La madurez organizacional en gestión de proyectos y el tratamiento del riesgo están estrechamente relacionados. Por eso, resulta útil pensar en el proceso de maduración de la gestión de riesgos como una serie de etapas, cada una con características y desafíos propios.

Este enfoque permite entender mejor los hechos observables, identificar el estado actual de la organización y decidir cómo actuar y qué esperar.

Si bien este modelo no pretende ajustarse exactamente al Organizational Project Management Maturity Model (OPM3) del PMI, guarda ciertos paralelismos.

Fase 1: Exploración

PMI reconoce como un factor crítico de éxito que:

“La gestión de riesgos debe ser vista como una disciplina valiosa, que puede generar un retorno positivo sobre la inversión…” (PMI, 2009)

Una excelente forma de demostrar ese valor —quizás la mejor— es mostrando resultados positivos. Para eso, sin embargo, es necesario cierto entrenamiento.

En esta fase inicial comenzamos a trabajar con herramientas de GRP, seleccionándolas, probándolas y presentándolas al equipo.

Por eso, llamo a esta etapa “exploración”. Incluso si ya sos un/a project manager experimentado/a, esta fase ayuda a comprender el comportamiento organizacional y a introducir los conceptos de GRP al equipo.

Es fundamental asegurar los pequeños logros antes de avanzar a etapas más complejas que exigirán más trabajo y mejores resultados. Por eso, al inicio conviene probar herramientas internamente con el equipo del proyecto, y luego, cuando se obtienen los primeros buenos resultados, compartirlos con el resto de la organización.

Paradigma a romper en esta etapa:

“La gestión de riesgos es solo para cumplir con el papeleo que les gusta a los PMs.”

Las herramientas básicas son las más valiosas en esta fase:

• una lista incipiente de riesgos, que se amplíe con cada proyecto
• una EDR (estructura de desglose de riesgos) sencilla

Estas herramientas ayudan a detectar riesgos con un conocimiento técnico mínimo. Las técnicas de recolección de información deben limitarse a entrevistas. Aun así, las reuniones siguen siendo una fuente clásica y valiosa de análisis más profundo, aunque requieren un manejo cuidadoso y un equipo más maduro.

La matriz de probabilidad e impacto es muy útil, pero antes de usarla hay que responder algunas preguntas:

• ¿Cuál será el nivel de granularidad adecuado (cuántos niveles necesita la escala)?
• ¿Cuáles son los umbrales para impacto en costo, tiempo y calidad?
• ¿Qué rangos de probabilidad se usarán?

Estas cuestiones deben definirse y comprenderse claramente antes del análisis. La confusión que generan puede ser significativa en equipos no entrenados.

Dos recomendaciones clave en esta fase:

1. No planifiques el proyecto como si tuviera que sobrevivir a “la tormenta del siglo”. Eso probablemente lo vuelva inviable.
2. Los riesgos con más del 65% de probabilidad de ocurrencia deben tratarse como problemas reales, no como eventos inciertos.

Esta fase puede equipararse a una etapa previa a la de estandarización en el modelo OPM3. Al finalizarla, se puede avanzar a dicha etapa, donde se implementan de forma consistente los procesos, órganos de gobierno y documentación.

Fase 2: Presentación

Un análisis de riesgos realizado por el/la project manager en soledad —o con ayuda de un par de integrantes del equipo— es útil para comenzar, pero tiene valor limitado en el largo plazo.

Con las herramientas básicas ya probadas y, de ser posible, con el respaldo de la alta dirección, llega el momento de involucrar a todo el equipo y a la organización en el proceso.

Antes de iniciar una sesión de riesgos, asegurate de que los términos, colores y escalas ya estén definidos, probados y comprendidos por todos. De lo contrario, derivarán en discusiones improductivas.

Paradigma a vencer ahora:

“En lugar de tantas reuniones… ¿no deberíamos estar ejecutando el proyecto?”

La mayoría de los planes de proyecto parte de un único escenario deseado. La planificación de riesgos, en cambio, obliga a pensar en términos de incertidumbre y en múltiples escenarios, lo que es desafiante.

El foco de esta etapa es tanto la gestión de riesgos como la difusión metodológica. Es clave asegurarse de que todas las personas evalúan y jerarquizan los riesgos bajo las mismas reglas.

No alcanza con tener herramientas duras. También son fundamentales:

• el análisis de interesados,
• el intercambio de información, y
• el monitoreo del entorno interno y externo.

Dado que el riesgo es un tema subjetivo, ofrece una buena oportunidad para que cada persona reconozca cuán adversa o tolerante es frente al riesgo. Este autoconocimiento será valioso cuando surjan problemas o cambios durante la ejecución.

Esta fase se vincula con la etapa de estandarización en OPM3, y también con el inicio de la fase de medición, donde se incorporan indicadores al proceso.

Fase 3: El cambio

En esta breve pero crucial fase, los beneficios de la GRP comienzan a ser visibles y valorados. Es momento de comunicar los logros, generar respaldo desde la alta dirección y comenzar a aplicar herramientas más sofisticadas junto al equipo.

A esta altura, la planificación de riesgos se vuelve más sencilla, y el foco empieza a desplazarse hacia la ejecución. En esta etapa, es vital hacer seguimiento de los riesgos y aplicar las respuestas definidas. De lo contrario, se corre el riesgo de que nos acusen de “planificar cosas que nadie gestiona durante la ejecución”.

Una herramienta clave en esta etapa son los talleres de riesgos, que permiten:

• generar una lista extensa de riesgos,
• planificar las respuestas,
• revisar y refinar la lista,
• analizar los riesgos, y
• asignar responsables a cada uno.

El análisis de riesgos debe ser un proceso vivo, que evolucione con el paso del tiempo, al igual que el monitoreo del entorno y de los interesados.

Es un error frecuente considerar el análisis inicial como una “foto fija” válida para todo el ciclo de vida del proyecto.

Actualizar el estado de los riesgos durante la ejecución con la misma frecuencia que el cronograma o el presupuesto es tan importante como poco habitual. Además, suele pasarse por alto el análisis de riesgos positivos, lo cual es una oportunidad desperdiciada.

Esta fase se vincula con las etapas de medición y control del modelo OPM3, donde se implementan mecanismos de seguimiento y se alcanza cierta estabilidad.

Fase 4: Internalización

Cuando toda la organización está involucrada en la gestión de riesgos, cada riesgo relevante ha sido profundamente analizado, se han definido y consensuado respuestas efectivas durante la planificación, y se realiza un seguimiento cercano durante la ejecución, podemos decir que se ha alcanzado la fase de internalización.

En este punto, ya es posible aplicar herramientas más complejas como:

• Análisis de Monte Carlo
• Evaluación de riesgos difusos (Fuzzy)
• Riesgo 3D

…con la confianza de que se cuenta con:

• datos de entrada confiables,
• aceptación del equipo, y
• suficiente experiencia previa.

Pero atención: para que estas técnicas sean realmente útiles, se requiere:

• un modelo bien diseñado,
• información histórica fiable, y
• expertos en gestión de riesgos.

Como advierten Högberg y Adamsson (1983), los sistemas de control que parecen “científicos” pueden esconder datos de entrada imprecisos. La estimación de valores extremos (mínimos y máximos) también es más difícil que la estimación de valores probables. Y sin datos históricos, es complicado elegir una función de distribución adecuada (normal, triangular, beta, etc.).

Por eso, no todos los proyectos justifican el uso de herramientas tan sofisticadas.

A veces, lo más efectivo es volver a las herramientas básicas y aplicarlas bien, en lugar de invertir tiempo en métodos complejos que no se podrán completar o que darán resultados poco confiables.

Incluso en esta etapa, la GRP sigue siendo un proceso de aprendizaje. La información registrada durante y después de la ejecución será clave para futuros análisis. Es fundamental que estos datos se conserven, estén disponibles y se actualicen de manera formal. Otra tarea nada fácil.

Finalmente, es importante evitar que la GRP se convierta en una rutina vacía. También hay que estar alertas a la manipulación política de los riesgos, que puede llevar a eliminar algunos de la lista por conveniencia.

En esta etapa, el grado de efectividad de la GRP puede medirse mediante indicadores clave de desempeño (KPI), lo que ayuda a consolidar las mejoras alcanzadas.

Esta fase se vincula con la etapa de mejora continua del modelo OPM3.

Riesgo 3D: incorporando una nueva dimensión

En esta sección, presento un concepto relativamente nuevo en la gestión de riesgos de proyectos: Riesgo 3D.

Incluso cuando se evalúan cuidadosamente las probabilidades e impactos, suele prestarse poca atención al estudio de los desencadenantes (triggers) de cada riesgo.

Esto representa un problema importante. Un proyecto puede tener una planificación excelente y contar con reservas adecuadas, pero si no logra anticiparse al momento en que un riesgo se activa, solo hay dos opciones:

• actuar desde el inicio (asignando recursos a un evento que quizá nunca ocurra), o
• esperar a que el riesgo ocurra y reaccionar tarde, lo que suele ser inútil.

Por eso, en algunos casos no alcanza con analizar únicamente la probabilidad y el impacto. Incorporar el estudio de los desencadenantes puede cambiar la prioridad del riesgo, así como la estimación de reservas y contingencias.

En resumen: los desencadenantes importan.

¿De dónde surge la idea?

Riesgo 3D combina dos enfoques:

• El análisis de riesgos cualitativo propuesto por la Guía PMBOK® (4ª edición), y
• La herramienta de calidad FMEA (Failure Mode and Effects Analysis), creada en los años 40 y adoptada por la industria aeroespacial en los 60.

FMEA evalúa riesgos en productos y procesos según tres factores:

• Severidad (impacto)
• Frecuencia (probabilidad)
• Detección (qué tan fácil es detectar el problema antes de que ocurra)

En proyectos, esta tercera variable (detección) se relaciona directamente con los triggers o señales tempranas. Cuanto más difícil sea detectarlos o menos tiempo den antes de que ocurra el riesgo, mayor será su peligrosidad.

Aplicación práctica

El “Número de Prioridad del Riesgo” (RPN) se calcula como:
RPN = probabilidad × impacto × factor de detección
Cuanto mayor es el RPN, más importante es el riesgo.

El factor de detección se califica según:

• Qué tan evidente es el desencadenante
• Cuánto tiempo anticipa el evento de riesgo

Para simplificar el análisis, se puede comenzar evaluando solo la dificultad de detección. Luego, tras definir las respuestas, se vuelve a evaluar según el tiempo de anticipación. Esto requiere iterar, por lo que conviene aplicarlo solo a los riesgos más críticos.

Importante: Riesgo 3D no es solo una fórmula con un término adicional. Es una nueva forma de ver el análisis de riesgos que implica:

• estudiar los triggers en profundidad,
• asignar responsables a esos triggers, y
• planificar cómo comunicar su aparición.

Esto permite planes más elaborados y estimaciones de reserva más racionales. También exige una actualización periódica del estado de los riesgos durante la ejecución.

No todas las organizaciones están preparadas para aprovechar al máximo esta técnica avanzada, pero en entornos maduros puede marcar la diferencia.

Conclusiones

Es cierto que el alcance, el cronograma, los costos y los recursos humanos suelen tener efectos más visibles y profundos en los proyectos que la gestión de riesgos. Eso puede llevar a la falsa idea de que la gestión de riesgos tiene poco impacto.

Y como planificar sobre eventos inciertos es complejo, la GRP muchas veces es vista como una burocracia innecesaria, más teórica que útil.

Por eso, es fundamental entender qué puede y qué no puede ofrecer la gestión de riesgos, para establecer expectativas realistas y elegir las herramientas más adecuadas.

Lo que sí está claro es que se necesita un cierto nivel de madurez en la gestión de proyectos para aprovechar todos sus beneficios.

Finalmente, la gestión de riesgos es una disciplina fascinante, con un enorme potencial para mejorar el desempeño de los proyectos y una gran variedad de herramientas por explorar.

Así que… ¡pongámosla en práctica!