2 UNIVERSIDAD EAN FACULTAD DE INGENIERÍA DEPARTAMENTO DE PROYECTOS DESARROLLO DE UNA METODOLOGÍA PARA LA GESTIÓN DE RIESGOS DE UN PORTAFOLIO DE PROYECTOS AUTORES IVÁN ARMANDO LEAL BAQUERO MABEL CLARENA LESMES GÓMEZ CARLOS ANDRÉS NIÑO HIGUERA DIRECTOR DORA ALBA ARIZA AGUILERA BOGOTÁ D.C., 15 DE MAYO DE 2019 3 A mi esposa, el amor de mi vida, y a mis compañeros del presente trabajo; sin ustedes, no hubiese sido posible. Iván Armando Leal Baquero A Dios, por sorprenderme cada día con bendiciones inesperadas. Y a mi familia, esas personas maravillosas que amo entrañablemente y guardo en lo más profundo de mi corazón. Mabel Clarena Lesmes Gómez A mis padres, por su apoyo y motivación constante. Carlos Andrés Niño Higuera 4 AGRADECIMIENTOS Los autores del presente documento expresan su más sincero agradecimiento: A la profesora Dora Alba Ariza Aguilera, PhD., por su apoyo incondicional, valiosos aportes y genuino interés en el éxito de este trabajo. A cada uno de los profesores que nos compartieron sus conocimientos y experiencias que nos animan a pasar al siguiente nivel en nuestra vida profesional. A la alta gerencia y al equipo de trabajo de Equipos y Controles Industriales S.A., por su generosidad al permitirnos aplicar nuestra metodología de gestión de riesgos al interior de su Organización. A la Universidad EAN por planear de una manera minuciosa cada detalle de esta travesía que hoy culminamos con orgullo y altas expectativas ante lo que llega. A nuestros compañeros de pupitre, que aportaron conocimientos, experiencias, alegrías y amistad en esta aventura. A nuestras familias, por su paciencia, apoyo y amor incondicional en todo este proceso. Y a Dios, por la oportunidad. 5 RESUMEN La gestión de riesgos es una práctica común en la gerencia de proyectos que permite disminuir la incertidumbre y preparar a las organizaciones para enfrentar los cambios en entornos complejos. Sin embargo, el concepto de portafolio de proyectos abre una nueva dimensión que enmarca la relación que existe entre el éxito de sus componentes y la estrategia organizacional. A nivel de portafolio de proyectos, la metodología aplicada para la gestión de riesgos corresponde a la misma que se utiliza para los proyectos de manera individual, por lo que se hace necesario explorar nuevas técnicas y herramientas para identificar, analizar y responder a los riesgos teniendo en cuenta las dependencias entre componentes y la importancia que estos tienen frente a los objetivos estratégicos de la organización. Partiendo entonces de la premisa de que la gestión de riesgos a nivel de portafolio puede ayudar a la organización a dar más valor al portafolio, equilibrar sus componentes y alinearlos con los objetivos estratégicos, el presente trabajo establece una metodología para la gestión de riesgos a nivel de portafolio que permite i) priorizar los componentes del mismo a partir de su relación con dichos objetivos estratégicos, ii) analizar, para estos componentes priorizados, los riesgos del portafolio de manera cualitativa considerando especialmente el impacto de los riesgos sobre la Organización, y iii) proponer planes de respuesta de manera integral, es decir, para el portafolio en conjunto y no de manera independiente para cada uno de sus componentes. La herramienta basada en la metodología propuesta fue aplicada en una compañía colombina del sector industrial, lo que permitió enfocar la atención en los componentes que pueden generar impactos significativos a la estrategia organizacional e identificar riesgos a nivel del portafolio de proyectos que no se visualizaban cuando se analizaban los componentes de manera individual. El análisis realizado es principalmente teórico, por lo cual se requiere de más validación empírica en diferentes industrias para su aceptación general. Palabras clave: Portafolio, objetivos estratégicos, riesgos, componentes, programa, gestión de proyectos, incertidumbre. 6 ABSTRACT Risk management is a common practice in project management that reduces uncertainty and prepares organizations to face changes in complex environments. However, the concept of portfolio of projects opens a new dimension that frames the relationship that exists between the success of its components and the organizational strategy. At the project portfolio level, the methodology applied to risk management corresponds to the same methodology that is used for individual projects, so it is necessary to explore new techniques and tools to identify, analyze and respond to risks, considering the dependencies between components and the importance that they have in relation to the strategic objectives of the organization. Starting from the premise that risk management at the portfolio level can help the organization to give more value to the portfolio, balance its components and align them with strategic objectives, this work establishes a methodology for risk management at the level of portfolio that allows i) prioritize the components of the portfolio based on their relationship with these strategic objectives, ii) analyze, for these prioritized components, the risks of the portfolio in a qualitative manner, considering especially the impact of the risks on the Organization, and iii ) propose response plans in a comprehensive manner, that is, for the portfolio as a whole and not independently for each of its components. The tool based on the proposed methodology was applied in a Colombian company of the industrial sector, which allowed to focus attention in the components that can generate significant impacts to the organizational strategy and identify risks at the level of the portfolio of projects that were not visualized when the components were analyzed individually. The analysis is mainly theoretical, which requires more empirical validation in different industries for general acceptance. Keywords: Portfolio, strategic objectives, risks, components, program, project management, uncertainty. 7 CONTENIDO 1 INTRODUCCIÓN ................................................................................................................................... 11 2 PLANTEAMIENTO DEL PROBLEMA ...................................................................................................... 12 2.1 PROBLEMA DE INVESTIGACIÓN .................................................................................................. 12 2.2 PREGUNTAS DE INVESTIGACIÓN ................................................................................................. 12 2.3 OBJETIVOS GENERALES Y ESPECÍFICOS ....................................................................................... 13 2.3.1 Objetivo General ................................................................................................................. 13 2.3.2 Objetivos Específicos ........................................................................................................... 13 2.4 ALCANCE Y LIMITACIONES .......................................................................................................... 13 2.5 JUSTIFICACIÓN ............................................................................................................................ 14 3 MARCO TEÓRICO ................................................................................................................................ 15 3.1 DEFINICIÓN DE PORTAFOLIO DE PROYECTOS ............................................................................. 15 3.2 DEFINICIÓN DE RIESGO ............................................................................................................... 16 3.3 GESTIÓN DE RIESGOS A NIVEL PROYECTO .................................................................................. 18 3.3.1 Guía de los Fundamentos para la Dirección de Proyectos.................................................. 18 3.3.2 Directrices ISO 31000 segunda edición 2018-02. ............................................................... 25 3.3.3 Norma Técnica Colombiana NTC 5254 - Gestión del Riesgo ............................................... 32 3.3.4 Gestión de Riesgos Corporativos - Marco Integrado / Técnicas de Aplicación .................. 40 3.3.5 Proyectos en Entornos Controlados PRINCE2TM ................................................................. 50 3.3.6 The Complete Project Management Office Handbook ....................................................... 56 3.4 GESTIÓN DE RIESGOS A NIVEL DEL PORTAFOLIO DE PROYECTOS .............................................. 67 3.4.1 Estándar para la Gestión de Portafolios PMI 2017 ............................................................. 67 3.4.2 Estándar para la Gestión de Portafolios PMI 2013 ............................................................. 69 3.4.3 Gestión de Portafolios de Programas y Proyectos .............................................................. 71 3.4.4 Comportamiento de los interesados internos en la gestión del portafolio y su impacto en el éxito 73 3.4.5 Alineación del riesgo operacional y seguros ....................................................................... 76 3.4.6 El viaje de la validación de modelos a la gestión de riesgos de portafolio ......................... 81 3.4.7 Una investigación empírica sobre cómo la gestión de riesgos del portafolio influye en el éxito del portafolio de proyectos. ....................................................................................................... 83 3.5 CUADRO DE MANDO (BALANCED SCORECARD) ......................................................................... 90 3.5.1 Utilizando el cuadro de mando integral como sistema de gestión estratégica. ................. 90 3.5.2 ¿Que constituye un cuadro de mando exitoso? ................................................................. 92 8 4 METODOLOGÍA DE INVESTIGACIÓN ................................................................................................... 93 4.1 TIPO DE INVESTIGACIÓN ............................................................................................................. 93 4.2 INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN .............................................................. 93 4.3 FASES DE LA INVESTIGACIÓN ...................................................................................................... 93 4.3.1 Fase 1: Planteamiento del problema .................................................................................. 93 4.3.2 Fase 2: Elaboración de marco teórico ................................................................................. 94 4.3.3 Fase 3: Elaboración de la metodología de gestión de riesgos ............................................ 94 5 RESULTADOS DE LA INVESTIGACIÓN .................................................................................................. 96 5.1 REVISIÓN CRÍTICA DE LA LITERATURA ........................................................................................ 96 5.2 METODOLOGÍA PROPUESTA PARA LA GESTIÓN DE RIESGOS DE UN PORTAFOLIO DE PROYECTOS 97 5.2.1 Priorizar los componentes del portafolio de proyectos ..................................................... 98 5.2.2 Declarar los riesgos del portafolio de proyectos .............................................................. 102 5.2.3 Valorar la severidad de los riesgos del portafolio de proyectos ....................................... 104 5.2.4 Proponer alternativas de respuesta a los riesgos del portafolio de proyecto .................. 106 5.2.5 Seleccionar la respuesta a los riesgos del portafolio de proyectos .................................. 106 5.2.6 Implementar la respuesta a los riesgos del portafolio de proyectos a nivel organizacional 107 5.2.7 Cuantificar la efectividad de la respuesta a los riesgos del portafolio de proyectos ....... 107 6 APLICACIÓN DE LA METODOLOGÍA EN UN CASO REAL DE PORTAFOLIO DE PROYECTOS ................ 108 6.1 Priorizar los componentes del portafolio de proyectos externos del Área de Operaciones ECI S.A. 109 6.2 Declarar los riesgos de los componentes del portafolio de proyectos externos del Área de Operaciones ECI S.A .............................................................................................................................. 113 6.3 Valorar la severidad de los riesgos de los componentes del portafolio de proyectos externos del Área de Operaciones ECI S.A ................................................................................................................. 114 6.4 Proponer alternativas de respuesta a los riesgos de los componentes del portafolio de proyectos externos del Área de Operaciones ECI S.A ............................................................................................ 115 6.5 Seleccionar la respuesta a los riesgos de los componentes del portafolio de proyectos externos del Área de Operaciones ECI S.A ........................................................................................................... 116 7 CONCLUSIONES Y RECOMENDACIONES ............................................................................................ 117 8 REFERENCIAS BIBLIOGRÁFICAS ......................................................................................................... 119 9 ANEXO 1 - INSTRUCTIVO PARA EL USO DE LA HERRAMIENTA ......................................................... 121 9 LISTA DE TABLAS Tabla 1 Descripción General de la Gestión de los Riesgos del Proyecto ..................................... 18 Tabla 2 Proceso Planificar la Gestión de los Riesgos ................................................................... 20 Tabla 3 Proceso Identificar los Riesgos ........................................................................................ 21 Tabla 4 Proceso Realizar el Análisis Cualitativo de Riesgos ....................................................... 22 Tabla 5 Proceso Realizar el Análisis Cuantitativo de Riesgos ..................................................... 23 Tabla 6 Proceso Planificar la respuesta a los riesgos .................................................................... 24 Tabla 7 Proceso Implementar la Respuesta a los Riesgos ............................................................ 24 Tabla 8 Proceso Monitorear los Riesgos ...................................................................................... 25 Tabla 9 Descripción General de la Gestión de los Riesgos del Portafolio ................................... 69 Tabla 10 Síntesis de la revisión de literatura ................................................................................ 96 Tabla 11 Formato de declaración de riesgos del portafolio de proyectos................................... 103 Tabla 12. Componentes del portafolio de proyectos externos Área de operaciones ECI S.A. ... 109 Tabla 13. Peso (% importancia) de los componentes del portafolio externo Área de Operaciones ECI S.A. ...................................................................................................................................... 110 Tabla 14 Calificación de la importancia de componentes portafolio externo Área de Operaciones ECI .............................................................................................................................................. 111 Tabla 15 Resultados de la priorización de componentes portafolio externo Área de Operaciones ECI S.A. ...................................................................................................................................... 112 Tabla 16 Declaración de los riesgos de componentes portafolio externo Área de Operaciones ECI S.A. ............................................................................................................................................. 113 Tabla 17 Matriz probabilidad-impacto para valoración de riesgos para tolerancia moderada al riesgo de ECI S.A. ...................................................................................................................... 114 Tabla 18 Resultados de la valoración de riesgos de componentes portafolio externo Área de Operaciones ECI S.A. ................................................................................................................. 115 10 LISTA DE FIGURAS Figura 1 Principios para gestionar los efectos de la incertidumbre ISO 31000 ............................ 26 Figura 2 Marco de referencia ISO 31000 ..................................................................................... 28 Figura 3 Proceso de la gestión de riesgos según ISO 31000 ........................................................ 30 Figura 4 Principios, Marco de Referencia y Procesos ISO 31000 ................................................ 32 Figura 5 Proceso General de Gestión de Riesgo ........................................................................... 36 Figura 6 Proceso de Tratamiento de Riesgos ICONTEC 5254 .................................................... 39 Figura 7 Relación entre Misión, Objetivos, Riesgo Aceptado y Tolerancia ................................ 42 Figura 8 Flujos de Información en la Gestión de Riesgos Corporativos ...................................... 47 Figura 9 Elementos de la gestión de riesgos del portafolio .......................................................... 68 Figura 10 Elementos de la gestión de riesgos del portafolio ........................................................ 71 Figura 11 Pólizas de seguros tradicionales ................................................................................... 78 Figura 12 Los seguros en la evaluación de requisitos de capital .................................................. 79 Figura 13 Relación entre el marco de riesgos operacionales y el marco de seguros .................... 79 Figura 14 Metodología propuesta para la gestión de riesgos de un portafolio de proyectos ........ 97 Figura 15 Priorización de objetivos estratégicos para valoración de componentes del portafolio 99 Figura 16 Calificación cualitativa de componentes del portafolio de proyectos .......................... 99 Figura 17 Nivel de importancia .................................................................................................. 100 Figura 18 Umbral de priorización ............................................................................................... 100 Figura 19 Priorización de componentes ...................................................................................... 101 Figura 20 Resultado del proceso de priorización de componentes del portafolio de proyectos . 102 Figura 21 Categorías de riesgo (RBS) definidas para la caracterización de riesgos .................. 104 Figura 22 Matriz probabilidad-impacto en función de la tolerancia al riesgo de la Organización ..................................................................................................................................................... 105 Figura 23 Valoración de la severidad de los riesgos del portafolio de proyectos....................... 106 Figura 24 Representación gráfica de los resultados de priorización de componentes portafolio externo Área de Operaciones ECI S.A. ...................................................................................... 112 11 1 INTRODUCCIÓN Las organizaciones en general, sin tener en cuenta su finalidad, estructura o tamaño, se ven expuestas a una serie de riesgos que pueden afectar sus objetivos estratégicos. Suponiendo que todos los objetivos son importantes y que estos objetivos están envueltos en cierta duda o incertidumbre, existe un riesgo latente para todas las organizaciones. Un primer paso que una organización puede tomar con la Gestión de Riesgos es el reconocimiento del riesgo, como se puede presentar, con que regularidad y con qué impactos. Al tener un conocimiento o mayor comprensión de los riesgos inherentes que se pueden presentar en la funcionalidad de la organización, se puede comprender mejor como estos pueden afectar o desviar los resultados de los objetivos que pueden comprometer su estabilidad. Actualmente existen estándares de Gestión de Riesgos como soporte para la administración de proyectos y prácticas de gestión de riesgo de proyectos a nivel individual; los cuales al aplicarlos a nivel de portafolio se consideran insuficientes. De igual manera las organizaciones parecen tener poca conciencia de los riesgos de portafolio y de la necesidad de ver los riesgos de manera integral (Ariza, 2017). La Gestión de Riesgos a nivel de portafolio puede ayudar a la organización a dar más valor al portafolio, equilibrar sus componentes y alinearlos con los objetivos estratégicos. Al tener una visión integral de los riesgos, se pueden administrar más eficazmente los recursos y las inversiones que tenga la organización. Por esta razón el objetivo del presente trabajo es establecer una metodología para la gestión de riesgos a nivel de portafolio, la cual permita definir los criterios para poder identificar, clasificar, analizar y proponer planes de respuesta a los riesgos (amenazas) del portafolio. 12 2 PLANTEAMIENTO DEL PROBLEMA 2.1 PROBLEMA DE INVESTIGACIÓN La gestión de riesgos es un área de conocimiento propuesta por la mayoría de los estándares internacionales como soporte para la administración de los proyectos (PMI, 2017; OGC, 2009). Su aplicación a su vez, en el portafolio de proyectos, busca asegurar que los componentes del portafolio alcancen el mayor éxito posible, delimitados por la estrategia y el modelo de negocio que tiene la organización (PMI, 2017). La investigación exploratoria realizada por Ariza (2017) con base en la recolección de información sobre las prácticas de gestión del portafolio de proyectos en 13 organizaciones ubicadas en Bogotá, Colombia y pertenecientes a diversos sectores de la industria, evidenció que la gestión de los riesgos a nivel de los proyectos no es una práctica generalizada y formal. Del mismo modo, este autor encontró que, a nivel del portafolio de proyectos, ninguna organización incluía en la gestión del portafolio, un análisis de los riesgos del conjunto de componentes tratado como unidad. Por otra parte, están definidas prácticas de gestión de riesgos en los proyectos abordados de manera individual, que se encuentran consignadas en varios estándares internacionales de administración de proyectos (PMI, 2017; OGC, 2009). Sin embargo, en la revisión de estas mismas prácticas aplicadas a la gestión de los riesgos sobre el portafolio de proyectos, se detectó que los procesos, herramientas y técnicas para identificar, analizar y responder a los riesgos del portafolio corresponden a los mismos que se aplican para proyectos a nivel individual. Las investigaciones alrededor del portafolio han planteado modelos y métodos para hacer evaluación de riesgos de proyectos que, al aplicarlas para gestionar riesgos en conjunto del portafolio de proyectos, se consideran insuficientes. Por tanto, se identifica una necesidad de contar con metodologías para la gestión de riesgos de un portafolio de proyectos. 2.2 PREGUNTAS DE INVESTIGACIÓN ¿Qué criterios se deben tener en cuenta en la identificación de los riesgos del portafolio de proyectos? 13 ¿Se deben categorizar los riesgos particulares de los proyectos del portafolio para la valoración global del riesgo nivel del portafolio? ¿Cuáles deben ser las categorías de riesgo del portafolio de proyectos? ¿Cómo se deben cuantificar los riesgos a nivel del portafolio de proyectos? ¿Cómo se deben analizar los riesgos a nivel del portafolio de proyectos? ¿Cuáles deberían ser las estrategias de respuesta a los riesgos del portafolio de proyectos? 2.3 OBJETIVOS GENERALES Y ESPECÍFICOS 2.3.1 Objetivo General Desarrollar una metodología para la gestión de riesgos de un portafolio de proyectos. 2.3.2 Objetivos Específicos • Definir el proceso para la gestión de los riesgos de un portafolio de proyectos. • Definir los criterios para identificar y clasificar los riesgos del portafolio de proyectos. • Determinar herramientas y/o técnicas para gestionar los riesgos del portafolio de proyectos. • Proponer planes generales de respuesta a los riesgos del portafolio de proyectos. 2.4 ALCANCE Y LIMITACIONES Se restringirá la metodología a los tres procesos de gestión de riesgos de portafolio que plantea el estándar de gestión de portafolios del Project Management Institute: identificación, análisis y respuesta a los riesgos (PMI,2017). Del mismo modo, las herramientas y/o técnicas que se planteen estarán enmarcadas en el concepto de riesgo negativo (amenazas) y por tanto, no incluirá su aplicación a riesgos positivos (oportunidades). En consecuencia, el alcance no incluye el balance entre oportunidades y amenazas que es un factor recomendado por PMI (2017), teniendo en cuenta lo que este mismo autor plantea con respecto a que el balanceo de oportunidades y amenazas es 14 un reto, debido a la complejidad del portafolio y a la característica de incertidumbre asociada con los riesgos. 2.5 JUSTIFICACIÓN Los resultados del estudio de referencia de la presente propuesta metodológica muestran que ninguna de las compañías evaluadas reportó un trabajo a nivel de riesgos del portafolio de proyectos en conjunto. 15 3 MARCO TEÓRICO Se presentan a continuación un compendio de las fuentes de información consultadas para el desarrollo del presente trabajo enfocadas principalmente a identificar las diferentes metodologías de evaluación de riesgos tanto a nivel de portafolio como de proyectos. Se presentan igualmente diferentes definiciones para riesgo. 3.1 DEFINICIÓN DE PORTAFOLIO DE PROYECTOS De acuerdo con el The Standard for Porfolio Management (PMI, 2017) un portafolio es “un conjunto de proyectos, programas, portafolios subsidiarios y operaciones que son administradas como un grupo para alcanzar los objetivos estratégicos” y la gerencia de portafolios es la “gestión centralizada de uno o más portafolios para alcanzar los objetivos estratégicos”. Esto se aplica para alinear los portafolios y sus componentes con la estrategia organizacional. En cuanto a la gestión de los riesgos del portafolio, el The Standard for Porfolio Management (PMI, 2017) señala que esta gestión implica la identificación y el equilibrio de los factores de riesgo (ambientales, humanos, de legislación, etc.) para permitir la entrega de valor del portafolio de manera efectiva y eficiente. Adicionalmente busca asegurar que los componentes del mismo alcancen el mejor éxito posible de acuerdo con la estrategia de la organización a través del equilibrio de amenazas y oportunidades (riesgos positivos y negativos). La gestión de riesgos de portafolio difiere de la gestión de riesgos de los proyectos en que el objetivo de la gestión de riesgos a nivel de proyectos es minimizar las amenazas y aumentar las oportunidades, mientras que en la gestión de riesgos del portafolio busca i) maximizar el valor del portafolio; ii) ajustar el portafolio con la visión, estrategia y objetivos de la organización mediante la alineación con el modelo de negocio; y iii) determinar cómo equilibrar los programas y proyectos dentro el portafolio dadas las capacidades y competencias de la organización (PMI, 2017). Con respecto al equilibrio de riesgos, The Standard for Portafolio Management (PMI, 2017) indica que el apetito al riesgo de los interesados clave en el portafolio es el factor que debe tenerse en cuenta en el equilibrio entre el impacto de las amenazas y los beneficios de las oportunidades. 16 La gestión de riesgos del portafolio se da en todos los niveles como un proceso activo que involucra planificación, análisis, respuesta, monitoreo y control permanentes. Sin embargo, a nivel de portafolio, los riesgos pueden no ser manejados en el sentido tradicional o simple (PMI, 2017) lo que puede llevar a que la ejecución de estrategias de respuesta a los riesgos a nivel de portafolio implique el establecimiento de proyectos dentro de los programas del portafolio o de las operaciones, para abordar amenazas u oportunidades específicas que se han materializado o que tienen una alta probabilidad de materializarse, delegando a estos programas o proyectos las medidas de respuesta a dichos riesgos. Por su parte, el estándar internacional ISO 21504:2015 Project, programme and portfolio management – Guidance on portfolio management, define como portafolio la recopilación de proyectos, programas, subportafolios o trabajos relacionados que permiten cumplir, en todo o en parte, los objetivos estratégicos de una organización. Estos componentes se agrupan para facilitar su gestión. Liliana Buchtik en su libro “Secretos para dominar la gestión de portafolios de programas y proyectos” (2016 p.2), define el portafolio como “un conjunto de sub-portafolios, proyectos, programas, sub-programas y operaciones agrupados, de modo de gestionar el trabajo del portafolio de forma efectiva y coordinada, a fin de cumplir con los objetivos estratégicos de la organización”. Dicho conjunto de sub-portafolios, proyectos, programas, sub-programas y operaciones se conoce como “componentes de un portafolio” y los mismos pueden estar o no vinculados entre sí, pero sí deben estar alineados a alguno de los objetivos estratégicos de la organización. 3.2 DEFINICIÓN DE RIESGO De acuerdo con el diccionario de la real academia de la lengua española, los riesgos se definen como “Contingencia o proximidad de un daño”1. Por otro lado, en el entorno de los proyectos el Project Management Institute describe que el riesgo individual del proyecto “es un evento o condición incierta que, si se produce, tiene un efecto positivo o negativo en uno o más de los objetivos del proyecto” y en términos de riesgo general 1 dle.rae.es/?id=WT8tAMI – Definición Nro. 1 17 del proyecto es “el efecto de la incertidumbre sobre el proyecto en su conjunto, proveniente de todas las fuentes de incertidumbre incluidos riesgos individuales, que representa la exposición de los interesado a las implicancias de las variaciones en el resultado del proyecto, tanto positivas como negativas” (PMI, 2017b, p. 397) Según el estándar Australiano de Administración de riesgos2; el riesgo se define como “la posibilidad de que suceda algo que tendrá un impacto sobre los objetivos. Se lo mide en términos de consecuencias y probabilidades” Desde otra perspectiva en la ISO 3100:2018, el riesgo se define como “efecto de la incertidumbre sobre los objetivos” donde el efecto es “una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas” y “los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar diferentes niveles”. Adicionalmente el riesgo “se expresa en términos de fuente de riesgos, eventos potenciales, sus consecuencias y sus probabilidades” (2018, p.1). En la ISO 9000:2015, se encuentra la definición de riesgo como “efecto de la incertidumbre”, donde el efecto “es una desviación de lo esperado, ya sea positivo o negativo” y la incertidumbre “es el estado incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad”. El termino riesgo en ocasiones se relaciona “cuando solo existe la probabilidad de consecuencias negativas” (2015, p.12) y de conformidad con el Committe Of Sponsoring of the Treadway Commission - COSO en su resumen ejecutivo, Control Interno – Marco Integrado, el riesgo se define como “la posibilidad de que un acontecimiento ocurra y afecte negativamente a la consecución de los objetivos” (2013, p.4). Adicionalmente la Federation of European Risk Management Associations cita el termino riesgo como “la combinación de la probabilidad de un suceso y sus consecuencias (Guía ISO/CEI 73)” (2013, p.3) También se define el riesgo como un evento incierto o conjunto de eventos que, de ocurrir, tendrá un efecto en el logro de los objetivos. Consiste en una combinación de la probabilidad de 2 AS/NZS 4360:1999 Risk Management 18 ocurrencia de una amenaza u oportunidad percibida y la magnitud de su impacto en los objetivos (Office of Government Commerce, 2009). 3.3 GESTIÓN DE RIESGOS A NIVEL PROYECTO Se presenta a continuación un compendio de los estándares de mayor reconocimiento para gestionar los riesgos a nivel de proyecto. 3.3.1 Guía de los Fundamentos para la Dirección de Proyectos De acuerdo con la Guía del PMBoK 6ed, la gestión de los riesgos en el entorno de los proyectos “incluye los procesos para llevar a cabo la planificación de la gestión, identificación, análisis, planificación de respuesta, implementación de respuesta y monitoreo de los riesgos de un proyecto” (PMI, 2017b, p. 397). Dicha guía plantea siete procesos para gestionar los riesgos individuales que puedan surgir durante el ciclo de vida del proyecto, y para cada uno de estos define una serie de entradas, herramientas y técnicas, salidas, las cuales se presentan en la Tabla 1. Tabla 1 Descripción General de la Gestión de los Riesgos del Proyecto PROCESO ENTRADAS HERRAMIENTAS Y TÉCNICAS SALIDAS 1. Planificar la gestión de los riesgos 1. Acta de Constitución del proyecto 2. Plan para la dirección del proyecto 3. Documentos del proyecto 4. Factores ambientales de la empresa 5. Activos de los procesos de la organización 1. Juicio de expertos 2. Análisis de datos 3. Reuniones 1. Plan para la gestión de los riesgos 2. Identificar los riesgos 1. Plan para la dirección del proyecto 2. Documentos del proyecto 3. Acuerdos 4. Documentos de las adquisiciones 5. Factores ambientales de la empresa 6. Activos de los procesos de la organización 1. Juicio de expertos 2. Recopilación de datos 3. Análisis de datos 4. Habilidades interpersonales y de equipo 5. Listas rápidas 6. Reuniones 1. Registro de riesgos 2. Informe de riesgos 3. Actualizaciones a los documentos del proyecto 19 PROCESO ENTRADAS HERRAMIENTAS Y TÉCNICAS SALIDAS 3. Realizar el análisis cualitativo de riesgos 1. Plan para la dirección del proyecto 2. Documentos del proyecto 3. Factores ambientales de la empresa 4. Activos de los procesos de la organización 1. Juicio de expertos 2. Recopilación de datos 3. Análisis de datos 4. Habilidades interpersonales y de equipo 5. Categorización de riesgos 6. Representación de datos 7. Reuniones 1. Actualizaciones a los documentos del proyecto 4. Realizar el análisis cuantitativo de riesgo 1. Plan para la dirección del proyecto 2. Documentos del proyecto 3. Factores ambientales de la empresa 4. Activos de los procesos de la organización 1. Juicio de expertos 2. Recopilación de datos 3. Habilidades interpersonales y de equipo 4. Representación de la incertidumbre 5. Análisis de datos 1. Actualizaciones a los documentos del proyecto 5. Planificar la respuesta a los riesgos 1. Plan para la dirección del proyecto 2. Documentos del proyecto 3. Factores ambientales de la empresa 4. Activos de los procesos de la organización 1. Juicio de expertos 2. Recopilación de datos 3. Habilidades interpersonales y de equipo 4. Estrategias para amenazas 5. Estrategias para oportunidades 6. Estrategias de respuesta a contingencias 7. Estrategias para el riesgo general del proyecto 8. Análisis de datos 9. Toma de decisiones 1. Solicitudes de cambio 2. Actualizaciones al plan para la dirección del proyecto 3. Actualizaciones a los documentos del proyecto 6. Implementar la respuesta a los riesgos 1. Plan para la dirección del proyecto 2. Documentos del proyecto 3. Activos de los procesos de la organización 1. Juicio de expertos 2. Habilidades interpersonales y de equipo 3. Sistema de información para la dirección de proyectos 1. Solicitudes de cambio 2. Actualizaciones a los documentos del proyecto 7. Monitorear los riesgos 1. Plan para la dirección del proyecto 2. Documentos del proyecto 3. Datos de desempeño del trabajo 4. Informes de desempeño del trabajo 1. Análisis de datos 2. Auditorías 3. Reuniones 1. Información de desempeño del trabajo 2. Solicitudes de cambio 3. Actualizaciones al plan para la dirección del proyecto 4. Actualizaciones a los documentos del proyecto 5. Actualizaciones a los activos de los procesos de la organización Fuente: Elaboración a partir de PMI (2017) Los procesos de gestión de riesgos que se presentan en el PMI (2017b) se describen a continuación y se consolidan en la Tabla 2: 20 3.3.1.1 Planificar la Gestión de los Riesgos “Es el proceso de definir cómo realizar las actividades de gestión de riesgos de un proyecto. El beneficio clave de este proceso es que asegura que el nivel, el tipo y la visibilidad de gestión de riesgos son proporcionales tanto a los riesgos como a la importancia del proyecto para la organización y otros interesados.” (PMI, 2017b, p.401). Tabla 2 Proceso Planificar la Gestión de los Riesgos Fuente: Elaboración a partir de PMI (2017) 3.3.1.2 Identificar los Riesgos “Es el proceso de identificar los riesgos individuales del proyecto, así como las fuentes de riesgo general del proyecto y documentar sus características. El beneficio clave de este proceso es la documentación de los riesgos individuales existentes del proyecto y las fuentes de riesgo general del mismo. También reúne información para que el equipo del proyecto pueda responder adecuadamente a los riesgos identificados.” (PMI, 2017b, p.409), tal como se ilustra en la Tabla 3. 21 Tabla 3 Proceso Identificar los Riesgos Fuente: Elaboración a partir de PMI (2017) 3.3.1.3 Realizar el Análisis Cualitativo de Riesgos “Es el proceso de priorizar los riesgos individuales del proyecto para análisis o acción posterior, evaluando la probabilidad de ocurrencia e impacto de dichos riesgos, así como otras características. El beneficio clave de este proceso es que concentra los esfuerzos en los riesgos de alta prioridad.” (PMI, 2017b, p.419). Ver Tabla 4. 22 Tabla 4 Proceso Realizar el Análisis Cualitativo de Riesgos Fuente: Elaboración a partir de PMI (2017) 3.3.1.4 Realizar el Análisis Cuantitativo de Riesgos “Es el proceso de analizar numéricamente el efecto combinado de los riesgos individuales del proyecto identificados y otras fuentes de incertidumbre sobre los objetivos generales del proyecto. El beneficio clave de este proceso es que cuantifica la exposición al riesgo del proyecto en general, y también puede proporcionar información cuantitativa adicional sobre los riesgos para apoyar la planificación de la respuesta a los riesgos” (PMI, 2017b, p.428). Ver Tabla 5. 23 Tabla 5 Proceso Realizar el Análisis Cuantitativo de Riesgos Fuente: Elaboración a partir de PMI (2017) 3.3.1.5 Planificar la Respuesta a los Riesgos “Es el proceso de desarrollar opciones, seleccionar estrategias y acordar acciones para abordar la exposición general al riesgo del proyecto, así como para tratar los riesgos individuales del proyecto. El beneficio clave de este proceso es que identifica las formas adecuadas de abordar el riesgo general del proyecto y los riesgos individuales del proyecto. Este proceso también asigna recursos e incorpora actividades en los documentos del proyecto y el plan para la dirección del proyecto, según sea necesario.” (PMI, 2017b, p.437). Ver Tabla 6. 24 Tabla 6 Proceso Planificar la respuesta a los riesgos Fuente: Elaboración a partir de PMI (2017) 3.3.1.6 Implementar la Respuesta a los Riesgos “Es el proceso de implementar planes acordados de respuesta a los riesgos. El beneficio clave de este proceso es que asegura que las respuestas a los riesgos acordadas se ejecuten tal como se planificaron, a fin de abordar la exposición al riesgo del proyecto en general, minimizar las amenazas individuales del proyecto y maximizar las oportunidades individuales del proyecto.” (PMI, 2017b, p.449). Ver Tabla 7. Tabla 7 Proceso Implementar la Respuesta a los Riesgos Fuente: Elaboración a partir de PMI (2017) 25 3.3.1.7 Monitorear los Riesgos “Es el proceso de monitorear la implementación de los planes acordados de respuesta a los riesgos, hacer seguimiento a los riesgos identificados, identificar y analizar nuevos riesgos y evaluar la efectividad del proceso de gestión de los riesgos a lo largo del proyecto. El beneficio clave de este proceso es que permite que las decisiones del proyecto se basen en la información actual sobre la exposición al riesgo del proyecto en general y los riesgos individuales del proyecto.” (PMI, 2017, p. 453). Ver Tabla 8 Tabla 8 Proceso Monitorear los Riesgos Fuente: Elaboración a partir de PMI (2017) 3.3.2 Directrices ISO 31000 segunda edición 2018-02. La gestión de riesgos se define como las “actividades coordinadas para dirigir y controlar la organización con relación del riesgo” (ISO 31000, 2018, p. 1). El propósito de la gestión de riesgos en el entorno organizacional se enfoca en “la creación y la protección del valor”, que en términos generales “Mejora el desempeño, fomenta la innovación y contribuye al logro de objetivos” (ISO 31000, 2018, p. 3). Para una gestión de riesgos eficaz y eficiente, se requieren una serie de principios (Figura 1) que “deberían habilitar a la organización para gestionar los efectos de la incertidumbre sobre sus objetivos” (ISO 31000, 2018, p. 3). 26 Figura 1 Principios para gestionar los efectos de la incertidumbre ISO 31000 Fuente: Elaboración a partir de ISO 31000 (ISO, 2018). A continuación, se describen los principios que se enmarcar en la gestión de riesgos: • Integrada: “La gestión del riesgo es parte integral de todas las actividades de la organización.” (ISO 31000, 2018, p. 3). • Estructurada y Exhaustiva: “Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a resultados coherentes y comparables.” (ISO 31000, 2018, p. 3). • Adaptada: “El marco de referencia y el proceso de la gestión del riesgo se adaptan y son proporcionales a los contextos externo e interno de la organización relacionadas con sus objetivos.” (ISO 31000, 2018, p. 3). • Inclusiva: “La participación apropiada y oportuna de las partes interesadas permite que se consideren su conocimiento, puntos de visea y percepciones. Esto resulta en una mayor toma de conciencia y una gestión del riesgo informada.” (ISO 31000, 2018, p. 4). • Dinámica: “Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos externo e interno de la organización. La gestión del riesgo anticipa, detecta, 27 reconoce y responde a esos cambios y eventos de una manera apropiada y oportuna.” (ISO 31000, 2018, p. 4). • Mejor información disponible: “Las entradas a la gestión del riesgo se basan en información histórica y actualizada, así como en futuras expectativas. La gestión del riesgo tiene en cuenta explícitamente cualquier limitación e incertidumbre asociada con tal información y expectativas. La información debería ser oportuna, clara y disponible para las partes interesadas pertinentes.” (ISO 31000, 2018, p. 4). • Factores humanos y culturales: “El comportamiento humano y la cultura influyen considerablemente en todos los aspectos de la gestión del riesgo en todos los niveles y etapas.” (ISO 31000, 2018, p. 4). • Mejora continua: “La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.” (ISO 31000, 2018, p. 4). El marco de referencia de la gestión del riesgo tiene como propósito asistir a la organización en integrar dicha gestión en todas sus actividades y funciones significativas, donde su eficacia dependerá de la integración en la gobernanza de la organización y la inclusión de la toma de decisiones, por lo cual se requiere el apoyo de las partes interesadas, especialmente de la alta dirección (ISO 31000, 2018). Para lograr el desarrollo del marco de referencia se deben implementar los componentes que se presentan en la Figura 2: 28 Figura 2 Marco de referencia ISO 31000 Fuente: Elaboración a partir de ISO 31000 (ISO, 2018) A continuación, se describen los componentes relacionados con el marco de referencia de la gestión de riesgos: • Liderazgo y compromiso: “La alta dirección y los órganos de supervisión, cuando sea aplicable, deberían asegurar que la gestión del riesgo esté integrada en todas las actividades de la organización y deberían demostrar el liderazgo y compromiso” (ISO 31000, 2018, p. 5). • Integración: “El riesgo se gestiona en cada parte de la estructura de la organización. Todos los miembros de una organización tienen la responsabilidad de gestionar el riesgo.” (ISO 31000, 2018, p. 6). • Diseño: Comprensión de la organización y de su contexto, articulación del compromiso con la gestión del riesgo, asignación de roles, autoridades, responsabilidades y obligación de rendir cuentas en la organización, asignación de recursos y establecimiento de la comunicación y la consulta (ISO 31000, 2018). 29 • Implementación: para implementar con éxito el marco de referencia se requiere de compromiso y conciencia de las partes, para realizar la inclusión de la gestión de riesgos en todas las actividades de la organización (ISO 31000, 2018). • Valoración: para valorar la eficacia del marco de referencia, se debe medir periódicamente su desempeño y determinar si permanece idóneo para apoyar a los objetivos de la organización (ISO 31000, 2018). • Mejora: que se compone de la adaptación, donde “La organización debería realizar el seguimiento continuo y adaptar el marco de referencia de la gestión del riesgo en función de los cambios externos e internos” y la mejora continua donde se verifica “la idoneidad, adecuación y eficacia del marco de referencia de la gestión del riesgo y la manera en la que se integra el proceso de la gestión del riesgo” (ISO 31000, 2018, p. 9). El proceso de la gestión del riesgo debería ser parte integral de la gestión y toma de decisiones de la organización, teniendo en cuenta que para su aplicación es necesario involucrar las políticas, cultura, procedimientos y practicas a las actividades de comunicación y consulta para afrontar el impacto que puedan ocasionar la materialización de riesgos y tener un plan de respuesta adecuado y efectivo (ISO 31000,2018). Las aplicaciones del proceso de la gestión del riesgo dentro de la organización pueden ser diversa y “adaptadas para 1ograr objetivos, y apropiadas a los contextos externo e interno en los cuales se aplican”, donde la se debería considera “la naturaleza dinámica y variable del comportamiento humano y de la cultura”3. El proceso de la gestión del riesgo se ilustra en la Figura 3: 3 ISO 31000, 2018, p. 10 30 Figura 3 Proceso de la gestión de riesgos según ISO 31000 Fuente: Elaboración a partir de ISO 31000 (ISO, 2018) Aunque en la anterior gráfica la gestión del riesgo se presenta de forma secuencial, en la práctica es iterativo (ISO 31000, 2018). A continuación, se resumen los elementos que componen el proceso de la gestión del riesgo: 3.3.2.1 Comunicación y Consulta: El propósito de la comunicación y consulta es asistir a las partes interesadas a comprender el riesgo, la base y/o criterios con que se toman decisiones y las razones necesarias para tomar acciones (ISO 31000, 2018). 3.3.2.2 Alcance, contexto y criterios: El proceso de gestión de riesgo puede aplicarse en distintos niveles como el estratégico, operacional, de programa, de proyecto u otras actividades, por lo cual es importante tener claro el alcance considerado, los objetivos a considerar y el alineamiento con los objetivos de la organización (ISO 31000, 2018). 31 El contexto del proceso de gestión del riesgo es el entorno en el cual la organización busca definir y lograr sus objetivos, para lo cual se debe tener la comprensión de los contextos externos e internos (ISO 31000, 2018). La organización debe determinar el tipo y cantidad de riesgos que pueden o no tomar relacionados con los objetivos (ISO 31000, 2018). 3.3.2.3 Evaluación del riesgo: Proceso en el cual se debe realizar la identificación, análisis y valoración del riesgo (ISO 31000, 2018). 3.3.2.4 Tratamiento del riesgo: El propósito de este proceso es “seleccionar e implementar opciones para abordar el riesgo” (ISO 31000, 2018, p.15). 3.3.2.5 Seguimiento y revisión: Proceso mediante el cual se asegura y mejora la calidad y eficacia del diseño, la implementación de las opciones para abordar los riesgos y los resultados del proceso, donde la continuidad y la periodicidad con que se realice el seguimiento y revisión debe estar planificada y con responsabilidad claramente definidas (ISO 31000, 2018, p.15). 3.3.2.6 Registro e informe: El proceso de la gestión del riesgo y los resultados deben ser documentados con el fin de comunicar a las partes interesadas las actividades, registrar la información para la toma de decisiones, asistir la iteración incluyendo a los responsables para la rendición de cuentas (ISO 31000, 2018). “La gestión del riesgo está basada en los principios, el marco de referencia y el proceso descritos” (Figura 4). “Estos componentes podrían existir previamente en toda o parte de la organización, sin embargo, podría ser necesario adaptarlos o mejorarlos para que la gestión del riesgo sea eficiente, eficaz y coherente” (ISO 31000, 2018). 32 Figura 4 Principios, Marco de Referencia y Procesos ISO 31000 Fuente: Elaboración a partir de ISO 31000 (ISO, 2018) 3.3.3 Norma Técnica Colombiana NTC 5254 - Gestión del Riesgo Esta norma es la adopción modificada de la AS/NZ 4390: Risk Management y ofrece los requisitos generales para el establecimiento e implementación del proceso de gestión del riesgo, que involucra la determinación del contexto y la identificación, análisis, evaluación, tratamiento, comunicación y monitoreo regular de los riesgos (ICONTEC, 2004, p.1). La gestión del riesgo es el término aplicado a un método lógico y sistemático para el establecimiento del contexto, identificación, análisis, evaluación, tratamiento, monitoreo y comunicación de los riesgos asociados con cualquier actividad, función o proceso, de forma que posibilite que las organizaciones minimicen pérdidas y maximicen oportunidades (ICONTEC, 2004, p.1). A continuación, se presentan algunas de las definiciones presentadas en esta norma (ICONTEC, 2004, p.2). • Aceptación del riesgo: decisión informada de aceptar las consecuencias y posibilidad de un riesgo particular. 33 • Análisis del riesgo: uso sistemático de la información disponible, para determinar la frecuencia con la que pueden ocurrir eventos especificados y la magnitud de sus consecuencias. • Consecuencia: resultado de un evento expresado cualitativa o cuantitativamente, como por ejemplo una pérdida, lesión, desventaja o ganancia. Puede haber una serie de resultados posibles asociados con un evento. • Control del riesgo: parte de la gestión del riesgo que involucra la implementación de políticas, normas, procedimientos y cambios físicos a fin de eliminar o minimizar los riesgos adversos. • Control del riesgo: parte de la gestión del riesgo que involucra la implementación de políticas, normas, procedimientos y cambios físicos a fin de eliminar o minimizar los riesgos adversos. • Evaluación del riesgo: proceso usado para determinar las prioridades de gestión del riesgo mediante la comparación del nivel de riesgo contra normas predeterminadas, niveles de riesgo objeto u otros criterios. • Evento: incidente o situación que ocurre en un lugar particular durante un intervalo de tiempo particular. • Evitar el riesgo: decisión informada de no involucrarse en una situación de riesgo. • Evitar el riesgo: decisión informada de no involucrarse en una situación de riesgo. • Financiación del riesgo: métodos aplicados para suministrar fondos para el tratamiento del riesgo y las consecuencias financieras del riesgo. NOTA En algunas industrias, la financiación del riesgo sólo se relaciona con el suministro de fondos para afrontar las consecuencias financieras del riesgo. • Frecuencia: medida de la tasa de ocurrencia de un evento, expresada como el número de ocurrencias de un evento en un tiempo determinado. Véase también Posibilidad y Probabilidad. 34 • Gestión del riesgo: cultura, procesos y estructuras que se dirigen hacia la gestión eficaz de las oportunidades potenciales y los efectos adversos. • Identificación del riesgo: proceso para determinar lo que puede suceder, por qué y cómo. • Ingeniería del riesgo: aplicación de principios de ingeniería y métodos para la gestión del riesgo. • Monitorear: verificar, supervisar, observar de forma crítica, o registrar el progreso de una actividad, acción o sistema, en forma regular, a fin de identificar cambios. • Organización: empresa, firma, compañía o asociación, u otra entidad legal o parte de la misma, ya sea constituida o no, pública o privada, que tiene sus propias funciones y administración. • Peligro: fuente de daño potencial o situación con potencial para causar pérdida. • Posibilidad: se emplea como una descripción cualitativa de la probabilidad o frecuencia. • Probabilidad: posibilidad de que ocurra un evento o resultado específico, medida por la relación entre los eventos o resultados específicos y el número total de eventos o resultados posibles. La probabilidad se expresa como un número entre 0 y 1, en donde 0 indica un evento o resultado imposible y 1 un evento o resultado seguro. • Proceso de gestión del riesgo: aplicación sistemática de políticas de gestión, procedimientos y prácticas, a las tareas de establecimiento del contexto, identificación, análisis, evaluación, tratamiento, monitoreo y comunicación del riesgo. • Reducción del riesgo: aplicación selectiva de técnicas apropiadas y principios de gestión a fin de reducir la posibilidad de una ocurrencia o sus consecuencias, o ambas. • Retención del riesgo: retención, intencional o no, de la responsabilidad por pérdida, o carga por la pérdida financiera dentro de la organización. • Riesgo residual: Nivel restante de riesgo después de que se han tomado medidas de tratamiento del riesgo. 35 • Riesgo: posibilidad de que suceda algo que tendrá impacto en los objetivos. Se mide en términos de consecuencias y posibilidad de ocurrencia. • Transferencia del riesgo: traslado de la responsabilidad o carga por la pérdida a otra parte, por medio de la legislación, contratos, seguros u otros medios. La transferencia del riesgo también se puede referir al traslado de un riesgo físico o parte de este a cualquier otra parte. • Tratamiento del riesgo: selección e implementación de las opciones apropiadas para ocuparse del riesgo. • Valoración del riesgo: proceso general de análisis del riesgo y evaluación del riesgo. 3.3.3.1 Política de Gestión del Riesgo La alta dirección de la organización debe definir y documentar su política para gestión del riesgo, incluidos los objetivos para la gestión del riesgo y su compromiso con ella. La política de gestión del riesgo debe ser pertinente para el contexto estratégico de la organización y sus metas, objetivos y la naturaleza de sus negocios. La dirección debe asegurar que su política sea entendida, implementada y mantenida en todos los niveles de la organización. (ICONTEC, 2004) 3.3.3.2 Proceso General de Gestión del Riesgo. El proceso ocurre dentro del marco de un contexto estratégico, organizacional y de gestión del riesgo de una organización (Figura 5). Este requiere establecerse para definir los parámetros básicos dentro de los cuales se debe manejar el riesgo, y para ofrecer orientación con relación a decisiones dentro de estudios de gestión del riesgo más detallados. (ICONTEC, 2004, p.5). 36 Figura 5 Proceso General de Gestión de Riesgo Fuente: Elaboración a partir de NTC 5254 (ICONTEC, 2004) 3.3.3.2.1 Establecer el contexto Define la relación entre la organización y su entorno, identificando las fortalezas, debilidades, oportunidades y amenazas de la organización. El contexto incluye los aspectos financieros, operacionales, competitivos, políticos (percepciones/imagen ante el público), sociales, del cliente, culturales y legales de las funciones de una organización. (ICONTEC, 2004, p.8). Identifica las partes interesadas internas y externas, y considera sus objetivos; tiene en cuenta sus percepciones y establece políticas de comunicación con estas partes. (ICONTEC, 2004, p.8). 37 Es conveniente establecer las metas, objetivos, estrategias, alcance y parámetros de la actividad o parte de la organización a la cual se está aplicando el proceso de gestión del riesgo. El proceso se debe emprender prestando atención cuidadosa a la necesidad de equilibrar costos, beneficios y oportunidades. También deben especificarse los recursos requeridos y los registros que se deben llevar. (ICONTEC, 2004, p.9). Decidir los criterios contra los cuales se va a evaluar el riesgo. Las decisiones relacionadas con la aceptabilidad del riesgo y su tratamiento pueden basarse en criterios operacionales, técnicos, financieros, legales, sociales, humanitarios u otros. Con frecuencia, estos dependen de la política interna de una organización, sus metas, objetivos y los intereses de las partes interesadas. (ICONTEC, 2004, p.10). 3.3.3.2.2 Identificación del Riesgo En este paso se busca identificar los riesgos que se van a gestionar. Es esencial realizar una identificación de conjunto usando un proceso sistemático bien estructurado, debido a que un riesgo potencial no identificado durante esta etapa será excluido del análisis posterior. La identificación debe incluir todos los riesgos, sea que estén o no bajo el control de la organización. (ICONTEC, 2004, p.10). 3.3.3.2.3 Análisis del Riesgo Los objetivos del análisis consisten en separar los riesgos aceptables menores de los mayores, y proporcionar datos que sirvan para la evaluación y el tratamiento de riesgos. El análisis del riesgo incluye considerar las fuentes de riesgo, sus consecuencias y la posibilidad de que estas consecuencias ocurran. (ICONTEC, 2004, p.12). Consecuencias y posibilidad: Se evalúa la magnitud de las consecuencias de un evento, si ocurriera, y la posibilidad del evento y sus consecuencias asociadas, en el contexto de los controles existentes. Las consecuencias y la posibilidad se combinan para producir un nivel de riesgo. Las consecuencias y la posibilidad se pueden determinar a partir de análisis y cálculos estadísticos. (ICONTEC, 2004, p. 12). Tipos de análisis: (ICONTEC, 2004, p. 13). 38 • Análisis cualitativo: se aplica para describir la magnitud de las consecuencias potenciales y la posibilidad de que estas consecuencias ocurran. • Análisis semicuantitativo: asigna valores a escalas cualitativas de frecuencia de exposición (grado en el que existe una fuente de riesgo) y probabilidad (posibilidad de que ocurran consecuencias cuando existe la fuente de riesgo). • Análisis cuantitativo: emplea valores numéricos tanto para las consecuencias como para la probabilidad a partir de datos de una variedad de fuentes (registros pasados, experiencia pertinente, práctica y experiencia industrial, literatura pertinente, experimentos, juicio de expertos, entre otros). • Análisis de sensibilidad: se utiliza para determinar el efecto de los cambios en la hipótesis y daos de las estimaciones cuantitativas. 3.3.3.2.4 Evaluación del Riesgo La evaluación del riesgo involucra la comparación del nivel de riesgo encontrado durante el proceso de análisis contra los criterios de riesgo previamente establecidos. El resultado de una evaluación del riesgo es una lista priorizada de riesgos, para tomar acciones posteriores. Se deben considerar los objetivos de la organización y el grado de oportunidad que pudiera resultar de asumir el riesgo. (ICONTEC, 2004, p.15). 3.3.3.2.5 Tratamiento del Riesgo El tratamiento del riesgo incluye la identificación de la gama de opciones para tratar el riesgo, la evaluación de dichas opciones, la preparación de planes para el tratamiento del riesgo y su implementación. (ICONTEC, 2004, p.15), tal como se presenta en la Figura 6. 39 Figura 6 Proceso de Tratamiento de Riesgos ICONTEC 5254 Fuente: Elaboración a partir de NTC 5254 (ICONTEC, 2004). 3.3.3.2.6 Monitoreo y Revisión Es necesario monitorear los riesgos, la eficacia del plan de tratamiento del riesgo, las estrategias y el sistema de gestión que se establecen para controlar la implementación. Deben monitorearse los riesgos y la eficacia de las medidas de control a fin de garantizar que las circunstancias cambiantes no alteren las prioridades del riesgo. Pocos riesgos permanecen estáticos. (ICONTEC, 2004, p. 19). 3.3.3.2.7 Comunicación y Consulta La comunicación y la consulta constituyen una consideración importante en cada paso del proceso de gestión del riesgo. Resulta primordial desarrollar un plan de comunicación tanto para las partes interesadas internas como para las externas en la etapa más temprana del proceso. Este plan debe tratar asuntos relacionados tanto con el riesgo mismo como con el proceso para gestionarlo. (ICONTEC, 2004, p. 19). Identificación y tratamiento de opciones NO NO Implementar planes de tratamiento Parte retenida Parte transferida Retener guardar RECOMENDACIONES DEL TRATAMIENTO DE ESTRATEGIAS SELECCIÓN DEL TRATAMIENTO DE ESTRATEGIAS Preparar los planes de tratamiento PREPARACIÓN DE PLANES DE TRATAMIENTO Reducción de probabilidades Reducción de consecuencias Transferencia total o en partes Evitar EVALUACIÓN Y RANGO DEL RIESGO C O M U N IC A R Y C O N SU LT A R Acepta Reducción de probabilidad Reducción de consecuencias Transferencia total o en partes Evitar Calcular el tratamiento de las opciones CONSIDERACIONES DE FACTIBILIDAD DE COSTOS Y BENEFICIOS RIESGO ACEPTABLE SI SIRIESGO ACEPTABLE 40 3.3.4 Gestión de Riesgos Corporativos - Marco Integrado / Técnicas de Aplicación Elementos clave de la gestión de Riesgos Corporativos. (Committee of Sponsoring Organizations of the Treadway Commission (COSO), 2004). 3.3.4.1 Ambiente Interno. El ambiente interno abarca el talante de una organización, que influye en la conciencia de sus empleados sobre el riesgo y forma la base de los otros componentes de la gestión de riesgos corporativos, proporcionando disciplina y estructura. Los factores del ambiente interno incluyen la filosofía de gestión de riesgos de una entidad, su riesgo aceptado, la supervisión ejercida por el consejo de administración, la integridad, valores éticos y competencia de su personal y la forma en que la dirección asigna la autoridad y responsabilidad y organiza y desarrolla a sus empleados (COSO, 2004). • Impacto: El ambiente interno de una organización tiene un impacto significativo en el modo como se implanta la gestión de riesgos corporativos y en su funcionamiento continuado, constituyendo el contexto en que se aplican otros componentes de la gestión de riesgos corporativos, con un importante efecto positivo o negativo sobre ellos (COSO, 2004, p.14). • Filosofía de la Gestión de Riesgos: La filosofía de la gestión de riesgos de una organización es el conjunto de creencias y actitudes compartidas que caracterizan el modo en que la entidad contempla el riesgo en todas sus actuaciones, desde el desarrollo e implantación de la estrategia hasta sus actividades cotidianas. Dicha filosofía queda reflejada prácticamente en todo el quehacer de la dirección al gestionar la entidad y se plasma en las declaraciones sobre políticas, las comunicaciones verbales, escritas y la toma de decisiones (COSO, 2004, p.14). • Integridad y Valores Éticos: La eficacia de la gestión de riesgos corporativos no debe sobreponerse a la integridad y los valores éticos de las personas que crean, administran y controlan las actividades de la organización (COSO, 2004, p.14). 41 Las organizaciones apoyan una cultura de valores éticos e integridad mediante la comunicación de documentos tales como una declaración de valores fundamentales que establezca los principios y prioridades de la entidad y un código de conducta. Este código proporciona una conexión entre la misión / visión y las políticas y procedimientos operativos. Sin ser una guía exhaustiva de conducta, ni un documento legal que perfile en gran detalle los protocolos clave de la organización, un código de conducta es una declaración proactiva de las posiciones de la entidad frente a las cuestiones éticas y de cumplimiento. Estos códigos también pueden ser útiles como guías de fácil utilización acerca de las políticas relativas a la conducta de los empleados y de la propia organización (COSO, 2004, p.14). 3.3.4.2 Establecimiento de Objetivos. Los objetivos se fijan a escala estratégica, estableciendo con ellos una base para los objetivos operativos, de información y de cumplimiento. Cada entidad se enfrenta a una gama de riesgos procedentes de fuentes externas e internas y una condición previa para la identificación eficaz de eventos, la evaluación de sus riesgos y la respuesta a ellos es fijar los objetivos, que tienen que estar alineados con el riesgo aceptado por la entidad, que orienta a su vez los niveles de tolerancia al riesgo de la misma (COSO, 2004, p.19), tal como se muestra en la Figura 7. • Objetivos Estratégicos: Al considerar las posibles formas alternativas de alcanzar los objetivos estratégicos, la dirección identifica los riesgos asociados a una gama amplia de elecciones estratégicas y considera sus implicaciones (COSO, 2004, p.19). • Objetivos Relacionados: Los objetivos al nivel de empresa están vinculados y se integran con otros objetivos más específicos, que repercuten en cascada en la organización hasta llegar a subobjetivos establecidos, por ejemplo, en las diversas actividades de ventas, producción, ingeniería e infraestructura (COSO, 2004, p.19). • Riesgo Aceptado: El riesgo aceptado puede expresarse en términos cualitativos o cuantitativos (COSO, 2004, p.23). • Determinación de la tolerancia al Riesgo: Las tolerancias al riesgo son los niveles aceptables de desviación relativa a la consecución de objetivos. Operar dentro de las 42 tolerancias al riesgo proporciona a la dirección una mayor confianza en que la entidad permanece dentro de su riesgo aceptado, que a su vez, proporciona una seguridad más elevada de que la entidad alcanza sus objetivos (COSO, 2004, p.26). Figura 7 Relación entre Misión, Objetivos, Riesgo Aceptado y Tolerancia Fuente: Elaboración a partir Gestión de Riesgos Corporativos - Marco Integrado / Técnicas de Aplicación (COSO,2004). OBJETIVOS ESTRATÉGICOS ESTRATEGIA RIESGO ACEPTADO OTROS OBJETIVOS RELACIONADOS MEDICIÓN MEDICIÓN - Cuota de mercado - Unidades de producción - Número de empleados contratados - Calidad del producto en niveles sigma MISIÓN Ser un fabricante líder de productos para el hogar en las regiones en las que operamos - Incrementar la producción de cierta unidad en un 15% durante los próximos 12 meses. - Reclutar 180 nuevos empleados cualificados en el conjunto de todas las divisiones de producción. - Mantener una calidad del producto de 4,0 sigma. - Mantener unos gastos de personal del 22% sobre cada unidad monetaria de pedidos. Expandir la producción de nuestros cinco productos más vendidos para responder a la demanda creciente - Estar en el cuartil superior de ventas del producto a nuestros minoristas - Aceptar que la empresa deberá consumir grandes cantidades de capital para invertiros en nuevos activos, personal y procesos. - Aceptar que la competencia podría aumentar (p.e. mediante políticas depredadoras de precios) conforme intentemos incrementar la cuota de mercado, lo que afectaría negativamente a los márgenes de beneficio. - No aceptamos una erosión en la calidad del producto. TOLERANCIA AL RIESGO MEDICIÓN OBJETIVO TOLERANCIA - INTERVALO ACEPTABLE - Cuota de mercado - Unidades de producción - Número neto de empleados contratados - Índice de calidad del producto Percentil 25 150.000 unidades 180 empleados 4,0 sigma 20% - 30% -7.500/+10.000 -15/+20 4,0 - 4,5 sigma 43 3.3.4.3 Identificación de eventos La dirección identifica los eventos potenciales que, de ocurrir, afectarán a la entidad y determina si representan oportunidades o si pueden afectar negativamente a la capacidad de la empresa para implantar la estrategia y lograr los objetivos con éxito. Los eventos con impacto negativo representan riesgos, que exigen la evaluación y respuesta de la dirección. Los eventos con impacto positivo representan oportunidades, que la dirección reconduce hacia la estrategia y el proceso de fijación de objetivos. Cuando identifica los eventos, la dirección contempla una serie de factores internos y externos que pueden dar lugar a riesgos y oportunidades, en el contexto del ámbito global de la organización (COSO, 2004, p.29). • Vinculación de Eventos y Objetivos: Se relacionan los eventos posibles y su impacto en el objetivo, la tolerancia de riesgo asociada y la unidad de medición (COSO, 2004, p.29). • Técnicas de Identificación de Eventos: La dirección utiliza diversas técnicas para identificar posibles acontecimientos que afecten al logro de los objetivos. Estas técnicas se emplean en la identificación de riesgos y oportunidades (COSO, 2004, p.30). • Técnicas comunes de identificación de eventos y su aplicación: Inventario de eventos, talleres de trabajo, entrevistas, cuestionarios y encuestas, análisis del flujo de procesos, indicadores de evento, indicadores de alarma, seguimiento de datos de eventos con pérdidas (COSO, 2004). • Identificación continua de eventos: Se identifican eventos posibles de manera continua en conexión con las actividades diarias propias del negocio (COSO, 2004, p.41). • Interrelación de eventos que pueden afectar a los objetivos: eventos que pueden tener impacto sobre el logro de un objetivo (COSO, 2004, p.42). • Clasificación de eventos por categorías: Mediante la agrupación de posibles eventos de características similares, la dirección puede determinar con más precisión las oportunidades y los riesgos (COSO, 2004, p.44). 44 3.3.4.4 Evaluación de Riesgos. La evaluación de riesgos permite a una entidad considerar la amplitud con que los eventos potenciales impactan en la consecución de objetivos. La dirección evalúa estos acontecimientos desde una doble perspectiva de probabilidad e impacto y normalmente usa una combinación de métodos cualitativos y cuantitativos. Los impactos positivos y negativos de los eventos potenciales deben examinarse individualmente o por categoría, en toda la entidad. Los riesgos se evalúan con un doble enfoque: riesgo inherente y riesgo residual (COSO, 2004, p.45). • Riesgo inherente y residual: El riesgo inherente es aquel al que se enfrenta una entidad en ausencia de acciones de la dirección para modificar su probabilidad o impacto (COSO, 2004, p.45). El riesgo residual es aquel que permanece después de que la dirección desarrolle sus respuestas a los riesgos (COSO, 2004, p.46). • Metodología y técnicas cualitativas y cuantitativas: La metodóloga de evaluación de riesgos de una entidad consiste en una combinación de técnicas cualitativas y cuantitativas. La dirección aplica a menudo técnicas cualitativas cuando los riesgos no se prestan a la cuantificación o cuando no están disponibles datos suficientes y creíbles para una evaluación cuantitativa o la obtención y análisis de ellos no resulte eficaz por su coste. Las técnicas cuantitativas típicamente aportan más precisión y se usan en actividades más complejas y sofisticadas, para complementar las técnicas cualitativas (COSO, 2004, p.47). • Riesgo y Asignación de Capital: Algunas empresas utilizan este término para referirse a la cantidad de capital requerida para protegerse contra riesgos financieros. Otras la utilizan de manera diferente, como una medida del capital necesario para hacer funcionar el negocio de la manera planificada. La dirección lo puede utilizar para establecer estrategias, asignar recursos y medir el rendimiento (COSO, 2004, p.59). • Presentación de evaluaciones de riesgos: Las organizaciones utilizan diversos métodos para presentar las evaluaciones de riesgos. La presentación de una manera clara y concisa resulta especialmente importante en el caso de la evaluación cualitativa, dado que en este caso los riesgos no se resumen en una cifra o intervalo numérico, como sucede en las 45 técnicas cuantitativas. Algunas técnicas incluyen mapas de riesgo y representaciones numéricas (COSO, 2004, p.60). • Perspectiva a nivel de organización: Como parte de las evaluaciones de riesgos, la dirección puede apoyarse en las realizadas en una unidad de negocio o bien llevar a cabo una evaluación independiente utilizando las técnicas ilustradas anteriormente, para formar un perfil de riesgo al nivel de toda la organización (COSO, 2004, p.63). 3.3.4.5 Respuesta a los Riesgos. Una vez evaluados los riesgos relevantes, la dirección determina como responder a ellos. Las respuestas pueden ser las de evitar, reducir, compartir y aceptar el riesgo. Al considerar su respuesta, la dirección evalúa su efecto sobre la probabilidad e impacto del riesgo , así como los costes y beneficios, y selecciona aquella que sitúe el riesgo residual dentro de las tolerancias al riesgo establecidas. La dirección identifica cualquier oportunidad que pueda existir y asume una perspectiva del riesgo globalmente para la entidad o bien una perspectiva del portafolio de riesgos, determinando si el riesgo residual global concuerda con el riesgo aceptado por la entidad (COSO, 2004, p.69). • Respuesta a los riesgos: Evitar, reducir, compartir y aceptar (COSO, 2004, p.69). • Consideración de respuestas al riesgo: Para determinados riesgos, la dirección puede confiar en múltiples técnicas para reducir el riesgo residual general hasta situarlo dentro de las tolerancias al riesgo (COSO, 2004, p.73). • Costos y Beneficios: Prácticamente todas las respuestas al riesgo implican algún tipo de coste directo o indirecto que se debe sopesar en relación con el beneficio que genera. Se ha de considerar el coste inicial del diseño e implantación de una respuesta (procesos, personal y tecnología), así como el coste de mantener la respuesta de manera continua. Los costes y beneficios asociados pueden medirse cuantitativa o cualitativamente, empleando normalmente una unidad de medida coherente con la empleada para establecer el objetivo y las tolerancias al riesgo relacionadas (COSO, 2004, p.74). • Perspectiva de portafolio del riesgo residual: A partir del enfoque de gestión del riesgo para unidades individuales, la alta dirección de una empresa está en posición para crear 46 una perspectiva de portafolio, a fin de determinar si el perfil de riesgo de la organización es acorde con su riesgo aceptad o en relación con sus objetivos (COSO, 2004, p.76). 3.3.4.6 Actividades de Control. Las actividades de control son las políticas y procedimientos que ayudan a asegurar que se llevan a cabo las respuestas de la dirección a los riesgos. Las actividades de control tienen lugar a través de la organización, a todos los niveles y en todas las funciones. Incluyen una gama de actividades -tan diversas como aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones del funcionamiento operativo, seguridad de los activos y segregación de funciones (COSO, 2004, p.79). • Integración con la respuesta al riesgo: Después de haber seleccionado las respuestas al riesgo, la dirección identifica las actividades de control necesarias para ayudar a asegurar que las respuestas a los riesgos se lleven a cabo adecuada y oportunamente (COSO, 2004, p.79). • Uso de las actividades de control como respuesta a los riesgos: Si bien las actividades de control se establecen, por norma general, para asegurar que se lleva n a cabo de manera adecuada la respuesta a los riesgos, en el caso de ciertos objetivos las propias actividades de control constituyen la respuesta al riesgo (COSO, 2004, p.80). 3.3.4.7 Información y Comunicación La información pertinente se identifica, capta y comunica de una forma y en un marco de tiempo que permiten a las personas llevar a cabo sus responsabilidades. Los sistemas de información usan datos generados internamente y otras entradas de fuentes externas y sus salidas informativas facilitan la gestión de riesgos y la toma de decisiones informadas relativas a los objetivos. También existe una comunicación eficaz fluyendo en todas direcciones dentro de la organización. Todo el personal recibe un mensaje claro desde la alta dirección de que deben considerar seriamente las responsabilidades de gestión de los riesgos corporativos. Las personas entienden su papel en dicha gestión y como las actividades individuales se relacionan con el trabajo de los demás. Asimismo, deben tener unos medios para comunicar hacia arriba la 47 información significativa. También debe haber una comunicación eficaz con terceros, tales como los clientes, proveedores, reguladores y accionistas (COSO, 2004, p.85). Esto se ilustra en la Figura 8. Figura 8 Flujos de Información en la Gestión de Riesgos Corporativos Fuente: Elaboración a partir Gestión de Riesgos Corporativos - Marco Integrado / Técnicas de Aplicación (COSO,2004). • Sistemas estratégicos e integrados: El diseño de una arquitectura de sistemas de información y la adquisición de la tecnología son aspectos importantes de la estrategia de una entidad y las decisiones respecto a la tecnología pueden resultar críticas para lograr los objetivos (COSO, 2004, p.88). SUPERVISIÓN RESPUESTA AL RIESGO ESTABLECIMIENTO DE OBJETIVOS - Tolerancia al riesgo AMBIENTE INTERNO - Respuestas al riesgo - Perspectiva de cartera ACTIVIDADES DE CONTROL - Resultados - Indicadores - Informes EVALUACIÓN DE RIESGOS - Inventario de riesgos - Riesgos inherentes evaluados - Riesgos residuales evaluados - Respuestas al riesgo - Objetivos - Unidades de medición - Inventario de oportunidades IDENTIFICACIÓN DE EVENTOS - Filosofía de gestión de riesgos - Riesgo aceptado 48 • Profundidad y oportunidad de la información: Los avances en la recogida, procesamiento y almacenamiento de datos han dado como resultado un crecimiento exponencial del volumen de datos. Con más datos disponibles -a menudo en tiempo real- para más gente en una organización, el reto es evitar la sobrecarga de información, asegurando el flujo de la información adecuada, en la forma adecuada, al nivel de detalle adecuado, a las personas adecuadas y en el momento adecuado (COSO, 2004, p.93). • Disponer de la información adecuada en el momento y lugar adecuados resulta esencial para llevar a cabo la gestión de riesgos corporativos (COSO, 2004, p.95). • Comunicación: La dirección proporciona comunicaciones específicas y orientadas que se dirigen a las expectativas de comportamiento y las responsabilidades del personal. Esto incluye una exposición clara de la filosofía y enfoque de la gestión de riesgos corporativos de la entidad y una delegación clara de autoridad. La comunicación sobre procesos y procedimientos deberá alinearse con la cultura deseada y reforzarla. • La comunicación resulta clave para crear el entorno “adecuado” y para apoyar al resto de componentes de la gestión de riesgos corporativos. Por ejemplo, las comunicaciones descendentes sobre la filósofa de la empresa y lo que se espera del personal de la organización, junto con el necesario flujo de información ascendente, ayudan a introducir la filósofa de gestión de riesgos en la cultura de una entidad. De manera similar, la dirección refuerza o modifica la cultura de una organización con sus palabras y sus acciones diarias (COSO, 2004, p.97). 3.3.4.8 Supervisión La gestión de riesgos corporativos se supervisa - revisando la presencia y funcionamiento de sus componentes a lo largo del tiempo, lo que se lleva a cabo mediante actividades permanentes de supervisión, evaluaciones independientes o una combinación de ambas técnicas. Durante el transcurso normal de las actividades de gestión, tiene lugar una supervisión permanente. El alcance y frecuencia de las evaluaciones independientes depender fundamentalmente de la evaluación de riesgos y la eficacia de los procedimientos de supervisión permanente. Las 49 deficiencias en la gestión de riesgos corporativos se comunican de forma ascendente, trasladando los temas más importantes a la alta dirección y al consejo de administración (COSO, 2004, p.103). • Evaluaciones independientes: Habitualmente, las evaluaciones independientes de la gestión de riesgos corporativos se llevan a cabo periódicamente. En algunos casos, son originadas por un cambio en la estrategia, procesos clave o estructura de la entidad (COSO, 2004, p.104). • Revisiones de auditoría interna: Estas evaluaciones proveen de una perspectiva objetiva sobre cualquiera de los componentes de la gestión de riesgos corporativos o sobre todos ellos, desde el ámbito interno de la empresa hasta la supervisión. En algunos casos, se presta especial atención a la identificación de riesgos, el análisis de probabilidad e impacto, la respuesta al riesgo, las actividades de control, la información y comunicación (COSO, 2004, p.105). • Documentación: El nivel deseado de documentación de la gestión de riesgos corporativos varía por empresa, a menudo en función del tamaño, complejidad y estilo de gestión. Además de la amplitud y profundidad de la documentación, las consideraciones al respecto incluyen si estará en soporte papel o electrónico, si estará centralizada o distribuida y cuáles son los medios de acceso para actualización y revisión. Al evaluar la gestión de riesgos corporativos, se revisa la documentación existente de los procesos y otras actividades e, incluso, puede crearse dicha documentación, para permitir al equipo de evaluación comprender fácilmente los riesgos de la unidad, proceso o departamento y las respuestas a ellos (COSO, 2004, p.109). 3.3.4.9 Roles y Responsabilidades Todo el personal de una entidad tiene alguna responsabilidad en la gestión de riesgos corporativos. El consejero delegado es responsable en último lugar y debería asumir su “titularidad”. Otros directivos apoyan la filósofa de gestión de riesgos, promocionan el cumplimiento del riesgo aceptado y gestionan los riesgos dentro de sus áreas de responsabilidad, en coherencia con las tolerancias al riesgo. Otras personas son responsables de desarrollar la gestión de riesgos corporativos según las directivas y protocolos establecidos. El consejo de 50 administración proporciona una importante supervisión de dicha gestión. Algunos terceros facilitan a me nudo información útil para llevarla a cabo, aunque no sean responsables de su eficacia (Committee of Sponsoring Organizations of the Treadway Commission (COSO), 2004, p. 111). 3.3.5 Proyectos en Entornos Controlados PRINCE2TM El término gestión de riesgos se refiere a la aplicación sistemática de procedimientos a las tareas de identificación y evaluación de riesgos, y luego a la planificación e implementación de respuestas de riesgos. Esto proporciona un entorno disciplinado para la toma de decisiones proactiva. Para que la gestión de riesgos sea efectiva, los riesgos deben ser: • Identificados. Esto incluye los riesgos que se están considerando y que podrían afectar el logro de los objetivos del proyecto, y luego se describen para asegurar que haya un entendimiento común de estos riesgos. • Evaluados. Esto incluye garantizar que cada riesgo pueda clasificarse en términos de probabilidad estimada, impacto e inmediatez, y comprender el nivel general de riesgo asociado al proyecto. • Controlados Esto incluye identificar respuestas apropiadas a los riesgos, asignar propietarios de riesgos y luego ejecutar, monitorear y controlar estas respuestas. 3.3.5.1 Principios de la gestión de Riesgos: La gestión de riesgos se basa en varios principios de gestión de riesgos, de los cuales los siguientes son apropiados dentro del contexto de un proyecto: • Comprender el contexto del proyecto. • Involucrar a las partes interesadas. • Establecer objetivos claros del proyecto · • Desarrollar el enfoque de gestión de riesgos del proyecto. • Informe de riesgos regularmente. 51 • Definir roles y responsabilidades claras. • Establecer una estructura de apoyo y una cultura de apoyo para la gestión de riesgos. • Monitorear los indicadores de alerta temprana. • Establecer un ciclo de revisión y buscar la mejora continua. 3.3.5.2 Estrategia de Gestión de Riesgos El propósito de esta estrategia es cómo se integrará la gestión de riesgos en las actividades de gestión de proyectos. La decisión clave es la actitud de la junta directiva, que asume riesgos, lo que a su vez determina la cantidad de riesgos que se consideran aceptables. 3.3.5.3 Registro de Riesgos. Su propósito es el de capturar y mantener la información de todas las amenazas y oportunidades relacionadas con el proyecto. 3.3.5.4 Procedimiento de gestión de riesgos PRINCE2 establece los siguientes pasos: 3.3.5.4.1 Identificar Consiste en obtener información sobre el proyecto para comprender los objetivos específicos que están en riesgo y para elaborar la Estrategia de Gestión de Riesgos a lo largo del proyecto. Como técnicas de identificación se recomiendan: • Repasar lecciones • Lista de control de riesgos • Lista rápida de riesgos • Reuniones creativas • Estructura de desglose del riesgo 52 El objetivo principal de este paso es reconocer las amenazas y oportunidades que pueden afectar los objetivos del proyecto. Para desarrollar esta etapa se recomienda: • Capturar amenazas y oportunidades identificadas en el Registro de Riesgos • Prepare indicadores de alerta temprana para monitorear los aspectos críticos del proyecto y proporcionar información sobre las posibles fuentes de riesgo. • Comprender la visión de los grupos de interés de los riesgos específicos capturados. Los aspectos que se deben considerar durante la identificación son: • Causa del riesgo: Esto debe describir la fuente del riesgo, es decir, el evento o situación que da lugar al riesgo. Estos a menudo se conocen como controladores de riesgo. No son riesgos en sí mismos, sino los posibles puntos de activación del riesgo. Estos pueden ser internos o externos al proyecto. • Evento de riesgo: Debe describir el área de incertidumbre en términos de la amenaza o la oportunidad. • Efecto de riesgo: Esto debe describir los impactos que tendría el riesgo en los objetivos del proyecto si se materializara el riesgo. 3.3.5.4.2 Evaluar El objetivo principal es evaluar las amenazas y las oportunidades para el proyecto en términos de su probabilidad de impacto. La proximidad del riesgo también será de interés para evaluar qué tan rápido es probable que el riesgo se materialice si no se toman medidas. Las técnicas de estimación son: • Arboles de probabilidad 53 • Valor esperado • Análisis de Pareto • Cuadrícula de impacto de probabilidad Las recomendaciones para este proceso son: • La probabilidad de las amenazas y oportunidades en términos de la probabilidad de que ocurran. • La probabilidad de amenazas y oportunidades en términos de los objetivos del proyecto • La proximidad con respecto a cuándo podrían materializarse • Como el impacto de estos puede cambiar el ciclo o vida del proyecto. El objetivo es evaluar el efecto neto de todas las amenazas y oportunidades identificadas en un proyecto cuando se agregan. Esto permitirá realizar una evaluación de la gravedad general de los riesgos que enfrenta el proyecto, para determinar si este nivel de riesgo se encuentra dentro de la tolerancia al riesgo establecida por la Junta del Proyecto y si el proyecto tiene una justificación comercial continua. Las principales técnicas de evaluación son: • Modelos de Riesgo • Valor monetario esperado 3.3.5.4.3 Plan. El objetivo principal es preparar respuestas de administración específicas a las amenazas y oportunidades identificadas, idealmente para eliminar o reducir las amenazas y maximizar las oportunidades. La atención al paso del Plan garantiza, en la medida de lo posible, que el proyecto no se tome por sorpresa si se materializa un riesgo. 54 Es importante que la respuesta al riesgo sea proporcional al riesgo y que ofrezca una buena relación calidad-precio. Un factor clave en la selección de respuestas será equilibrar el costo de implementar las respuestas contra la probabilidad y el impacto de permitir que ocurra el riesgo. Las respuestas al riesgo no eliminan necesariamente el riesgo inherente en su totalidad, dejando un riesgo residual. Si el riesgo inherente fue significativo y la respuesta al riesgo solo fue parcialmente exitosa, el riesgo residual puede ser considerable. Es aconsejable revisar las lecciones de proyectos anteriores al planificar respuestas de riesgo. Esto ayudará a identificar el rango de respuestas disponibles y a evaluar qué tan efectivas pueden ser. También se debe tener en cuenta el efecto que podrían tener las posibles respuestas sobre: • El plan de proyecto, el plan de escenario y los paquetes de trabajo. • El caso de negocio • Gestión corporativa y / o programática. 3.3.5.4.4 Implementar. El objetivo principal es garantizar que las respuestas de riesgo planificadas se apliquen, se supervise su efectividad y se tomen medidas correctivas cuando las respuestas no coincidan con las expectativas. Una parte importante del paso de implementación es asegurar que existan roles y responsabilidades claramente asignados para apoyar al Gerente de Proyecto en la gestión del riesgo del proyecto. • Propietario del riesgo Una persona designada que es responsable del manejo, monitoreo y control de todos los aspectos de un riesgo particular que se le asigna, incluida la implementación de las respuestas seleccionadas para enfrentar las amenazas o para maximizar las oportunidades. 55 • Acción de riesgo. Un individuo asignado para llevar a cabo una acción de respuesta al riesgo o acciones para responder a un riesgo particular o conjunto de riesgos. Ellos apoyan y toman la dirección del propietario del riesgo. Los tipos de respuesta a los riesgos que se pueden implementar son: • Evitar • Reducir • Retroceder • Transferir • Aceptar • Compartir • Explotar (Oportunidad) • Mejorar (Oportunidad) • Rechazar (Oportunidad) 3.3.5.4.5 Comunicar. La comunicación es un paso que se realiza continuamente. Debe garantizar que la información relacionada con las amenazas y oportunidades que enfrenta el proyecto se comunique tanto dentro del proyecto como externamente a los interesados. Los riesgos se comunican como parte de los siguientes productos de gestión: • Informes de Control • Informes Destacados • Informes de etapa final • Informes de proyectos • Informes de lecciones 56 Se deben reconocer y abordar varios aspectos de la comunicación para que la gestión del riesgo sea efectiva: • La exposición de un proyecto al riesgo nunca es estática: la comunicación efectiva es clave para la identificación de nuevos riesgos o cambios en los riesgos existentes. Esto depende del mantenimiento de una buena red de comunicaciones, incluidos los contactos relevantes y las fuentes de información, para facilitar la identificación de cambios que puedan afectar la exposición general al riesgo del proyecto. • La gestión eficaz del riesgo depende de la participación y, a su vez, la participación depende de la comunicación efectiva. 3.3.5.5 Presupuesto de Riesgo Un presupuesto de riesgo, si se usa, es una suma de dinero incluida dentro del presupuesto del proyecto y apartado para financiar respuestas específicas de la gerencia al proyecto. Cada riesgo debe ser completamente analizado para los costos de impacto, costos de respuesta y probabilidad. El valor monetario esperado se puede utilizar para determinar un presupuesto de riesgo. El supuesto es que se espera que el presupuesto de riesgo se utilice en el transcurso del proyecto. Como el presupuesto de riesgo es parte del presupuesto del proyecto, puede haber una tendencia a tratarlo como una suma más de dinero que el Gerente del Proyecto puede gastar. Esta cultura debe ser desalentada a favor de la Estrategia de Gestión de Riesgos que define los mecanismos para controlar y acceder a este presupuesto. 3.3.6 The Complete Project Management Office Handbook La gestión de riesgos es un componente inherente de la gestión de proyectos, y prácticamente todas las PMO y los gerentes de proyectos reconocen la necesidad de gestionar los riesgos de 57 proyectos y de negocios. La PMO debe confirmar esa perspectiva mediante el desarrollo de una guía y las métricas de medición necesarias para facilitar la gestión efectiva de riesgos de proyectos y negocios (Hill, 2008). El proceso común de gestión de riesgos exige identificar, priorizar y responder a los riesgos que podrían afectar a los proyectos. En algunos entornos de gestión de proyectos, el riesgo se distingue entre los eventos que tienen un impacto adverso potencial y los que tienen oportunidades potencialmente positivas. En ese sentido, la PMO debe desarrollar e implementar métricas que aborden los procesos relevantes de la organización y el enfoque empresarial al riesgo (Hill, 2008). Las métricas de orientación para la gestión de riesgos pueden incluir elementos como la especificación de eventos de riesgo estándar y respuestas; estrategias de respuesta preferidas para los principales tipos de riesgos; frecuencia de la evaluación y análisis de riesgos; la frecuencia y el tipo de riesgos encontrados en proyectos comunes, junto con la solución preferida que se puede incorporar en la fase de planificación del proyecto; impactos de riesgo comunes en el desempeño del proyecto; costos de estrategias de respuesta de riesgo proactivas versus reactivas; y rangos de asignaciones de fondos de riesgo según la clasificación del proyecto. La PMO necesita asegurar que los gerentes de proyecto y los gerentes de riesgo tienen una orientación suficiente para lidiar con los riesgos que se identifican y los eventos de riesgo que se encuentran (Hill, 2008). Las métricas de medición ayudan a la PMO a supervisar los proyectos, pero los resultados de las mediciones también contribuyen al desarrollo de una guía de métricas que se puede usar en proyectos posteriores. La PMO querrá considerar tales métricas como el número promedio de riesgos identificados en cada proyecto (por clasificación del proyecto), la cantidad de eventos de riesgo que realmente ocurrieron (ya sea identificados o no de antemano), la cantidad de eventos de riesgo (identificados y reales) asociados con equipos de proyecto y gerentes de proyecto individuales, y el costo de responder a eventos de riesgo (en promedio y por proyecto). Además, uno de los aspectos más subestimados de la gestión de riesgos consiste en gestionar el valor del proyecto, tal como se describe en el caso de negocios. La métrica debe rastrear la confiabilidad y validez de los cálculos de valor del caso de negocio durante el proyecto (Hill, 2008). En conjunto, esta recopilación de métricas debe permitir a la PMO identificar y ayudar al gerente del proyecto a responder a los posibles impactos de riesgo en tiempo real o al analizar el 58 desempeño general de la gestión de riesgos y mejorar las prácticas y la competencia individual en proyectos futuros (Hill, 2008). 3.3.6.1 Planes de gestión de proyectos primarios Los planes primarios de gestión de proyectos son los documentos centrales del plan de gestión de proyectos. Proporcionan conceptos esenciales y orientación para la gestión del proyecto. Estos planes primarios deben contener más detalles a medida que los proyectos que apoyan se vuelven más complejos. Sin embargo, son componentes esenciales de la gestión de proyectos y, por lo tanto, los planes de gestión de proyectos primarios deben desarrollarse para su uso en todos los proyectos realizados por la organización (Hill, 2008). Es importante que la organización reconozca un conjunto estándar de documentos componentes que se utilizan para guiar las actividades de gestión de proyectos, según lo prescrito por el conjunto de planes de gestión de proyectos primarios que se describen a continuación. Sin embargo, la organización también debe revisar su necesidad de estos planes, y luego confirmar su uso o ajustar y especificar otro conjunto de planes de gestión de proyectos primarios que se utilizan para cada proyecto. El contenido y el nivel de detalle de los planes de administración del proyecto primario pueden variar según el tamaño, el valor y la duración del proyecto, pero su propósito es generalmente aplicable a todos los proyectos realizados por la organización relevante (Hill, 2008). La siguiente lista presenta seis planes principales de administración de proyectos (que para efecto de esta investigación solo se profundizar