resultar en daños significativos. 



En RSKM la meta específica 3 está relacionada con la definición e implementación de los planes de control de riesgos que cumple con la última parte del proceso. Es fundamental, de acuerdo con la estrategia de riesgos, determinar los riesgos que serán considerados y para ello se cuenta con cinco alternativas, de las cuales se seleccionará la que se utilizará para dar el tratamiento necesario a la situación que se presenta.

Opciones de control de riesgo
Es importante evaluar los niveles y umbrales de riesgo para determinar en cada caso las situaciones que se deben considerar. Se evalúa la incertidumbre de alcanzar un objetivo en relación con las consecuencias de no alcanzarlo. En este paso tenemos cinco escenarios para evaluar lo que se hace con el riesgo.
  • Aceptarlo. En esta situación no se hace nada, ya sea porque el impacto del riesgo no es tan importante como para actuar sobre él o porque no se justifica el costo y esfuerzo para evitar que suceda o porque no se tienen actividades que se puedan considerar para gestionar el riesgo. En este caso sería recomendable documentar los supuestos que se consideraron para aceptar el riesgo.
  • Darle seguimiento. En este caso no se gestiona el riesgo propiamente, sólo se revisa cómo se comporta. Especialmente útil para riesgos identificados pero que están muy lejanos en el tiempo aún. Es importante estar al pendiente de su comportamiento para, en dado caso, tomar acciones de control o decidir aceptarlo.
  • Evitarlo. Bajo ciertas circunstancias se puede evitar o eliminar la causa del riesgo. Este enfoque es muy efectivo pero no siempre se puede utilizar. Por ejemplo si una tecnología o componente puede ser un factor de riesgo, una forma de evitarlo es utilizar otra tecnología o componente que no supongan ese riesgo.
  • Transferirlo. En otras circunstancias la responsabilidad para el control del riesgo se puede transferir a un tercero, por ejemplo el cliente o un proveedor. Con esta acción se logra disminuir o minimizar los efectos que podría causar el riesgo.
  • Controlarlo. Este escenario es el que normalmente se utiliza, de tal forma que se establecen una serie de acciones que permiten de manera proactiva evitar que el riesgo se presente, o si se presentara que el efecto sea el menor posible.
De acuerdo con el escenario seleccionado se debe identificar la persona o grupo responsable de atender los riesgos. Al mismo tiempo se deben establecer los costos y beneficios de implementar los planes de riesgo en cada caso, evaluar diferentes alternativas para determinar la más conveniente tanto para evitar el riesgo como para disminuir el daño en caso de presentarse. 


En la matriz de impacto contra probabilidad, como se muestra en la imagen, se pueden establecer ciertos criterios para gestión de riesgos. Los riesgos con alta probabilidad de ocurrencia, en la primera columna, deben ser considerados para acciones de mitigación y reducir la posibilidad de que ocurran. Por otra parte los que tienen alto impacto, en la primera fila, deben establecer acciones de contingencia para disminuir los efectos o daños en caso de presentarse. Los que caigan en la zona roja debe ser considerados de alguna forma, ya sea evitándolos, transfiriéndolos o controlándolos como tal. La zona verde puede relacionarse con riesgos a los que se les requiere dar seguimiento, sin tomar acciones concretas y la zona amarilla podría ser de los riesgos que se aceptan.

Es importante que los planes que se consideren sean viables y que están listos en caso de requerirse, en particular los planes de contingencia que se deben ejecutar cuando el riesgo se presente. Posiblemente por el tiempo en que se anticiparon, los supuestos y condiciones que se consideraron para cuando el riesgo se presentara ya no son aplicables y por tanto fracasan los planes. La revisión y actualización de estos planes, para garantizar su vigencia, es parte importante de las tareas de gestión.