Es importante identificar todos los riesgos que puedan resultar obvios, tanto para los gestores como para el personal técnico. Esta tarea de identificación deberá cuantificar las dos características básicas asociadas a los riesgos; el nivel de incertidumbre y el grado de pérdidas o consecuencias no deseadas. Para facilitar este trabajo, resultare muy útil encuadernar los riesgos en diferentes grupos, en función de su naturaleza o, incluso, por razón de su alcance.
Clasificación macroscópica
A nivel macroscópico se pueden considerar tres categorías: riesgos del proyecto, riegos técnicos y riesgos del negocio. Atendiendo a esta primera clasificación, los
riesgos del proyecto estarían asociados con el plan del proyecto, lo que quiere decir que si los riesgos del proyecto se hacen realidad, es muy probable que la planificación temporal del proyecto e retrase y que los costes aumenten. En otras palabras, estos riesgos identifican potenciales problemas presupuestarios, de agenda de personal, de recursos, del cliente y de requisitos así como su impacto en un proyecto informático. Como ejemplo de factores de riesgo para este primer grupo, cabría destacar la complejidad, el tamaño y la estructura del proyecto.
Existen dos tipos de riesgo: riesgos genéricos y riesgos específicos del producto. Los riesgos genéricos son una amenaza potencial para cualquier proyecto informático. Por el contrario, los riesgos específicos vienen originados por las características especiales del producto a desarrollar. En este caso, solo pueden identificarlos aquellos que tienen una clara visión de la tecnología, el personal y el entorno especifico del proyecto en cuestión. A pesar de esta diferenciación entre riesgos genéricos y específicos, se deberá tener en cuenta que ambos precisan de una identificación sistemática y una gestión exhaustiva.
Identificar los riesgos requiere, fundamentalmente, una recopilación de información acerca del proyecto informático a desarrollar, así como su posterior clasificación con
el fin de determinar los riesgos verdaderos. Una vez recogida la información necesaria acerca de un proyecto, se puede crear una lista de comprobación de elementos de riesgo que nos facilite la tarea de identificar y clasificar los riesgos conocidos y predecibles.
Proyección del riesgo
La proyección del riesgo, también denominada estimación del riesgo, intenta medir cada uno de los riesgos identificados en la lista de comprobación de elementos de riesgo desde dos perspectivas complementarias: la probabilidad de que el riesgo sea real y las consecuencias o el impacto de los problemas asociados con el riesgo, suponiendo que este ocurre, Por tanto, se trata de dar respuesta a una serie de cuestiones fundamentales, tales como:
Atendiendo a estos objetivos, el jefe del proyecto informático, junto con otro personal técnico, deberá llevar a cabo cuatro actividades básicas durante estas fases de gestión de riesgo:
Establecer una escala que refleje la probabilidad percibida del riesgo.
- Definir las consecuencias del riesgo.
- Estimar el impacto del riesgo en el proyecto y en el producto.
- Anotar la exactitud general de la proyección del riesgo con el fin de evitar posibles malentendidos o confusiones.
Impacto de riesgo
Después de haber estimado la probabilidad de ocurrencia de cada riesgo, se le tiene que asignar un peso de acuerdo con el impacto percibido sobre el proyecto para,
posteriormente, poder establecer un orden de prioridades en función de ambas características (probabilidad e impacto). En este sentido, cabe indicar que tres factores
son los que afectan a las posibles consecuencias o al impacto de un determinado riesgo si este se produce: su naturaleza, su alcance y su temporización.
La naturaleza del riesgo indica los problemas potenciales que apreciarían si el riesgo ocurriera. El alcance del riesgo hace referencia a dos cuestiones básicas como son la severidad del problema y su distribución general por último, la temporización del riesgo considera el momento en que se sentirá el impacto y su duración temporal.
Es importante observar que la probabilidad del riesgo y su impacto y tienen una trascendencia diferente respecto a la gestión global de un proyecto. De este modo, parece lógico pensar que un factor de riesgo que tuviera un alto impacto pero una probabilidad muy baja, no debería absorber una cantidad de tiempo con una probabilidad de ocurrencia media o alta, así como los riesgos de bajo impacto con una elevada probabilidad deberían trasladarse a la siguiente fase de la gestión de riesgo, al objeto de prestarles una especial atención.