La gestión del riesgo en proyectos es el proceso sistemático de identificar, evaluar y mitigar eventos inciertos que pueden afectar el alcance, el costo o el tiempo de un proyecto antes de que ocurran. No es una etapa opcional ni un trámite posterior a la planificación: es la diferencia entre ejecutar con control y ejecutar a ciegas.
Según el informe Pulse of the Profession 2023 del Project Management Institute, el 38% de los proyectos fracasan debido a la mala identificación y mitigación de riesgos. El dato se vuelve aún más concreto cuando se compara el desempeño entre organizaciones: las empresas que dedican esfuerzos estructurados a la gestión de riesgos alcanzan sus metas 2,5 veces más a menudo y gastan 13 veces menos dinero que las que no lo hacen. La brecha no está en la disponibilidad de metodología, sino en si esa metodología efectivamente se aplica antes de que arranque la ejecución.
Para directores de proyectos, gerentes de operaciones y líderes de transformación que ejecutan sin un proceso formal de gestión de riesgos, el problema rara vez es la falta de conciencia: es la falta de un framework simple y aplicable. A continuación, los cinco pasos que conviene recorrer antes de ejecutar cualquier proyecto B2B.
<<<Decisiones críticas en la gestión de proyectos>>>
Consiste en mapear de forma sistemática los eventos inciertos que pueden afectar al proyecto, organizados por área: alcance, cronograma, presupuesto, recursos humanos, tecnología y stakeholders externos. Entre las técnicas más utilizadas en esta etapa están las listas de verificación, la lluvia de ideas, las entrevistas con el equipo y el análisis de interesados.
Ejemplo aplicado: en un proyecto de implementación de un nuevo sistema de gestión, la identificación por área podría arrojar riesgos como resistencia al cambio en el equipo de operaciones, dependencia de un único proveedor tecnológico o falta de disponibilidad de datos históricos para la migración.
Una vez identificados, cada riesgo se evalúa según dos variables: qué tan probable es que ocurra y qué tan severo sería su efecto sobre los objetivos del proyecto. Las técnicas comunes incluyen el análisis cualitativo, que asigna una puntuación a cada riesgo según su impacto y probabilidad, y el análisis cuantitativo, que utiliza datos numéricos para calcular el riesgo de manera más precisa.
Ejemplo aplicado: el riesgo de resistencia al cambio podría calificarse con probabilidad alta (dado el historial de la organización) e impacto medio, mientras que la dependencia de un único proveedor podría calificarse con probabilidad baja pero impacto crítico si se materializa.
Este análisis permite priorizar los riesgos y dirigir los recursos hacia aquellos que tienen el potencial más significativo para afectar negativamente al proyecto. No todos los riesgos identificados requieren el mismo nivel de atención: clasificarlos por criticidad evita dispersar esfuerzos en eventos de bajo impacto mientras los riesgos realmente determinantes quedan sin plan de respuesta.
Ejemplo aplicado: en una matriz de priorización, el riesgo de dependencia de un proveedor único quedaría en la categoría de atención prioritaria pese a su baja probabilidad, justamente por la magnitud de su impacto potencial sobre el cronograma completo.
El plan de respuesta a los riesgos debe contemplar, de manera sencilla, las acciones generales a tomar en función del riesgo identificado y caracterizado por grado de criticidad, de forma que el equipo completo sepa cómo proceder si el riesgo se materializa. Las estrategias varían según el tipo de riesgo: diversificación de recursos, implementación de controles de calidad adicionales o acuerdos de respaldo con proveedores alternativos.
Ejemplo aplicado: frente al riesgo de proveedor único, el plan de respuesta podría incluir la identificación previa de un proveedor alternativo certificado, listo para activarse si el principal incumple plazos críticos.
Ningún plan de respuesta funciona sin un responsable concreto que lo ejecute y sin un mecanismo de seguimiento continuo. El seguimiento debe asegurar visibilidad del comportamiento del riesgo en función de su probabilidad e impacto a lo largo del tiempo, y documentar las decisiones relacionadas con los planes de respuesta definidos.
Ejemplo aplicado: designar al líder de operaciones como responsable del riesgo de resistencia al cambio, con revisiones quincenales del nivel de adopción del equipo durante los primeros meses de implementación.
<<<Cómo anticipar y gestionar riesgos estratégicos para tu negocio>>>
En proyectos de este tipo, los riesgos suelen repetirse con patrones reconocibles: resistencia al cambio por parte de los equipos operativos, falta de alineación entre los objetivos del proyecto y los objetivos de negocio (causa del 44% de los fracasos de proyectos según estudios recientes), dependencia excesiva de proveedores tecnológicos únicos, subestimación del tiempo necesario para la migración o integración de datos, y ausencia de un responsable claro durante la etapa de adopción posterior al lanzamiento.
<<<Implementación de tecnología en empresas: ordenar antes de digitalizar>>>
Gestionar el riesgo no es anticipar todo lo que puede salir mal, sino construir un proceso que permita reaccionar con criterio cuando algo efectivamente sale mal. Los cinco pasos de este framework no requieren herramientas sofisticadas ni una estructura de gobierno compleja: requieren disciplina para aplicarlos antes de que arranque la ejecución, no después de que el primer riesgo ya se materializó.
La diferencia entre un proyecto que se ajusta sobre la marcha y uno que se sale de control casi nunca está en la calidad del plan original, sino en si existió (o no) un proceso formal para anticipar lo que podía fallar.
En Drew incorporamos la gestión de riesgos como parte integral de nuestros proyectos de mejora de procesos e implementación tecnológica, porque sabemos que la planificación que no contempla riesgos no es planificación: es optimismo documentado.