REVISIÓN Y CLASIFICACIÓN DE LAS TÉCNICAS DE ANÁLISIS DE RIESGOS APLICADAS A PROYECTOS DE INGENIERÍA

Transcripción

1 REVISIÓN Y CLASIFICACIÓN DE LAS TÉCNICAS DE ANÁLISIS DE RIESGOS APLICADAS A PROYECTOS DE INGENIERÍA Roqueñí, Nieves*, Alba, Carlos*, Martínez, Gemma M.*; Lobato, Vanesa** *Área de Proyectos de Ingeniería, Universidad de Oviedo. **Aceralia Corporación Siderúrgica. C/Independencia, 13, Oviedo -Asturias Tfn.: Fax: nieves@api.uniovi.es RESUMEN En este artículo se presenta una revisión de las técnicas de identificación y evaluación de riesgos más útiles y adaptadas al proceso de gestión de riesgos de los proyectos de ingeniería. Se definen las etapas a cubrir en el proceso de gestión de riesgos del proyecto teniendo en cuenta la Guía 73, publicada por la International Organization for Standardization en 2002, fijando una terminología común para la evaluación del riesgo de cualquier actividad y definiendo riesgo como la incertidumbre ligada a cualquier posible evento que tenga un impacto en el logro de los objetivos marcados. La aplicación de técnicas cualitativas a la identificación y estimación de riesgos es una práctica relativamente usual en la gestión de proyectos. Las técnicas cualitativas son comparativamente más baratas y fáciles de aplicar, pero no proporcionan estimaciones numéricas y por tanto dificultan la categorización o priorización de los riesgos identificados. El uso de técnicas cuantitativas requiere, en la mayor parte de los casos, un tratamiento estadístico más riguroso y para ello se precisa obtener mayor cantidad de datos, aunque, como contrapartida, este tipo de técnicas tengan una mayor efectividad en el tratamiento de los riesgos identificados. En este trabajo se hace una comparativa de los diferentes métodos y herramientas que se pueden emplear, identificando la etapa o etapas del proceso de gestión de riesgos en la que son de utilidad: identificación, análisis cualitativo y/o análisis cuantitativo. Se identifican fortalezas y debilidades en términos de tipos de resultados, conocimientos previos requeridos, volumen de recursos necesarios, coste y tiempo de implementación, entre otros. Finalmente se hace una selección de las técnicas más adecuadas para ciertos tipos de proyectos o de áreas de aplicación de los proyectos de ingeniería. Palabras clave: gestión de riesgos, proyectos, ABSTRACT The use of qualitative techniques for risk identification and estimation in project management is relatively frequent. Unfortunately these techniques are easier to use but they don t provide numerical values, so it is difficult to categorize the identified risks. Quantitative techniques are usually more effective but they require a bigger quantity of data. This work present an overview of the different methods and tools for of risk management, identifying the steps where they are useful, their strength ness and weakness, previous requirements of application, cost and time of implementation, etc. Finally a selection of the most suitable techniques for several types of projects are presented

2 Key Words: Risk Management, project 1 INTRODUCCIÓN Se define riesgo como la incertidumbre asociada a la ocurrencia de un evento que pudiese afectar al logro de los objetivos del proyecto. También puede definirse como la combinación de la probabilidad de un evento y sus consecuencias (ISO/IEC Guía 73). El riesgo es medido en términos de consecuencias y probabilidad. La Gestión de Riesgos es el proceso por medio del cual podemos localizar, de una forma metódica, los riesgos potenciales a los que están sometidos nuestros proyectos. El objetivo de una buena Gestión de Riesgos es la identificación y tratamiento de los riesgos. Se busca añadir el máximo valor a todas las actividades del proyecto, así como organizar los potenciales beneficios y perjuicios, en términos de oportunidades y amenazas, de todos los factores que pueden afectar al mismo. La Gestión de Riesgos incrementa la probabilidad de lograr los objetivos del proyecto y reduce la del fracaso.el proceso debería ser continuo a lo largo de todo el ciclo de vida del proyecto y localizar los riesgos pasados, presentes y en particular los futuros. La Gestión de Riesgos debe estar integrada en la cultura de las organizaciones que realizan proyectos con un programa y una política efectivas, guiadas por los jefes de proyecto. La estrategia de la organización debe traducirse en objetivos tácticos y operacionales, asignando responsabilidades a los miembros del equipo de proyecto, tanto en los procesos de identificación de riesgo como en la implementación de planes de respuesta a los mismos. La Gestión de Riesgos en los proyectos no es algo que deban aplicar de forma exclusiva las grandes corporaciones o las Administraciones Públicas ya que puede ser aplicada a cualquier proyecto sea cual sea el tamaño del mismo. Los beneficios obtenidos de su aplicación repercutirán positivamente, no sólo en el contexto de la organización ejecutora del proyecto, sino también en el resto de stakeholders o entidades involucradas en su desarrollo. Actualmente se dispone de un gran número de métodos, herramientas y metodologías para lograr los objetivos perseguidos con la Gestión de Riesgos, en este artículo se realiza una selección de las técnicas de más representativas. Al final del documento se presenta una comparativa con las fortalezas y debilidades de los métodos de análisis seleccionados. El proceso de Gestión de Riesgos en los proyectos de una organización podría seguir los pasos que muestra la siguiente figura. Dicho esquema fue propuesto por la International Organization for Standardization en 2002 (Guía 73)

3 Fig. 1 - Proceso de Gestión de Riesgos según ISO 2 ANÁLISIS DE RIESGOS El análisis de riesgos incluye, entre otros, los procesos de identificación, descripción y estimación de riesgos. 2.1 Identificación de Riesgos En la fase de identificación de riesgos se persigue conocer la exposición a la incertidumbre que tiene un proyecto. Esto requiere un profundo conocimiento del proyecto, el mercado en el que se opera, el entorno legal, social y político que envuelve al proyecto, así como conocer sus objetivos operacionales y estratégicos, incluyendo los factores críticos, amenazas y oportunidades relacionadas con el logro de dichos objetivos. La identificación de riesgos debería realizarse de forma metódica, para que pudiésemos asegurar que todas las actividades significativas relacionadas con el proyecto han sido identificadas y que todos los riesgos potenciales derivados de estas actividades han sido definidos. Toda la volatilidad asociada a estas actividades debería ser identificada y categorizada. Hay una serie de herramientas para la identificación de riesgos que pueden ayudar a determinar el nivel de aceptabilidad de los mismos. Algunas de ellas son aplicadas a otras áreas industriales, pero pueden ser útiles para descubrir de una forma estructurada los riesgos de proyectos. Entre estas técnicas son: Estructura de descomposición del trabajo (EDT)(WBS). Brainstorming o Tormenta de ideas. Árboles de decisión. Revisión de experiencias anteriores. Conocimiento experto

4 Diagramas de flujo. Análisis histórico de fallos. Entrevistas/Dinámicas de grupo. Análisis de escenarios. Análisis de fortalezas/debilidades/amenazas/oportunidades. Encuestas o cuestionarios. Técnicas de ingeniería de sistemas, ej. Estudios de Operabilidad y Riesgo (HAZOP). Análisis de barreras de energía. Árboles de fallo. Árboles de eventos. Análisis de nivel de protección. (LOPA) Análisis de errores humanos. 2.2 Descripción de los Riesgos El objetivo de la descripción de los riesgos es mostrar los riesgos identificados de una forma ordenada y estructurada, por ejemplo, usando una tabla. Esta tabla es usada para facilitar la descripción y valoración de los riesgos identificados. El uso de una estructura bien diseñada es necesario para asegurar una identificación, descripción y valoración de riesgos comprensible. Considerando las consecuencias y probabilidades de cada uno de los riesgos identificados en la tabla, sería posible priorizarlos para analizar en más detalle algún aspecto detectado. Es muy importante introducir la Gestión de Riesgos ya desde el análisis del proyecto, sin olvidarse de ella en ningún momento del ciclo de desarrollo del mismo. 1. Nombre del Riesgo 2. Alcance del Riesgo Descripción cualitativa de eventos, su tamaño, tipo, número y dependencias. 3. Naturaleza del Riesgo Ej. Estratégico, operacional, financiero, etc. 4. Partes afectadas Personas, cosas, afectadas por el riesgo y en qué forma. 5. Cuantificación del Riesgo Significado y probabilidad. 6. Tolerancia al Riesgo Impacto financiero del riesgo. Valor del mismo. Probabilidad y tamaño de ganancias/pérdidas potenciales en los objetivos. Nivel deseado de gestión del riesgo. 7. Tratamiento del Riesgo y mecanismos de control Motivos principales por los que el riesgo es gestionado. Niveles de confidencialidad en el control ya existente. Identificación de protocolos de revisión y monitorización. 8. Acción propuesta para la mejora Recomendaciones para reducir el riesgo. 9. Desarrollo de estrategias y políticas Identificación de respuestas. Tabla 1 - Descripción de Riesgos 2.3 Estimación de Riesgos La Estimación de Riesgos, conocida también de forma general como Análisis de Riesgos es un uso sistemático de la información disponible para determinar con qué frecuencia determinados eventos pueden ocurrir y la magnitud de sus consecuencias

5 La Estimación de Riesgos puede ser cuantitativa, semicuantitativa o cualitativa en términos de probabilidad de ocurrencia y las posibles consecuencias. Fig. 2 - Tipos de técnicas de análisis 3 MÉTODOS Y TÉCNICAS DE ANÁLISIS DE RIESGOS 3.1 Análisis de Riesgos Cualitativo El análisis cualitativo usa escalas descriptivas para dimensionar la magnitud de las consecuencias potenciales y la probabilidad de que dichas consecuencias ocurran. Estas escalas pueden ser adaptadas o ajustadas a cada circunstancia de tal forma que diferentes tipos de descripciones puedan ser usadas para diferentes tipos de riesgos. Los métodos cualitativos de análisis de riesgos son usados para establecer prioridades según distintos objetivos. Son útiles cuando no disponemos de información demasiado fiable como para hacer una aproximación cuantitativa. También se usa un análisis cualitativo cuando el nivel de riesgo no justifica perder demasiado tiempo ni usar un número de recursos elevado, que sí sería necesario para un análisis numérico, o cuando no disponemos de datos adecuados, o si lo que perseguimos es hacer una aproximación inicial brusca de los riesgos a los que estamos expuestos en nuestro proyecto. Algunos ejemplos de análisis cualitativo son: Matrices de riesgo. Diagramas de causa y efecto, Fishbone, Diagrama de Ishikawa. Árboles de eventos. Diagramas de Flujo. Análisis Modal de Fallos y Efectos (AMFE) Análisis SWOT (Fortalezas, Debilidades, Oportunidades, Amenazas) Matriz de Análisis de Riesgos

6 La mayor parte de estos procedimientos no son exclusivos del análisis de riesgos: Ishikawa, Árboles de eventos o Diagramas de Flujo, son herramientas que se aplican habitualmente en el control de calidad de productos, sin embargo, aplicadas en el contexto del proyecto pueden proporcionar información sobre la importancia o severidad de un suceso o evento potencial de riesgo identificado. El Análisis Modal de Fallos y Efectos (AMFE) es una técnica de ingeniería inductiva usada a nivel de componentes para definir, identificar y eliminar fallos potenciales, errores, problemas del sistema, diseño, proceso o servicio antes de la entrega del proyecto al cliente. AMFE es una técnica preventiva, metódica y sistemática que examina todas las formas en las que un fallo puede tener lugar. Para cada fallo se hace una estimación en función de: Efecto en el sistema total, Ocurrencia, Severidad y Detección Una de las herramientas de análisis de riesgo cualitativas más utilizada es la matriz de riesgos. Es una técnica cualitativa que nos permite encuadrar los riesgos en diferentes rangos, en función de las consecuencias y la probabilidad. Una matriz típica de riesgos se muestra en la siguiente tabla. Tabla 2 - Matriz de riesgos cualitativa Como muestra la matriz, cuanto mayor es la puntuación asignada, mayor es el riesgo percibido para cada situación en particular. Las zonas de mayor riesgo (4 y 5) requerirán una actuación inmediata; las zonas con riesgo intermedio (3) a menudo pueden ser intervenidas en la siguiente actuación planificada; las zonas con riesgo bajo (1 y 2) pueden no necesitar intervención o podrán ser cosas que pierdan el riesgo mediante entrenamiento o al adquirir experiencia. De esta forma, los riesgos asociados con las puntuaciones bajas (1 y 2) suelen ser tolerables. A pesar de lo escasamente refinada que es esta técnica, su simplicidad ha hecho que haya sido usada de forma estándar para la estimación de riesgos por parte del ejército de los EE.UU. y la NASA desde hace más de 20 años. El análisis What-if es una aproximación a la tormenta de ideas que usa cuestionarios grandes al mismo tiempo que poco estructurados. Sus objetivos son (1) detectar posibles fallos que puedan convertirse en accidentes y (2) asegurarse de que algún tipo de alarma, señal, persona están en el sitio adecuado para corregir estos problemas potenciales. Es un herramienta aplicable a todo tipo de proyectos que genera descripciones cualitativas de problemas potenciales en la forma de preguntas y respuestas, así como lista de recomendaciones para la prevención de problemas. Puede ser aplicado a todo tipo de riesgos,

7 pero a menudo no se usa solo, sino como un complemento a otro método, posiblemente más estructurado. En definitiva, todas estas herramientas cualitativas son muy sencillas de aplicar, no precisando de una información numérica asociada al evento o suceso de riesgo que se quiere analizar y permiten obtener de forma rápida y sencilla cuales son las situaciones más críticas que precisarán la aplicación de medidas profilácticas adecuadas. 3.2 Análisis de Riesgos Cuantitativo Se usan técnicas cuantitativas de estimación de riesgos en situaciones en las que no es apropiado usar probabilidades de ocurrencia y consecuencias de riesgos, como por ejemplo en la estimación de riesgos financieros o la estimación de plazos de entrega. Podemos realizar análisis cuantitativo por medio de: Métodos determinísticos Análisis probabilístico Modelado computacional Análisis de árbol de fallos Diagramas de bloques de fiabilidad Análisis de errores humanos Análisis de árbol de eventos Análisis de nivel de protección Estudios de Operabilidad y Riesgo (HAZOP). Mapas Auto-organizados Como se ha visto anteriormente, el propósito del análisis de riesgos es determinar la probabilidad de ocurrencia de un evento adverso y las consecuencias que nos puede traer. Cuando hacemos un análisis cuantitativo, intentamos describir lo mismo en términos numéricos a través de una serie de pasos: 1. Definir las consecuencias 2. Construir un camino 3. Confeccionar un modelo 4. Estimar el riesgo 5. Realizar un estudio de sensibilidad de diferentes escenarios 3.3 Análisis determinista Cuando estimamos riesgos de forma determinística, asignamos un valor de probabilidad a todas las variables de entrada de nuestro modelo. Después usamos las relaciones entre las variables para generar una estimación del riesgo

8 3.3.1 Estimación de puntos Usamos lo que pensamos que ocurre la mayoría de las veces (moda) para las variables con incertidumbre. Esta estimación es la más fácil, pero a veces pueden retornar resultados muy erróneos. Por ejemplo, si solemos tardar 25 minutos en llegar a la estación de tren, podemos salir de casa 25 minutos antes de que el tren salga, lo que significa que alrededor del 50% de las veces perderemos el tren Estimación de rangos Típicamente se calculan tres escenarios: El caso mejor, el caso peor y el caso intermedio. Este tipo de estimación puede mostrarnos el rango de las salidas, pero no la probabilidad de las mismas. A partir de ahí se podría realizar una análisis de sensibilidad para determinar cómo variarán esas variables de salida cuando se produzcan cambios en las variables de entrada. Este método también se conoce como análisis what-if. 3.4 Análisis Probabilístico (PRA) La aproximación probabilística es, esencialmente, una extensión del análisis what-if. Aquí se asignan distribuciones de probabilidad a cada una de las variables de entrada en nuestro proyecto. Usando las mismas relaciones que en la aproximación determista, la distribución de probabilidad se deriva de la salida del modelo. Usando distribuciones de probabilidad se tienen en cuenta todas las posibles combinaciones para hacer uso de las probabilidades de cualquier valor obtenido. La técnica numérica usada de forma más común en el análisis probabilístico es la simulación de Monte-Carlo Modelado computacional: Simulación de Monte-Carlo Este método es probablemente el más útil y más usado para resolver problemas de análisis de riesgos. Es una técnica computacional intensiva que usa ejemplos aleatorios para cada distribución de probabilidad y genera un gran número de escenarios denominados iteraciones. Las relaciones entre las variables son usadas para generar la estimación del riesgo que es descrito por una distribución de probabilidad. Existen muchas otras aplicaciones como el diseño experimental o problemas de colas. A medida que el uso de esta técnica ha ido creciendo, se han desarrollado paquetes software específicos. En el campo de análisis de riesgos, muchas industrias y departamentos gubernamentales usan paquetes que se integran en las hojas de cálculo (cpalisade Corp.). Normalmente son añadidos a Microsoft Excel que tiene la capacidad de generar números aleatorios según varias distribuciones de probabilidad, puede calcular estadísticas acumuladas y generar gráficas de las distribuciones generadas. Para cada variable con incertidumbre (una que tenga un rango de valores posibles), se definen los posibles valores con una distribución de probabilidad. El tipo de distribución elegida debe ir en función de las condiciones que rodean a la variable

9 Fig. 3 - Tipos de distribución más usuales Una simulación calcula múltiples escenarios de un modelo usando repetidamente valores cogidos de las distribuciones de probabilidad para las variables con incertidumbre. Durante la simulación, se puede ver un histograma de los resultados, referido como un gráfico de frecuencias. Mientras la simulación es realizada, se puede ver cómo el pronóstico va estabilizando hacia una distribución de frecuencia. Después de cientos o miles de iteraciones, se pueden ver estadísticas de los resultados (como el pronóstico de la media) y el grado de certidumbre de cualquier salida. En la siguiente figura se muestra un ejemplo de pronóstico después de iterar mediante el método de Monte-Carlo. Fig. 4 - Histograma de los resultados de una simulación de Monte-Carlo Los resultados pronosticados no sólo muestran los diferentes resultados posibles para cada pronóstico, sino también la probabilidad de cualquier valor. 4 COMPARACIÓN DE TÉCNICAS DE ANÁLISIS: FORTALEZAS Y DEBILIDADES Las técnicas de estimación de riesgos pueden ser, a grandes rasgos, subjetivas-cualitativas u objetivas-cuantitativas. Combinadas pueden ser realmente efectivas en el proceso de la Gestión de Riesgos dentro de nuestros proyectos. El uso de técnicas cuantitativas requerirá una actuación más disciplinada para almacenar e interpretar incidentes, accidentes e información de mantenimiento que permitirá proveer entradas auditadas más exactas a los estudios posteriores

10 Las técnicas cualitativas son más baratas y fáciles de aplicar pero no son capaces de generar estimaciones numéricas de los riesgos identificados. A continuación se muestra una comparativa de las técnicas de análisis de riesgos en base a fortalezas y debilidades. 4.1 Fortalezas y Debilidades de los métodos cualitativos Fases del ciclo de vida del proyecto: Todas. Tipo de resultados: Lista de peligros o amenazas, clasificados por severidad y probabilidad. Nivel de preparación requerido: No necesita entrenamiento especial, sólo la relativa al proyecto. Fortalezas: Muy barato. Se necesitan pocos datos, no es complejo y se usan de forma rápida. Debilidades: Inadecuados para sistemas complejos, no identifica dependencias. No permite valorar los resultados desde el punto de vista cuantitativo. Personal requerido: Poco. Coste: Barato. Probabilidad de fallos peligrosos: No. Permite predecir: No. Dependiente del tiempo: No. Introduce incertidumbre: No Fortalezas y Debilidades de los métodos cuantitativos Fases del ciclo de vida del proyecto: Todas, pero mejor tras un análisis cualitativo previo para establecer ciertas hipótesis sobre funciones de probabilidad asociadas a los riesgos. Tipo de resultados: Rangos de salidas. Permite una mejor estimación del riesgo, basada en impacto en coste y plazo para el proyecto. Nivel de preparación requerido: Relativamente alto para interpretar los resultados, aunque es fácil de utilizar ya que se usa normalmente como un módulo software añadido a los paquetes de hojas de cálculo o programas de planificación de proyectos (@risk) Fortalezas: El proceso es intuitivo pero pasa por la creación de un modelo matemático que describe el parámetro de riesgo. Una vez que el modelo está creado, las distribuciones de entrada se pueden actualizar muy rápido y obtener nuevos resultados. Debilidades: Crear un modelo matemático puede ser muy exigente. Los métodos se apoyan en la utilización de herramientas informáticas potentes. El modelado asume distribuciones de variables que pueden ser difíciles de establecer. La variabilidad del resultado está afectada por el propio modelo. Personal requerido: Poco. Coste: Alto Permite predecir: Depende del método. Dependiente del tiempo: No

11 Introduce incertidumbre: Sí 5 CONCLUSIONES La Gestión de Riesgos es el proceso que permite a los jefes de proyecto balancear los costes operacionales y económicos de posibles medidas para reducir o evitar riesgos y lograr ganancias protegiendo sus proyectos de forma proporcionada. El uso de técnicas de análisis cualitativo es adecuado cuando el nivel de riesgo no justifica gastar el tiempo y recursos necesarios para un estudio numérico, o cuando los datos no son suficientes, o para realizar un estudio inicial de los riesgos que pueden afectar al proyecto. El análisis estadístico o cuantitativo requiere la aceptación de ciertos supuestos y la utilización de modelos matemáticos, en ocasiones complejos. Por lo que su aplicación quedaría reducida, en el ámbito de los proyectos, al tratamiento de riesgos económicos y financieros y de riesgos relacionados con la planificación de la duración del proyecto. Este tipo de análisis se realiza mediante herramientas informáticas específicas, normalmente asociadas a otras herramientas de planificación o de cálculo. 6 REFERENCIAS 1. Project Management Institute A Guide to the Project Management Body of Knowledge (PMBOK Guide) 2000 Edition. Newtown Square, PA: Project Management Institute, page Spotlight: CMMI Model Representations, Sandy Shrum, SEI Interactive, Dec Software, Systems Engineering and Product Development Capability Maturity Models (CMMs), 4. Risk Management in Complex Project Organizations: A Godfather-Driven Approach, G. Getto and D. Landes, Proceedings of the 30 th Annual Project Management Institute 1999 Seminars and Symposium, October Industry Models of Risk Management and Their Future, K. Artto and D. Hawk, Proceedings of the 30 th Annual PMI 1999 Seminars and Symposium, October %20Hazard%20Register%20development s.pdf