¿Qué es un RIESGO?

Un riesgo es aquel “evento o condición incierta que, si se produce, tiene un efecto positivo o

negativo en los objetivos de un proyecto”.  

La incertidumbre se da cuando no conocemos la probabilidad de ocurrencia de un evento,

mientras que en una situación de riesgo podemos estimar cuál será su probabilidad de
ocurrencia, aunque investigando la incertidumbre podemos ayudar a la identificación de riesgos.

Probabilidad de ocurrencia

Cada riesgo identificado tiene alguna probabilidad de suceder. Por ejemplo, la probabilidad de que
tengamos temblores en una Ciudad según estadísticas históricas es del 2%. Esto significa que en el
largo plazo, si se mantienen las condiciones utilizadas en la estimación, temblará 2 de cada 100
días.

Un hecho improbable que ocurra tiene una probabilidad de ocurrencia cercana a cero. Por el
contrario, un hecho que es casi seguro que ocurra posee una probabilidad de ocurrencia muy
cercana a 100%. Por lo tanto, matemáticamente se suele representar a la probabilidad de
ocurrencia en una escala que va del 0 al 1.

Impacto

El riesgo no se cuantifica sólo por su probabilidad de ocurrencia, sino también por su impacto
sobre los objetivos del proyecto (alcance, tiempo, costo, calidad). Por ejemplo, si la probabilidad
de mal clima es muy alta, pero los daños en el proyecto son muy bajos, ese riesgo no debería
preocuparnos demasiado.

Un proyecto tendrá más riesgo si presenta un 10% de probabilidad de ocasionar daños por
500.000€, que en el caso de tener un 10% de probabilidad de generar daños por 100.000€.

Estos tres términos reflejan la actitud de una organización o parte interesada hacia el riesgo. La
actitud ante el riesgo muestra los diversos grados de riesgo que los interesados están dispuestos a
aceptar.

Apetito al riesgo

El Apetito al Riesgo según el PMBOK es «El grado de incertidumbre que una organización o
individuo está dispuesto a aceptar en anticipación de una recompensa».

Tolerancia al riesgo

«El grado, cantidad o volumen de riesgo que una organización o individuo resistirá»

Umbral de riesgo

El Umbral de Riesgo es “El nivel de exposición al riesgo por encima del cual se abordan los riesgos
y por debajo del cual se pueden aceptar los riesgos”

Un umbral es aquel que nos indica el punto más allá del cual la organización no está dispuesta a
tolerar ese riesgo.
Aplicamos este umbral ante la exposición al riesgo, y luego la exposición al riesgo se calcula en
función de la probabilidad y el impacto. Ahora, es crucial entender que cuando la exposición al
riesgo se da, el equipo de gestión del proyecto debe tomar medidas decisivas, llámese respuestas.
Estas acciones o respuestas recuperan la exposición al riesgo por debajo de los límites, por debajo
de los umbrales de riesgo.

Tipos de riesgos

Las empresas pueden encontrarse ante distintos tipos y estos riesgos pueden ser residuales o
secundarios, dependiendo de la causa y del momento en el que aparecen y en función de ello, se
estructurará la toma de decisiones de la empresa y se reducirá la posibilidad de que se
materialicen los riesgos inherentes a una actividad.

Bueno veamos estos dos conceptos:

Riesgo Residual

El riesgo residual hace referencia a aquel que permanece después de haber ejecutado las
respuestas a esos riesgos

Riesgo Secundario

El riesgo secundario es aquel que aparece en el momento en el que la organización implementa

una determinada respuesta a un riesgo.

Como puedes darte cuenta, el riesgo residual y el riesgo secundario se diferencian por las causas
que los originan y por el momento en el que aparecen, pero la empresa ha de tratar de
identificarlos y controlarlos en ambos casos.

Que es gestión de riesgo?

Los mejores proyectos son aquellos que tienen planificación, y la gestión de riesgos es una pieza
clave del proceso de planificación inicial. No olvides incorporar un plan de gestión de riesgos en
cualquiera de los primeros documentos de la planificación, como en el brief del proyecto. De este
modo, todos tendrán acceso al plan de gestión de riesgos y podrán reaccionar de manera proactiva a
cualquier caso de riesgo que se torne real.

La gestión de riesgos de los proyectos, también conocida como risk management, es la práctica de

identificar, analizar y responder de manera proactiva a diferentes tipos de riesgos potenciales de un
proyecto. Un riesgo de un proyecto es todo aquello que pueda afectar al éxito del proyecto, puede
ser algo que cause retrasos en el cronograma del proyecto, que haga que se exceda el presupuesto
previsto o cualquier cosa que derive en la disminución del rendimiento del equipo de un modo u
otro.
Con una gestión de riesgos efectiva, puedes detectar cualquier riesgo en potencia que pueda surgir
durante el ciclo de vida de un proyecto y mitigarlo para que el proyecto se mantenga en curso,
dentro del presupuesto y bien orientado.

Cuándo deberías empezar a pensar en la gestión de riesgos?

La gestión de riesgos no es reactiva, es proactiva. Lo ideal es que elabores un plan para gestión de
riesgos durante la fase de planificación del proyecto. De este modo, podrás identificar mejor
cualquier riesgo potencial y su impacto, para poder, después, controlar esos riesgos durante el
desarrollo del proyecto. En vez de que te tomen por sorpresa, estarás atento a esos factores de riesgo
antes de que se transformen en verdaderos problemas. Algunos tipos de riesgos pueden ser desastres
naturales, riesgos financieros, posibles pérdidas, amenazas de ciberseguridad, riesgo de mercado,
tan solo por nombrar algunos.

¿La gestión de riesgos es realmente importante para mi proyecto en particular?

A decir verdad, no todos los proyectos necesitan contar con un plan de gestión de riesgos. Si tu
proyecto cumple un proceso relativamente sencillo, es probable que solamente necesites hablar con
los miembros del equipo para pensar cuáles podrían ser los riesgos potenciales y poder detectarlos a
tiempo. Los proyectos de este tipo son de corto alcance, no requieren de demasiada dedicación por
parte de los miembros del equipo ni de recursos externos (como el presupuesto o la disponibilidad,
u otros recursos humanos) y pueden ser procesos que ya has atravesado satisfactoriamente antes.

Pero si trabajas en una iniciativa compleja que involucra a muchos participantes de otros

departamentos en el proyecto y a recursos necesarios importantes, es probable que sí te sea muy útil
contar con un plan de gestión de riesgos del proyecto. Son proyectos en los que tal vez inviertas
gran parte del tiempo y de la disponibilidad de los miembros del equipo, o con los que prepares una
cuantiosa inversión financiera. Al contar con un plan para gestión de riesgos, puedes asegurarte de
que el proyecto se mantenga dentro del alcance previsto y que, en definitiva, tenga éxito.

7 pasos para la adecuada gestión de riesgos en los proyectos, que pueden ser usados en cualquier
tipo de organización y para cualquier tipo de proyecto, así como 15 metodologías de gestión de
riesgos que le ayudarán en la implementación de cada paso.
1.   Planificación del riesgo
El primer paso consiste en decidir cómo se va a planificar la administración del riesgo en las
distintas actividades del proyecto.
En este paso es clave definir la manera como se llevarán a cabo las actividades de identificación,
análisis, respuesta y monitoreo de riesgos.
La principal metodología de gestión de riesgos a utilizar es el Análisis de Interesados. Este análisis
es un proceso que consiste en recopilar y analizar de manera sistemática las informaciones
cuantitativas y cualitativas, esto con el fin de determinar qué intereses particulares deben tenerse en
cuenta a lo largo del proyecto. Permite identificar los intereses, las expectativas y la influencia de
los interesados, y los relaciona con la finalidad del proyecto. También, permite determinar el apetito
de riesgo de los interesados del proyecto, es decir, el grado de incertidumbre que están dispuestos a
aceptar para obtener una posible recompensa a futuro.
Igualmente, es importante definir las escalas de probabilidad e impacto adecuadas para poder
evaluar los diferentes riesgos de la organización y poder priorizarlos, en los pasos posteriores
2.   Identificación del riesgo
En la identificación de riesgos se determinan cuáles riesgos podrían llegar a afectar al
proyecto y se documentan las principales características de cada uno de ellos.
Las técnicas utilizadas para realizar esta etapa son principalmente:
Lluvia de Ideas
Esta técnica grupal puede consolidarse como una metodología de gestión de riesgos que nos permite
identificar riesgos con equipos multidisciplinarios externos al proyecto. Un facilitador experto
puede ayudar a los participantes a mantenerse centrados en la tarea de análisis de riesgos, seguir con
precisión el método asociado con la técnica, llegar a un consenso sobre riesgos identificados,
evaluaciones de probabilidad e impactos, identificar y superar las fuentes del sesgo, y resolver los
desacuerdos que puedan surgir.
La técnica Delphi
Técnica en la que se separa físicamente a los miembros del grupo y un coordinador general contacta
a todos los miembros para que opinen sobre potenciales riesgos, manteniendo el anonimato de los
involucrados. El coordinador le informa a los participantes las razones que justifican distintas
opiniones sobre los riesgos identificados y les solicita que reevalúen su respuesta para profundizar
el análisis. Esta herramienta de gestión de riesgos debe continuar con la retroalimentación iterativa
hasta que no haya más cambios que realizar.
El Análisis de Causa Raíz
Técnica utilizada para identificar cuáles son las principales causas que ocasionan los riesgos. Es una
metodología de gestión de riesgos que sirve para estructurar debates grupales sobre las posibles
causas planteadas y su principal objetivo es llegar al fondo del riesgo específico, descartando las
respuestas más inmediatas y superficiales.
Para hacer una análisis de causas efectivo, se sugiere seguir los siguientes pasos:
 Establecer el problema
 Reunir personas que pueden contribuir con el análisis
 Hacer una lluvia de ideas aplicando las 6Ms: Mano de obra, Métodos, Materiales,
Máquinas, Medio ambiente y Medidas
   Definir los plazos y responsables para ejecutar las ideas más viables
 Verificar los resultados obtenidos con cada acciónEl Análisis DOFA

El análisis DOFA es una herramienta de gestión de riesgos negativos internos que nos permite
identificarlos a partir de debilidades, de riesgos negativos externos a partir de amenazas, de riesgos
positivos internos a partir de fortalezas y riesgos positivos externos oportunidades.

Una vez realizado este paso se tendrá un Registro de riesgos que incluye el nombre de los riesgos
identificados, el nombre del responsable del riesgo, una lista de posibles respuestas y las causas de
los riesgos.
3. Análisis cualitativo del riesgo
En este paso se evalúa el impacto y la probabilidad de los riesgos identificados. Se priorizan los
riesgos según su potencial impacto sobre el proyecto. Para esta priorización también se evalúan
otras características dando respuestas a estas preguntas:
 ¿La materialización del riesgo impactará los objetivos estratégicos de la organización?
 ¿El riesgo es fácil o difícil de detectar?
 ¿Si ocurre el riesgo, desencadenará otros riesgos?
 ¿El riesgo es fácil o difícil de gestionar?
 ¿Otros interesados pueden ser afectados por la materialización de este riesgo?

Las metodologías de gestión de riesgos más usadas para esta evaluación y priorización de los
riesgos son:
Matriz de probabilidad e impacto
En esta metodología de gestión de riesgos se representa con una tabla de doble entrada que combina
la probabilidad y el impacto para luego priorizar los riesgos. Puede construirse una matriz diferente
para cada objetivo del proyecto (alcance, tiempo, costo).
Luego de obtener el puntaje del impacto y la probabilidad de ocurrencia de cada riesgo, se asigna la
calificación multiplicando el impacto por la probabilidad de ocurrencia.
Diagrama de burbujas
Es un gráfico de dispersión en el cual se representan los puntos en forma de burbujas. El tamaño de
las burbujas corresponde a la cantidad de riesgos ubicados en cada zona. Esta herramienta de
gestión de riesgos gráfica permite representar hasta tres dimensiones (Urgencia, Detectabilidad,
Impacto).

4. Análisis cuantitativo del riesgo:

En este paso se analiza numéricamente la probabilidad de cada riesgo y su consecuencia sobre los
objetivos del proyecto. Se realiza para riesgos priorizados que presentan un potencial significativo
para afectar el cumplimiento de los objetivos del proyecto.
Las principales herramientas para este paso son:
Análisis de Montecarlo
Es un método utilizado para, mediante una simulación matemática compleja, realizar estimaciones
en caso de que existan parámetros que muestran variabilidad. Para el riesgo de costo la simulación
utiliza las estimaciones de costos del proyecto. Para el riesgo de cronograma se utilizan el diagrama
de red del cronograma y las estimaciones de duración. Un análisis cuantitativo integral del riesgo de
costos-cronograma utiliza ambas entradas.

Valor monetario esperado

Es una técnica de análisis que hace el cálculo para determinar el promedio de todos los resultados
posibles cuando el futuro exige una serie de situaciones particulares que pueden o no en última
instancia suceder. Se obtiene de multiplicar la probabilidad de ocurrencia de cada situación por su
impacto monetario y es una metodología de gestión de riesgos común.

Árbol de decisión
Es un diagrama que describe las implicaciones de elegir una u otra alternativa entre todas las
alternativas disponibles. La resolución del árbol de decisión indica qué alternativa produce el mejor
alor esperado para el tomador de decisiones cuando todas las implicaciones, costos y beneficios son
cuantificados. 

5. Planeamiento de la respuesta al riesgo:

En este paso se desarrollan opciones y se determinan acciones para mejorar las oportunidades y
reducir las amenazas.
Estrategias para Amenazas
Las amenazas no gestionadas pueden llevar a retrasos, sobrecostos, déficit en el desempeño o
pérdida de reputación. Para contrarrestar esas amenazas se pueden usar las siguientes estrategias:
Escalar: cuando el riesgo está fuera de los límites del proyecto o autoridad del Director de
Proyecto. Consiste en trasladar la decisión sobre la respuesta del riesgo a un nivel superior (ej.
Director de programa, Director de portafolio o Patrocinador).
Evitar: esta estrategia consiste en cambiar las condiciones originales de realización del proyecto
para eliminar la probabilidad de ocurrencia del riesgo identificado. Los ejemplos de las acciones
evasivas pueden incluir la eliminación de la causa de una amenaza, la extensión del cronograma, el
cambio de la estrategia del proyecto o la reducción del alcance.
Transferir: trasladar el impacto negativo del riesgo hacia un tercero puede ser otra estrategia para
responder a las amenazas. Un ejemplo clásico de esta estrategia consiste en contratar un seguro o
colocar una penalidad en el contrato con el proveedor en caso de incumplimiento.
Mitigar: consiste en realizar actividades que permitan disminuir la probabilidad de ocurrencia y/o
el impacto. Por ejemplo, instalar un sistema de alarmas en caso de incendio para disminuir el
impacto.
Aceptar: se basa en no realizar actividades previas a la materialización del riesgo. La aceptación
puede ser activa o pasiva. En la aceptación activa se define cómo actuar en caso de que ocurra el
riesgo. Por ejemplo, se determinan instrucciones de cómo seguir facturando si hay un corte de
energía o se establece una reserva para contingencias. Por otro lado, en una aceptación pasiva, no se
planifican acciones o reservas con anticipación, sino que se actúa sobre el riesgo una vez que
aparece, se revisa periódicamente para asegurarse de que no cambie.
Estrategias para oportunidades
Las oportunidades aprovechadas pueden conducir a reducción de tiempo y costo, mejora en el
desempeño o buena reputación.
Escalar: si la oportunidad excede los límites del proyecto o autoridad del Director de Proyecto, esta
estrategia consiste en notificar sobre ese riesgo positivo a un superior (ej. Director de Programa o
Portafolio o Patrocinador del proyecto).
Explotar: consiste en realizar acciones para asegurar que la probabilidad de ocurrencia de esa
oportunidad sea 100%. Por ejemplo, utilizar una nueva tecnología o contratar un miembro del
equipo con excelentes competencias.
Compartir: se basa en aprovechar las sinergias de otra persona u organización mejor capacitada
para capturar las oportunidades del mercado. Por ejemplo, una unión transitoria de empresas
aumentará la probabilidad de ganar una licitación, aunque seguramente habrá que repartir los
beneficios entre esas empresas.
Mejorar: en esta estrategia se realizan acciones para aumentar la probabilidad de ocurrencia y el
impacto. Por ejemplo, se implementan metodologías ágiles con recursos 100% dedicados al
proyecto para acortar la duración.
Aceptar: si las oportunidades son de baja prioridad o no son rentables las otras alternativas
(explotar, compartir, mejorar), una aceptación pasiva sería dejar esa oportunidad en la lista de
observación por si cambia su estado a futuro. Por su parte, la aceptación activa podría ser dejar una
reserva para contingencias (recursos, dinero) para aprovechar la oportunidad en caso de que ocurra.
Para seleccionar la mejor estrategia se deben tener en cuenta criterios como el costo de la respuesta,
la efectividad de la respuesta, la disponibilidad de recursos, las restricciones en tiempo y la
introducción de riesgos adicionales generados por la implementación de la estrategia inicial.
 6. Implementación de la respuesta a los riesgos
En este paso, es importante resaltar que la ejecución de las actividades necesarias, de acuerdo con la
estrategia seleccionada en el paso anterior, está a cargo de quien se haya definido como responsable
de cada uno de los riesgos. Recuerde que la gestión de riesgos es una cuestión de trabajo en
equipo y aunque el director del proyecto no es responsable de todos los riesgos del proyecto, su
función principal es influir sobre su equipo, y en él sobre los responsables de cada riesgo, para que
ejecuten las respuestas.
7. Monitoreo y control del riesgo:
En este paso se lleva a cabo el seguimiento de los riesgos identificados, se detectan aquellos riesgos
residuales no identificados con anterioridad y se identifican nuevos riesgos.
Las principales herramientas de gestión de riesgo utilizadas en este paso son:
Análisis del desempeño técnico: consiste en comparar los datos técnicos del proyecto con el plan
original. Por ejemplo, cantidad de defectos, capacidad de almacenamiento, tiempo de
procesamiento, etc. Las desviaciones entre los datos y el plan sirven de señal de advertencia para
detectar riesgos potenciales.  
Análisis de reserva: se basa en comparar la reserva de contingencia que está quedando en relación
con los riesgos restantes. El resultado de la aplicación de esta herramienta es la respuesta a la
pregunta ¿la reserva restante es suficiente?
Auditorías de riesgos: evalúa la efectividad de los procesos de gestión de riesgos y las respuestas
implementadas a cada riesgo.
Reuniones de revisión de riesgos: son reuniones en las que se actualiza el estado de los riesgos
identificados e identificar nuevos riesgos.
Los resultados de este paso son respuestas a las siguientes preguntas:
 ¿El nivel de riesgo general del proyecto ha cambiado?
 ¿El enfoque de gestión de riesgos sigue siendo adecuado?
 ¿Los supuestos siguen siendo válidos?
 ¿Se respetan las políticas y procedimientos de gestión de riesgos establecidos?

Para finalizar, es importante resaltar que estos siete pasos son aplicables tanto para proyectos
predictivos como para proyectos iterativos o ágiles. En el caso de proyectos ágiles se debe tener en
cuenta que en este tipo de proyectos hay mayor incertidumbre y riesgo, por lo tanto, los riesgos se
consideran en el momento de seleccionar el contenido de cada iteración y se gestionan durante cada
iteración.