Preface

Bienvenido al futuro. Lo que pensamos que podría estar aquí mañana es ahora una realidad. El
desafío para la mayoría de nosotros es tratar de predecir lo que vendrá mañana y cómo lo
enfrentaremos. El riesgo, como un fenómeno futuro, es el foco de muchas discusiones comerciales
y personales, y forma parte de nuestra toma de decisiones. Los desafíos vienen cuando estoy
creando un grado de coherencia en la gestión de riesgos y el proceso de riesgos. Es parte de la
eterna búsqueda para controlar algunos pequeños componentes del futuro. Los últimos pasos en
esa búsqueda se reflejan en dos documentos importantes de gestión de proyectos: una Guía para
el Conocimiento de la Gestión de Proyectos (Guía de PMBOK®), la Quinta Edición y la guía de
gestión de proyectos de ISO 21500. Estas últimas guías tienen en cuenta conceptos nuevos en la
gestión de riesgos, incluyendo actitudes de riesgo, apetitos de riesgo y pensamiento de futuros.
También permanecen firmemente arraigados en la tradición de gestión de riesgos, que se remonta
a medio siglo. La primera edición de este libro fue en parte editada a partir de la publicación del
mismo título por la Escuela de Administración de Sistemas de Defensa. A lo largo del tiempo, a
medida que la filosofía de riesgo del proyecto ha evolucionado de la práctica del Departamento
de Defensa (DoD) de los Estados Unidos, este libro también ha evolucionado.
Con las perspectivas de la última guía de gestión de proyectos, el esfuerzo aquí es mantener el
enfoque de este libro en la orientación pragmática de sus predecesores. Con un énfasis en la
necesidad de implementar herramientas de manera consistente y afirmar un lenguaje de riesgo
común, existe una oportunidad para que las organizaciones utilicen este texto para extraer sus
herramientas de elección y desarrollar una cultura de riesgo que refleje sus necesidades
organizativas e individuales. La gestión de proyectos y la gestión de riesgos van de la mano para
garantizar que las organizaciones puedan generar resultados más consistentes, enfoques más
consistentes y respuestas más efectivas a los caprichos de la vida en un mundo incierto. Cuando
enseño administración de riesgos en todo el mundo, escucho una y otra vez a medida que las
organizaciones afirman que su entorno es "especial". Tienen razón.
Cada entorno organizativo es una cultura en sí misma. Como administradores de riesgos, nuestro
desafío y nuestro objetivo es minimizar (en la medida de lo posible) la incertidumbre que crean
esos entornos únicos. Este libro está estructurado como una guía de referencia para servir a ese
objetivo. Mi esperanza es que también sirva el objetivo de brindar apoyo a aquellos que estudian
para el Examen de Certificación Profesional de Gestión de Riesgos PMI-RMP®. El libro se ha
modificado en esta última edición para garantizar que el idioma del texto refleje el idioma de ese
examen.
De acuerdo con las raíces de DoD de Risk Management, he conservado el formato de las tablas y
las matrices que permiten un análisis rápido y una referencia cruzada de los contenidos en este
documento. Las referencias a análisis específicos aún se remontan a las 380 encuestas realizadas
inicialmente para este trabajo, pero la advertencia original es cierta. Las técnicas de riesgo
resultantes de este esfuerzo no se han evaluado para todas las circunstancias: por lo tanto, debe
determinar la validez y la conveniencia de una técnica particular para su propia organización y
aplicaciones. Los apéndices han sido en gran parte intactos, ya que la mayoría de su contenido
está arraigado en la historia y la práctica aceptada.
Mi más sincero agradecimiento a quienes han brindado información de riesgo invaluable en los
últimos años. Más recientemente, trabajando con Karen Tate, Bruce Falk, LeRoy Ward, Lisa
Hammer, David Newman, John Kos, Eric Perlstein y Fran Martin, he explorado vías de riesgo
que de otra manera no hubieran sido cultivadas. También deseo extender mi agradecimiento al
equipo de mi nuevo editor, Taylor y Francis, por su apoyo incondicional al libro y por guiarlo (ya
mí) a través de su proceso de publicación. Sin la guía de John Wyzalek, Kat Everett y Amy
Blalock, esta quinta edición nunca se habría convertido en realidad. Mi agradecimiento también
a Elise Weinger Halprin, diseñadora gráfica, por la portada que le da al libro un sabor distintivo.

Autor
Carl L. Pritchard es el director de Pritchard Management Associates y es un profesor y
conferencista de gestión de riesgos ampliamente reconocido. Fue el autor principal del capítulo
para el capítulo de gestión de riesgos de A Guide to Project Management Body of Knowledge
(Guía de PMBOK®), Cuarta edición. Las publicaciones del Sr. Pritchard incluyen cursos sobre
gestión de riesgos, The Risk Management Memory Jogger (GOAL / QPC, 2012), así como
también Project Management: Lessons from the field (iUniverse, 2009), Project Management
Communications Toolkit, Segunda edición (Artech House , 2012), Cómo construir una estructura
de desglose del trabajo y Diagramas de precedencia: Programación exitosa en el entorno del
equipo. Él co-produjo (con LeRoy Ward de ESI) la histórica colección de audio de 9 CD The
Portable PMP® Exam Prep: Conversaciones para aprobar el examen PMP® (Cuarta edición). Es
el corresponsal en Estados Unidos de Project Manager Today, una revista de gestión de proyectos
publicada en el Reino Unido. El Sr. Pritchard también diseña y desarrolla programas de gestión
de proyectos y fue el arquitecto original de las ofertas históricas de ESI International en la gestión
de proyectos en un formato de aprendizaje a distancia. Él es un entrenador tanto en línea como en
el aula. En su papel de conferenciante, el Sr. Pritchard habla regularmente en simposios nacionales
sobre gestión de proyectos y sirve como el "entrenador del orador"

Introducción
Esta última edición de Risk Management: Concepts and Guidance está diseñada para ofrecer una
visión del riesgo a la luz de la información actual y, sin embargo, se basa en la historia de la
práctica de riesgos. Como volumen de referencia, proporciona una introducción fundamental
sobre los conceptos básicos asociados con técnicas particulares; Como herramienta educativa,
aclara los conceptos de riesgo y cómo se aplican en los proyectos. Para aquellos inmersos en la
cultura de gestión de proyectos, ahora cumple con la publicación Project Management Institute,
Inc., Guía del Cuerpo de Conocimiento de Gestión de Proyectos (Guía PMBOK®), Cuarta
edición.
Cuando se publicó originalmente, este material estaba orientado hacia el entorno gubernamental.
En la primera edición, el esfuerzo fue reorientar y editar el material del gobierno hacia una
audiencia de negocios más general. En la segunda edición, el contenido se rediseñó para alinearlo
con la práctica diaria de gestión de proyectos y la aplicación de la gestión de riesgos en el campo
junto con las últimas prácticas de riesgo de vanguardia.
En la segunda y tercera ediciones, este libro se alineó con las Guías de PMBOK® de los tiempos
respectivos (Guía de PMBOK® 2000 y Guía de PMBOK®, Tercera edición). En esta última
edición, muy pocas de las herramientas han sido modificadas, pero los procesos sí han cambiado.
En su cuarta y quinta ediciones de la Guía PMBOK®, el Proyecto

El Instituto de Gestión redefinió algunos de los términos del proceso de gestión de riesgos y
modificó ligeramente su práctica e interpretación. Este volumen refleja esos cambios.

El alcance
La gestión de riesgos es un "método de gestión que se concentra en identificar y controlar las
áreas o eventos que tienen el potencial de causar cambios no deseados ... no es más ni menos que
una administración informada" (Caver 1985). De acuerdo con esta definición, este libro aborda la
gestión de riesgos del proyecto desde la perspectiva del administrador del proyecto. No cubre el
riesgo de seguro, el riesgo de seguridad o el riesgo de accidentes fuera del contexto del proyecto.
Sin embargo, la gestión de riesgos adopta la perspectiva de PMI® de que el riesgo es tanto una
amenaza como una oportunidad, y reconoce que cualquier práctica efectiva de gestión de riesgos
debe considerar los posibles eventos positivos que pueden ocurrir en un proyecto, así como los
aspectos negativos. La gestión de riesgos sigue siendo una parte integral de la gestión de proyectos
y debe considerarse un componente de cualquier metodología de gestión de proyectos en lugar de
una función independiente distinta de otras funciones de gestión de proyectos.

Enfoque
La gestión de riesgos utiliza un enfoque holístico del riesgo. Es decir, el riesgo se examina como
una combinación de preocupaciones ambientales, programáticas y situacionales. Aunque los
problemas técnicos son una fuente principal de riesgo y ocupan un lugar destacado en todo el
libro, deben equilibrarse con la gestión de otros aspectos del proyecto. A lo largo del texto, el
riesgo se considera exclusivamente como un fenómeno futuro. Los riesgos son eventos que
pueden suceder a un proyecto; No son eventos que ya hayan ocurrido. Es vital considerar el riesgo
 en ese contexto porque, de lo contrario, cada problema negativo o cambio en los planes puede ser
etiquetado erróneamente como un evento de riesgo.

Uso de este libro

Cuando utilice la gestión de riesgos, recuerde que el riesgo es un concepto complejo sujeto a la
percepción individual. Algunas personas toman riesgos, mientras que Otros son más reacios al
riesgo. Por lo tanto, es difícil desarrollar reglas universales para enfrentar el riesgo. Sin embargo,
este libro incluye orientación sustancial, estructura y técnicas de manejo de muestras que siguen
la práctica de la administración de sonido. Aunque los principios, las prácticas y las teorías
presentadas son verdaderas en casi todas las situaciones, sin embargo, bajo ciertas circunstancias,
las reglas mediante las cuales se evalúa el riesgo pueden cambiar drásticamente. Por ejemplo,
cuando se enfrentan a una amenaza extrema, las personas pueden hacer cosas extraordinarias.
Asumirán riesgos que, en circunstancias normales, se considerarían inaceptables. Como resultado,
los proyectos de alto riesgo no siempre son malos y no deben evitarse necesariamente. Más bien,
si los riesgos son aceptados, deben ser monitoreados y controlados rigurosamente, y otros deben
ser conscientes de que existen riesgos significativos.
La gestión de riesgos está estructurada de manera tutorial y se presenta en dos partes. La Parte I
comienza en el Capítulo 1 al analizar los sistemas que se pueden usar para aplicar la gestión de
riesgos. El siguiente capítulo define el riesgo en términos relevantes para la gestión del proyecto
y establece los conceptos básicos necesarios para comprender la naturaleza del riesgo. El Capítulo
3 define la estructura de la gestión de riesgos y los procesos que se pueden aplicar a todas las
fases del proyecto, con un énfasis en la planificación de la gestión de riesgos.
La Parte II presenta las técnicas específicas necesarias para implementar con éxito los procesos
descritos en la Parte I. Al usar estas técnicas, el gerente del proyecto puede obtener algunas de las ideas
esenciales para proceder con la administración de riesgos. Las técnicas evaluadas incluyen
 Entrevistas con expertos
 Reuniones de planificación
 Metodología de práctica de riesgo
 Revisiones de la documentación
 Comparaciones analógicas
 Evaluación del plan
 Técnica Delphi Lluvia de ideas
 Método Crawford Slip (CSM)
 Análisis FODA
 Listas de verificación
 Estructura de desglose del riesgo Identificación y análisis de la causa raíz
Registros / tablas de riesgos
Plantillas de proyectos
Análisis de suposiciones
Análisis de decisiones:
valor monetario esperado
Estimación de las relaciones
Análisis de redes (excluyendo PERT)
Técnicas de evaluación y revisión del programa (PERT)
Otras técnicas de diagramación
Esquemas de calificación
Evaluación de la urgencia
Evaluación de la calidad de los datos
Modelo de riesgo Análisis de sensibilidad
Simulaciones de Monte Carlo (incluyendo fusión sesga y camino de convergencia)
Factores de riesgo Matriz de respuesta al riesgo Seguimiento de desempeño y medición técnica
del desempeño Revisiones y auditorías de riesgos Otras técnicas comunes Los apéndices
sirven como materiales de referencia y brindan detalles de respaldo para algunos de los
conceptos presentados en el texto: Apéndice A, Gestión de riesgos del contratista: Una
revisión de algunas cláusulas estándar y el lenguaje incorporado para abordar los problemas
de riesgo del contratista. Apéndice B, Una lista abreviada de fuentes de riesgo: Una
compilación que sirve como una lista de verificación de riesgo inicial. Apéndice C, Conceptos
básicos de probabilidad: Un resumen y una introducción básica para el material en el texto.
Apéndice D, Cuantificación del juicio de expertos: una exploración más profunda de cómo
transformar la información cualitativa en información cuantitativa durante las entrevistas con
expertos. Apéndice E, Notas especiales sobre riesgo de software: una serie de tablas diseñadas
para respaldar el análisis de probabilidad e impacto en proyectos de software. La gestión de
riesgos también proporciona un glosario, bibliografía e índice.

Capítulo 1
Procedimientos de riesgo y prácticas ¿Por qué la gestión de
riesgos?
La primera parte de Gestión de riesgos: conceptos y orientación revisa los procesos y
prácticas básicos asociados con la gestión de riesgos en el entorno del proyecto. Lo hace en
profundidad, evaluando las "reglas del camino" en la planificación, identificación,
evaluación, desarrollo de respuestas y control de riesgos. Es una descripción conceptual de
cómo se debe abordar el riesgo. Al institucionalizar la gestión de riesgos en una organización,
inevitablemente hay un temor a la "parálisis de análisis", el temor de que se invierta tanto
tiempo en examinar las preocupaciones y los problemas potenciales, que ninguno de ellos se
resuelva nunca. También hay ansiedad con respecto a la sobrecarga administrativa. Los
gerentes de proyecto están frecuentemente entre las personas más ocupadas en una
organización. Están preocupados de que tendrán que hacer aún más, y la administración de
riesgos es solo una función administrativa más para la que no tienen tiempo. Como resultado,
el riesgo a veces se convierte en un problema secundario. En organizaciones donde el éxito
es la norma y el fracaso es una rareza, la administración de riesgos queda relegada a la
oscuridad con la esperanza de que los gerentes de proyectos puedan manejar los problemas
y problemas del proyecto a medida que ocurren. Sin embargo, estas organizaciones deberían
adoptar la gestión de riesgos. El riesgo sigue siendo un problema secundario solo mientras
la suerte de una organización resista o hasta que se pierda una gran oportunidad. Tarde o
temprano, mal

prácticas de gestión de riesgos

Incluso la decisión empresarial más simple implica algún riesgo. Dado que cada proyecto
implica una cierta medida de riesgo, son los criterios de éxito del proyecto los que a menudo
sirven como factores determinantes para los riesgos que valen la pena y los riesgos que no
lo son. Considere, por ejemplo, la decisión de conducir o volar en un viaje de negocios. Si el
criterio de éxito es costo, entonces la determinación de riesgo es simple: compare los costos
de volar y conducir (compuestos por factores inflacionarios potenciales). Sin embargo, otro
criterio de éxito podría ser la seguridad y, por lo tanto, se deben evaluar las estadísticas sobre
accidentes. Si la llegada puntual se agrega como un tercer criterio, se deben evaluar las
estadísticas de la aerolínea, la confiabilidad del automóvil y las condiciones de la carretera.
A medida que se agregan otros criterios de éxito, la toma de decisiones se vuelve más
complicada e implica más juicio. En el ejemplo de un viaje de negocios, un aumento en el
costo es quizás un riesgo aceptable, llegar tarde puede ser inaceptable, y no llegar con
seguridad es ciertamente inaceptable. Si los gerentes de proyecto no saben qué criterios de
éxito están impulsando el proyecto, no pueden esperar identificar los riesgos que pueden
impedir su camino hacia el éxito. La creciente complejidad técnica, a su vez, aumenta el
riesgo. Cada nueva generación de tecnología está en capas sobre la antigua. Sin embargo, la
mayoría de las organizaciones tienden a ponderar las decisiones en gran medida hacia los
objetivos de costo y programación porque son fáciles de entender. Pero el efecto de las
decisiones de costo y planificación relacionadas con el riesgo de desempeño técnico con
frecuencia no está claro. Por lo tanto, una metodología formal para evaluar los efectos de la
toma de decisiones y los problemas previsibles es indispensable y también debería ayudar a
identificar soluciones prácticas y efectivas para lograr los objetivos del proyecto.
Un proceso sistemático
No todos los proyectos requieren un enfoque formal de gestión de riesgos, pero para obtener
el máximo beneficio, la gestión de riesgos debe convertirse en un proceso sistemático
aplicado de manera disciplinada. Dicho de manera más simple, no todos los proyectos tienen
que seguir cada paso, pero la implementación de las prácticas básicas debe ser de rutina.
Muchos gerentes de proyecto utilizan el razonamiento intuitivo (adivinación) como punto de
partida en el proceso de toma de decisiones. No es un mal lugar para empezar. Sin embargo,
los gerentes verdaderamente efectivos verán más allá del razonamiento simple y la
experiencia en la toma de decisiones que implican riesgos significativos. Incluso los gerentes
de proyectos más experimentados no han encontrado todos los riesgos. Hay algunos riesgos
que no pueden imaginar o que no coinciden con su paradigma; y aún hay otros que
simplemente no pueden predecir. Algunos riesgos están tan lejos de las expectativas o la
experiencia de cualquier individuo que esos riesgos no pueden considerarse sin aportaciones
externas.
Numerosas inhibiciones restringen la implementación de la gestión de riesgos como una
práctica estándar del proyecto. Es impopular. Señala lo negativo. Se centra principalmente
en noticias potencialmente malas.
El Project Management Institute, Inc. (PMI®) * ha establecido un conjunto de procesos y
prácticas de seis pasos. El enfoque de PMI al riesgo comprende:
• Planificar la gestión del riesgo. En esta área, establecemos la infraestructura de riesgo del
proyecto y un plan de gestión de riesgo específico del proyecto. Esto incluye crear lenguaje
de riesgo, tolerancias y umbrales.
• Identificar riesgos. Describimos eventos que tendrán un impacto positivo o negativo en los
proyectos, con descripciones que incluyen el evento que puede ocurrir y su impacto
específico.
• Calificar riesgos. Evaluamos el riesgo según protocolos de evaluación no numéricos.
• Cuantificar riesgos. Evaluamos los riesgos más significativos y / o el proyecto en su
conjunto según su probabilidad numérica e impacto.

 Planificar respuestas de riesgo. Determinamos, evaluamos y comunicamos estrategias

para enfrentar o descartar riesgos.
 Monitorear y controlar los riesgos. Ponemos en marcha la gestión de riesgos y los planes
de respuesta. El proceso de seis pasos no está a la par con cualquier otro proceso en
todas las demás organizaciones. Pero en su mayor parte, las diferencias son de
 naturaleza semántica. En ediciones anteriores de la Guía de PMI para el Cuerpo de
Conocimiento de Gestión de Proyectos (Guía de PMBOK®, segunda edición) *, la
gestión de riesgos fue un proceso de cuatro pasos. La Universidad de Adquisiciones de
Defensa de los militares de EE. UU. Aplica un proceso de seis pasos que incluye
planificación, identificación, análisis, manejo, monitoreo e implementación. † El
Departamento de Comercio del gobierno australiano aplica un proceso de seis pasos que
implica establecer un contexto, identificar y definir riesgos, realizar ‡
Independientemente de las etiquetas aplicadas, todos los procesos diseñados parecen
fomentar enfoques más flexibles y adaptables dentro de la metodología de proyecto de
una organización y facilitar la gestión de riesgos. implementación. Todos los gerentes
de proyecto deben realizar alguna actividad documentada de gestión de riesgos, ya sea
cualitativa o cuantitativa. Todos los proyectos importantes deben incluir actividades
formales e intensas de gestión de riesgos; Los proyectos más pequeños y menos críticos
pueden requerir solo un esfuerzo de riesgo reducido. Por lo tanto, la máxima autoridad
en materia de riesgo es el gerente del proyecto, que debe tomar determinaciones basadas
en los costos, el cronograma y los desafíos de desempeño del proyecto.
Resumen
• La gestión de riesgos es esencial para cada proyecto.
• La gestión de riesgos debe ser un proceso sistemático.
• Todos los proyectos deben tener alguna actividad documentada de gestión de riesgos.

Capítulo 2
Conceptos de riesgo
Aunque los términos riesgo e incertidumbre a menudo se usan indistintamente, no son los
mismos. El riesgo se define como el "efecto acumulativo de la probabilidad de incidentes
inciertos que pueden afectar positiva o negativamente los objetivos del proyecto" (Ward
2008, 353). Esto es diferente a la incertidumbre, que considera solo el evento y donde la
probabilidad es completamente desconocida. La visión tradicional dice que el riesgo es una
situación en la que puede ocurrir un evento y la frecuencia de ocurrencia puede evaluarse
basándose en una distribución de probabilidad de ocurrencias pasadas o consideraciones
ambientales. Aunque esa observación tiene una utilidad limitada en la gestión de proyectos,
sí distingue entre riesgo e incertidumbre. Con el riesgo, hay un sentido del nivel relativo de
probabilidad de evento. Con la incertidumbre, sin embargo, esa probabilidad es
completamente desconocida. Para comprender si un evento es realmente "arriesgado", el
gerente del proyecto debe comprender los efectos potenciales que pueden resultar de su
ocurrencia o no. Determinar el riesgo de esta manera requiere juicio. Por ejemplo, aunque
un evento puede tener una baja probabilidad de ocurrir, las consecuencias, si ocurren, pueden
ser catastróficas. Un vuelo de una aerolínea comercial ilustra este tipo de situación: aunque
la probabilidad de un accidente es baja, las consecuencias son generalmente graves. Aunque
muchas personas se sienten incómodas por volar debido a las consecuencias del fracaso, la
mayoría de las personas no consideran que volar sea un alto riesgo. Este ejemplo también
enfatiza el principio de que el riesgo depende en gran medida de la percepción individual.
La naturaleza de cualquier riesgo dado se compone de tres elementos fundamentales: el
evento, la probabilidad y la gravedad (o impacto) (consulte la Figura 2.1). El evento es la
descripción del riesgo que puede ocurrir. Las descripciones de los eventos son cruciales. La
probabilidad y el impacto de un accidente de avión en la puerta son muy diferentes de la
probabilidad y el impacto de un accidente de avión desde una altura de 30,000 pies. Así, los
gestores de riesgos.

debe explorar la naturaleza del evento de riesgo en sí mismo antes de que puedan comenzar
a examinar la probabilidad y el impacto del riesgo. Sin una definición clara del evento de
riesgo, determinar la probabilidad y el impacto se vuelven mucho más difíciles. Como regla
general, los eventos de riesgo deben describirse en oraciones completas. Una plantilla para
dicha oración puede ser tan simple como: (Evento) puede suceder al proyecto, causando
(impacto a los objetivos del proyecto). Un enfoque tan consistente de la definición de riesgo
permite un viaje mucho más fácil a lo largo del resto del proceso de riesgo. Después de que
se haya definido el evento de riesgo, debemos establecer la gravedad potencial de su impacto.
¿Qué tan mal podría lastimar el objetivo? Solo cuando tengamos una idea del grado de
impacto bajo consideración se puede evaluar la probabilidad. Los datos estadísticos y la
teoría de la probabilidad juegan un papel importante en la determinación de esta variable.
Sin embargo, dado que los proyectos en el entorno de proyecto tradicional son únicos, a
veces es difícil determinar si existe un registro histórico aplicable para la comparación. En
la mayoría de las organizaciones y para la mayoría de los proyectos, existe poco desacuerdo
sobre el nivel de riesgo si las variables se clasifican de la siguiente manera:

Conceptos de riesgo
• Baja probabilidad y bajo impacto igual bajo riesgo
• Alta probabilidad y alto impacto igual alto riesgo
• Alta probabilidad y bajo impacto igual bajo riesgo (para el éxito general del proyecto)
Sin embargo, a medida que avanza hacia el cuadrante de probabilidad baja / alto impacto de
la figura, determinar el nivel de riesgo se vuelve más subjetivo y requiere pautas. Un proyecto
con muchos elementos de riesgo moderado puede considerarse de alto riesgo, mientras que
un proyecto con algunos elementos de alto riesgo puede tener una calificación de riesgo
general más baja. Estas situaciones generalmente requieren algún tipo de modelado para
determinar el nivel de riesgo del proyecto. En consecuencia, se han hecho muchos intentos
para modelar matemáticamente esta evaluación subjetiva del riesgo. Algunos estadísticos y
gerentes de proyectos pueden aplicar distribuciones de probabilidad (ver Apéndice C),
mientras que otros pueden no aplicarlas. A medida que las partes interesadas califican los
riesgos, pueden surgir desacuerdos. Si bien los gerentes de proyecto a veces deben confiar
en expertos técnicos en el proceso de administración de riesgos, también deben estar
preparados para emitir un juicio final. Algunas pautas sobre los riesgos de calificación se
incluyen en el Capítulo 3 bajo “Cuantificación del riesgo”. Y si bien es importante examinar
las probabilidades cuantificables de pérdida, un tema adicional a considerar es la
oportunidad. Si no existe una oportunidad real, entonces no hay razón para perseguir una
actividad de riesgo. Sin embargo, a medida que aumenta la ganancia potencial, también lo
hace el umbral para aceptar el riesgo.

Actitudes de riesgo y apetitos

En los últimos años, la actitud de riesgo y el apetito han pasado a primer plano en muchas
discusiones de proyectos. Las calificaciones y evaluaciones de riesgo de las partes
interesadas se basan de muchas maneras en estas dos consideraciones. El apetito por el riesgo
refleja la disposición ambiental para enfrentar ciertos riesgos (o no enfrentarlos). El apetito
es el grado en que las organizaciones, los equipos de proyecto y los individuos pueden
"soportar" o tolerar ciertos tipos o grados de riesgo. Si bien el apetito puede ser una fuerza
impulsora en términos de comportamiento organizacional y disposición general para asumir
ciertos riesgos, el determinante final es la actitud de riesgo. Cada individuo tiene una actitud
de riesgo. Algunas personas nunca soñarían con el paracaidismo. Otros lo abrazan como.

una emocionante oportunidad. Sin importar las presiones externas o los apetitos de quienes
los rodean, prevalece la actitud. Idealmente, debería existir cierta alineación entre los apetitos
de riesgo organizacional y las actitudes de riesgo individuales.

Clasificación del riesgo

Para el gerente del proyecto, los riesgos se basan principalmente en el proceso para entregar
un producto o servicio específico a una hora específica por un costo específico. Un proyecto
adecuadamente planificado proporcionará al gerente del proyecto algunos fondos de reserva
y tiempo libre para solucionar problemas imprevistos y aún así cumplir con los objetivos de
costo, calendario y rendimiento originales. Pero una amplia variedad de problemas puede
impedir que el gerente cumpla con los objetivos del proyecto: es posible que el producto no
alcance el nivel de desempeño especificado, que los costos reales sean demasiado altos o que
la entrega sea demasiado tarde. (Por supuesto, existe el riesgo de que el costo original, el
cronograma y los objetivos de rendimiento sean inalcanzables, irreales o conflictivos).
Para que sea manejable, el riesgo debe clasificarse. La quinta edición de PMBOK • Guide
incorpora una estructura de desglose de riesgos para enfatizar dicha clasificación (PMBOK
• Guide 2013, 317). El Software Engineering Institute, en su Identificación de riesgos basada
en taxonomía (Carr et al. 1993), también dividió el riesgo en clases y subclases. Además, la
edición original de este libro, creada por el Defence Systems Management College (DSMC),
enfatizó cinco facetas principales del riesgo. Sin embargo, lo importante es no seleccionar
un esquema particular, sino elegir enfoques que reflejen las necesidades de riesgo de una
organización.

Estructura de desglose del riesgo

La quinta edición de la Guía • PMBOK (2013) no solo examina la importancia de categorizar
el riesgo, sino que también explora la noción de que los riesgos son específicos de la
organización y del proyecto, según el entorno y la cultura. En ediciones anteriores, este texto
de riesgo examinaba los riesgos desglosados por facetas (que caracterizan el entorno y la
cultura del Departamento de Defensa de los EE. UU.) Y el uso de herramientas como el
diagrama de afinidad (descrito en el Capítulo 15) para identificar el entorno y la cultura de
un proyecto específico. Aunque la estructura de desglose del riesgo se trata se profundizan
mucho más adelante (ver Capítulo 15), es importante tener en cuenta su existencia aquí, ya
que refleja un cambio en la práctica de administración de riesgos de las categorías genéricas
(como se encontraron en la Guía de PMBOK • original) a un conjunto de categorías que son
más pertinentes a un proyecto dado. Estas categorías se vuelven cruciales para una gestión
de riesgo efectiva, ya que, en última instancia, reflejan las fuentes de riesgo en un proyecto
o en una organización de proyecto.

Taxonomía de riesgos
En su innovadora identificación de riesgos basada en taxonomía, al generó una jerarquía de
riesgos para la industria del desarrollo de software que permanece sin igual. La belleza de su
análisis es invaluable. Su discusión no solo enumera las categorías de riesgo que
identificaron en innumerables proyectos de software, sino que también proporciona
explicaciones detalladas de lo que significan las categorías y las consideraciones ambientales
inherentes a las organizaciones plagadas de problemas en una categoría específica.
Los gerentes de proyecto que buscan construir una comprensión más amplia de la naturaleza
del riesgo en sus organizaciones y generar categorías que sean útiles y que apoyen los
esfuerzos de identificación y calificación de riesgos pueden considerar este trabajo como un
punto de referencia de cómo se pueden lograr estos objetivos de la manera más efectiva.
Además de clasificar las categorías de riesgo, sus subconjuntos y subconjuntos, la taxonomía
incluso cataloga preguntas binarias específicas (sí / no) para ayudar a los gerentes de
proyectos a determinar la probabilidad de que un área, subconjunto o categoría dada sea
endémica en sus proyectos. Nuevamente, los gerentes de proyectos que generan sus propios
desgloses de riesgo o taxonomías serían prudentes al considerar la eficacia potencial de tal
esfuerzo.

Las facetas de riesgo

El riesgo original: Conceptos y orientación (Defense Systems Management College 1986)
clasificó el riesgo en cinco facetas:
• Técnicas (relacionadas con el rendimiento): el Apéndice B contiene una lista abreviada de
áreas de riesgos técnicos. No enumera los tipos de riesgos por procesos, componentes, partes,
subconjuntos, conjuntos, subsistemas y sistemas para todas las muchas tareas de diseño de
integración asociadas. Tampoco aborda todos los aspectos posibles del rendimiento, que
varían ampliamente de un proyecto a otro. A medida que la arquitectura de diseño, el
rendimiento, otros requisitos y las restricciones del proyecto se conozcan en un proyecto
determinado, se debe preparar una lista más detallada de los riesgos en función de la
información específica del proyecto.
• Programático (relacionado con el desempeño): el riesgo programático es el riesgo asociado
con la obtención y el uso de recursos y actividades aplicables que pueden afectar la dirección
del proyecto, pero que pueden estar fuera del control del gerente del proyecto. En general,
los riesgos programáticos no están directamente relacionados con la mejora del estado de la
técnica. Los riesgos programáticos se agrupan en categorías según la naturaleza y la fuente
de los factores que pueden perturbar el plan de implementación del proyecto. Incluyen las
interrupciones causadas
• Por decisiones tomadas en niveles más altos de autoridad directamente en relación con el
proyecto
• Por eventos o acciones que afectan el proyecto, pero no están dirigidas específicamente
hacia él
• Principalmente por una falla en la previsión de problemas relacionados con la producción
• Por capacidades imperfectas
• Principalmente por no prever problemas distintos de los incluidos en las primeras cuatro
categorías
• Compatibilidad (relacionada con el medio ambiente): el riesgo de compatibilidad es el
riesgo asociado con la instalación y mantenimiento de sistemas o procesos que se están
desarrollando actualmente o se han desarrollado y se están implementando. El riesgo de
compatibilidad comprende aspectos tanto técnicos como programáticos.
• costo
. programar
Debido a que los costos de los costos y los programas a menudo sirven como indicadores del
estado del proyecto, se tratan de manera diferente a los demás. Esto también se debe a que
tienden a ser impactos de otros riesgos, además de ser fuentes de riesgo en sí mismas. Hay
pocos riesgos que se pueden etiquetar como costos reales o riesgos de planificación. Pero la
mayoría de las veces, la incertidumbre de costos o horarios refleja.

Riesgo técnico, programático y de soporte. Algunos de los riesgos más importantes de la

agenda son aquellos que son impulsados por dependencias (relaciones con otras actividades).
Cabe destacar que, en muchos casos, no es un evento de riesgo único, sino más bien una serie
de eventos de riesgo dependientes que generan el mayor dolor en un escenario de proyecto.
Esto se relaciona con el viejo axioma de que "cuando llueve, se vierte", en la medida en que
un solo retraso del programa puede conducir a otro y otro y así sucesivamente; y en la prisa
por rectificar retrasos anteriores, pueden evolucionar riesgos aún mayores en la
programación. De manera similar, en el entorno de costos, las relaciones pueden nuevamente
generar un mayor riesgo, ya que los esfuerzos por realizar con márgenes de costos cada vez
más escasos (causados por riesgos dependientes anteriores) crean comportamientos de costos
que de otra manera se hubieran considerado inaceptables.
Con los indicadores de costos y horarios, en algún momento, es necesario identificar los
factores desencadenantes específicos que causarán cambios en el comportamiento de la
organización del proyecto. Los desencadenantes son aquellas condiciones que indican que
un evento de riesgo está a punto de ocurrir o ha pasado. Por ejemplo, un exceso en el
presupuesto de 0.05% puede no ser la causa de preocupación en la organización y puede no
ser indicativo de problemas a la vista. Un presupuesto excedido del 5%, sin embargo, puede
ser totalmente inaceptable.
En algún momento, los activadores se establecen para activar las alarmas cuyo riesgo es
inminente. En situaciones donde los riesgos parecen insuperables, a veces se pueden
encontrar alternativas al examinar los resultados en lugar de las fuentes de riesgo. Aún así,
tener una comprensión de ambos es crucial.

Otras categorías de riesgo

Hay otras formas de examinar las fuentes y categorías de riesgo. En la Guía de PMBOK de
1987, se incluyen las categorías de riesgo.
• Impredecibles desde el exterior: los problemas que se ciernen a la puerta de cualquier
proyecto dado son los riesgos clásicos del "acto de Dios". Los desastres naturales, los actos
caprichosos del gobierno, la agitación social o el cambio ambiental pueden ocurrir sin previo
aviso, cambiando así todo el tenor de un proyecto.
En los últimos años, un énfasis en la continuidad de los planes de operaciones (COOP) ha
puesto de relieve un cambio en las inquietudes culturales sobre lo impredecible externo.
Tales planes detallan cómo una la organización se ocupará de las crisis importantes que no
se pueden prever, pero que son lo suficientemente catastróficas como para romper los lazos
con las estructuras y sistemas existentes.
• Predecible externo: los riesgos previsibles externos son aquellos problemas externos que
se pueden prever. Aunque el impacto total puede ser difícil o imposible de discernir, es
posible profundizar en el problema y examinar los resultados potenciales y los marcos
temporales posibles.
• Interno (no técnico): en virtud de su existencia, las organizaciones generan riesgo. Los
niveles de burocracia, las políticas de personal, los procedimientos administrativos y los
procedimientos internos básicos generan ciertos riesgos.
• Técnicas: como su nombre lo indica, el desempeño técnico genera riesgos técnicos. Dado
el mercado actual de ideas y enfoques, los riesgos técnicos aumentan dramáticamente a
 medida que las nuevas tecnologías se implementan en cualquier entorno o industria. • Legal:
cuando se publicó la primera versión de PMBOK
• Guide (1987), se consideró que los riesgos legales tenían el peso suficiente para merecer su
propia categoría, y con razón. Dentro de los proyectos, los riesgos legales son innumerables
porque muchos se basan en el contrato y todos sirven a un grupo de partes interesadas muy
variadas. Junto con la propensión social a los juicios (particularmente en los Estados Unidos),
la naturaleza única de los proyectos los convierte en un objetivo abierto y listo para los
litigantes.
Los riesgos de la muestra o las fuentes de riesgo de cada categoría se muestran en la Tabla
2.1.
Estas categorías cambiaron ligeramente en la edición 2000 de PMBOK • La guía se convirtió
en
• Técnica, calidad y rendimiento: las categorías de técnica, calidad y rendimiento reflejan la
categoría designada como “técnica” en la anterior Guía de PMBOK (1987) y Texto original
del DSMC. Sin embargo, con nuestro creciente énfasis en la calidad y el rendimiento, se
reconoce que el nivel de calidad solicitado y las capacidades del sistema pueden generar
riesgos adicionales.

categorías de riesgo y fuentes según la

guía PMBOK® 1987
CATEGORÍA DE MUESTRA RIESGOS / FUENTES DE
RIESGO RIESGO
Externo Cambio regulatorio no planificado Zonificación del sitio o acceso
denegado
Impredecible Inundar Terremoto
Sabotaje Vandalismo
Trastorno social Catástrofe ambiental
La inestabilidad política Colapso financiero impredecible
externo Fluctuación del mercado financiero Demanda de materias primas.
Previsible Cambios competitivos a la inflación. Valor del producto / servicio
Impuestos Seguridad
Reglamentación sanitaria
Interno Demoras en el proceso de adquisición Miembro del equipo inexperiencia
(No técnico) Cambios de personal superior Errores de integración
Recursos humanos pobres Limitaciones de acceso
coordinación Entregas tardías
Problemas de flujo de efectivo
Técnico Cambios tecnológicos
Cambios en la demanda de calidad
Limitaciones de productividad
Implementación inadecuada
Cambios en la demanda operacional
Imprecisión de diseño
Cambios en los requisitos
Implementación inadecuada
Retos de confiabilidad

legal Desafíos de licencia Fallas del contrato

Litigios de patentes Demandas del personal
Demandas de clientes Acción del gobierno

Gestión de proyectos: los directores de proyectos no son los únicos responsables de la gestión
de proyectos, pero deben asumir la responsabilidad de sus resultados. Los riesgos de la
gestión de proyectos incluyen los riesgos de planes de proyectos deficientes, asignación de
recursos deficiente, planificación presupuestaria deficiente y calendarios deficientes, todo lo
cual lleva a niveles variables de insatisfacción de los interesados. La creación de esta
categoría coloca la responsabilidad en los gerentes de proyecto para reunir a diferentes partes
interesadas en el proceso y para unirlos en una visión única sobre lo que deben ser los planes.
• Organizacional: el dilema clásico de la gestión de proyectos es que los gerentes de
proyectos tienen una gran responsabilidad, pero no tienen autoridad para llevarlos a cabo.
Los riesgos organizativos apuntan directamente a ese problema porque son principalmente
de naturaleza burocrática. Se deben tanto a la incapacidad de las organizaciones para apoyar
los proyectos como a su excesivo entusiasmo en dictar cómo deben llevarse a cabo los
proyectos.
Categorías de riesgo y
fuentes basadas en la Guía
PMBOK® 2000
CATEGORÍA DE MUESTRA DE RIESGOS
RIESGO / FUENTES DE RIESGO
Técnico, calidad y Objetivos de mayor Nuevos estándares de la
rendimiento. rendimiento industria.
Cambios tecnológicos Tecnologia compleja
Cambios de plataforma Tecnología no probada

Gestión de proyectos Mala asignación de tiempo Mala asignación de recursos

 Pobre planificación Mala planificación del
presupuestaria. proyecto.

Organizativa Infraestructura débil Cambiando la

Organizacion poco clara disponibilidad de fondos
objetivos conflicto de recursos
intraorganizacional

Externo Retos legales Desastres naturales

Cambiando los objetivos Turnos regulatorios
del cliente

Externo: se discutió anteriormente en sus dos formas (predecible e impredecible), mientras

que los riesgos externos siempre son un componente de la discusión, no son un tipo de riesgo
en el que el gerente del proyecto tenga influencia directa sobre la probabilidad de su
ocurrencia o su impacto.
Muestras de riesgos y fuentes de riesgo se muestran en la Tabla 2.2. En la última Guía de
PMBOK® (2013), no hay categorías predeterminadas. Estos fueron reemplazados por la
introducción de la estructura de desglose del riesgo. Aunque PMI® ha optado por eliminar
las categorías prescritas, las organizaciones que luchan con "por dónde empezar" en riesgo
no deberían hacerlo. Con frecuencia, un conjunto prescrito de categorías puede abrir la
discusión sobre qué preocupaciones pueden potencialmente afectar proyectos basados en la
cultura y el ambiente de la organización. Las categorías predeterminadas también pueden
ayudar a enfatizar los factores de riesgo en lugar de los indicadores de riesgo.

Riesgos desarrollados taxonómicamente

Las organizaciones y los individuos tienen sus propias tendencias cuando se trata de riesgos.
Algunas organizaciones, tipos de proyectos e incluso individuos parecen atraer el riesgo
como un imán. Normalmente, no se debe a un individuo o proyecto, sino al entorno. Dado
que las condiciones ambientales son algo predecibles, también lo son las categorías de riesgo
comunes a un entorno determinado. La ventaja de descomponer los riesgos en una jerarquía
para soportar un entorno dado es que el riesgo Las categorías ayudan a establecer la
naturaleza de los riesgos comunes al proyecto. Esto se trata con mayor profundidad en el
Capítulo 15.
En discusiones posteriores, se hará más evidente por qué las categorías variadas (y quizás
aparentemente arbitrarias) y las facetas del riesgo son críticas para las organizaciones de
administración de riesgos efectivas. Por ahora, basta con decir que estas categorías
proporcionan un contexto sólido en el que se puede encuadrar la gestión de riesgos. Al aplicar
estas categorías, los gerentes pueden garantizar un nivel de coherencia para identificar y
revisar la amplitud de riesgos que enfrentan sus organizaciones. Sin ellos, es cada vez más
probable que una categoría de riesgo en particular se favorezca a la exclusión de las demás.

Otras consideraciones relevantes

Hay otras dos áreas que vale la pena mencionar al analizar los conceptos de riesgo en
términos de proyectos. Ambos se ocupan de la estructura de gestión organizativa.

Perspectivas de gestión de riesgos

La gestión de riesgos del proyecto debe verse desde dos puntos de vista:
• Perspectiva a corto plazo: Cómo lidiar con la fase actual del proyecto y el futuro inmediato
• Perspectiva a largo plazo: Tratar cualquier cosa más allá del corto plazo Como muchos
otros aspectos de la gestión de riesgos , la distinción entre las dos perspectivas es algo
confusa, y se necesita más explicación para definir y justificar la separación. La perspectiva
a corto plazo normalmente se refiere a la gestión del riesgo relacionado con la satisfacción
de las necesidades inmediatas del proyecto, como "Este es el nivel de rendimiento que
necesito alcanzar hoy, y cómo mis contratistas están logrando esto". Por otro lado, la
perspectiva a largo plazo se relaciona con "¿Qué puedo hacer hoy para garantizar que el
proyecto, al final, sea un éxito?" Esta perspectiva podría incluir, entre otras cosas, la
introducción de problemas de ingeniería relacionados con el apoyo y la producción del
proyecto en el diseño proceso anterior en el proyecto.
Las perspectivas a corto y largo plazo están estrechamente vinculadas para lograr el nivel de
desempeño deseado a corto plazo, pero el gerente del proyecto puede verse obligado a
sacrificar la capacidad a largo plazo. Los proyectos que requieren nuevos enfoques o nuevas
herramientas pueden sufrir en el corto plazo, pero pueden tener mayores niveles de
productividad y rendimiento a largo plazo. Sin embargo, como con cualquier buena decisión
de gestión, las implicaciones a corto y largo plazo deben entenderse bien. El gerente del
proyecto puede proporcionar una respuesta de riesgo temprano solo si se conocen estas
implicaciones.
Otra ilustración de las dos perspectivas se ilustra en la Figura 2.2, que muestra un diseño
general seleccionado para un proyecto que tiene ciertos elementos de riesgo. Esta fue una
decisión que obviamente tuvo implicaciones a largo plazo. La tarea actual para el gerente de
proyecto es completar este
diseño dentro de las restricciones de recursos existentes. El gerente del proyecto ha
seleccionado algunos parámetros técnicos, de costo y de programación para administrar el
riesgo en forma operativa, día a día (administración de riesgo a corto plazo). Mientras se
enfoca en el corto plazo, el gerente del proyecto también debe vigilar las implicaciones a
largo plazo.
Los compradores de computadoras se enfrentan a este mismo dilema a diario. Una opción de
bajo costo es atractiva por su precio, pero puede que no cuente con el apoyo de una unidad
más cara. Una computadora de rango medio puede tener el soporte, pero no la capacidad
técnica para manejar versiones de software recientemente lanzadas. Una unidad costosa
puede tener todas las características y el soporte deseado, pero puede no contar con el
respaldo de la administración a largo plazo. Por lo tanto, lograr un equilibrio entre las
perspectivas a corto y largo plazo es, de hecho, una tarea desalentadora.

Realidades de la gestión de proyectos

Idealmente, el mismo equipo de gestión permanecerá en un proyecto desde las primeras fases
hasta el cierre. Sin embargo, dado que las condiciones ideales rara vez existen, es probable
que un proyecto dado emplee varios equipos de administración y de personal. Como
resultado, la transición en el personal de gestión de proyectos a menudo crea vacíos en el
proceso de gestión de riesgos. Estos vacíos, a su vez, crean brechas de conocimiento, por lo
que la información valiosa recopilada anteriormente en el proyecto se pierde. Por lo tanto,
debe dedicarse un tiempo precioso a familiarizarse con el proyecto, a menudo a costa de la
planificación a largo plazo y la gestión de riesgos. Un sistema formal para registrar, analizar
y actuar sobre el riesgo del proyecto facilita el proceso de transición y, cuando se realiza
correctamente, obliga a la gestión del riesgo a largo plazo. El enfoque formal de la gestión
de riesgos se cubre en el Capítulo 3.
Aunque es deseable tomar decisiones basadas en implicaciones a largo plazo, no siempre es
factible. El gerente del proyecto a menudo se ve obligado a actuar sobre consideraciones a
corto plazo. Una razón para esto, un cambio de personal, ya se ha mencionado. Otra razón
es la defensa del proyecto. Los cambios repentinos en las prioridades de la organización
pueden causar estragos en los planes a largo plazo (que es un área de riesgo en sí misma).
Esto se traduce en acciones a corto plazo para adaptarse a las nuevas prioridades. A menudo,
estas decisiones se toman antes de que los efectos a largo plazo puedan evaluarse
exhaustivamente. Y finalmente, en algunos casos, los efectos a largo plazo no siempre son
evidentes en el momento en que se debe tomar una decisión.
Los riesgos operativos cotidianos deben abordarse para completar cualquier fase dada de un
proyecto. En la medida de lo posible, las soluciones desarrolladas para manejar estos riesgos
deben examinarse desde un punto de vista a largo plazo y deben proporcionar al gerente del
proyecto un argumento sólido y estructurado para defender su posición. Como muchos
estudios han señalado, las acciones tomadas al principio del desarrollo de un proyecto tienen
un efecto importante en el rendimiento general y el costo durante la vida del proyecto. Un
ejemplo se ilustra en la Figura 2.3 (DSMC 1985)

Summary
• Risk considers both probability and impact as aspects of the risk event.
• Rating risk is a subjective process requiring strict guidelines.
• There are multiple ways to categorize risk, but regardless of the scheme, the categories
will be strongly interrelated.
• Risk has both long-term and short-term perspectives.