PMP/CAPM, Project Management

Como crear una Efectiva Matriz de Riesgos en tan solo 3 Pasos

En algunos de mis anteriores artículos ya os he hablado de la importancia de una buena gestión de los riesgos en los proyectos.

Recordad que un riesgo no tiene por que ser algo “malo”, tendemos inconscientemente a asociar la palabra riesgo con problema, pero no es una asociación certera.

Por definición, un riesgo es un evento incierto que en el caso de ocurrir tendrá un impacto (ya sea negativo o positivo) en el proyecto.

Los riesgos negativos se consideran amenazas y los riesgos con impacto positivo se consideran oportunidades.

En el artículo de hoy, os quiero mostrar los 3 pasos necesarios para generar una efectiva matriz de riesgos para vuestro proyecto.

matriz_riesgos_3pasos

Paso 1:

Lógicamente el primer paso será identificar el máximo posible número de riesgos para nuestro proyecto. Para ello nos deberemos reunir con los stakeholders que nos puedan aportar la mayor información y analizar el posible origen de los riesgos.

Para obtener el mayor número posible de riesgos y no dejarnos ninguno olvidado por el camino, podemos ayudarnos de una RBS (Risk Breakdown Structure), la RBS nos ayudará en nuestras sesiones de brainstorming con los interesados del proyecto a buscar riesgos en todas las áreas posibles.

rbs_pmp

Puedes leer este intersante artículo del sobre el uso de la RBS: “Use a RBS to understand your risks”

También os adjunto una plantilla estándar que podéis usar en con el objetivo de identificar todos los riesgos en vuestros proyectos: “RBS Standard Template”

Paso 2:

Después de la identificación de los riesgos, el siguiente paso sería hacer un análisis cualitativo y a ser posible también cuantitativo de los mismos para poder clasificarlos de mayor a menor importancia en nuestra Matriz de Riesgos.

matriz_riesgos_blog

Podéis ampliar información sobre el análisis y gestión de riesgos en el artículo que escribí el año pasado: “La importancia de la Gestión de Riesgos”

Paso 3:

Una vez analizada la probabilidad y el impacto de los riesgos del proyecto, siguiendo los pasos 1 y 2, procederíamos a cumplimentar la Matriz de Riesgos (podeís descargar una plantilla de la misma aquí).

En esta matriz indicaríamos por un lado el riesgo, y por otro su probabilidad e impacto, el resultado de multiplicar PxI (Probabilidad x Impacto) será la clasificación global del riesgo, podemos usar un código de colores para los riesgos en nuestra matriz como el siguiente: verde (riesgo bajo), amarillo (riesgo medio), rojo (riesgo alto).

Por último y no por ello menos importante, recordad que la Matriz de Riesgo es un documento “vivo”, es decir deberemos actualizarla constantemente para que sea un reflejo de la realidad y nos sea una herramienta útil.

Para ello deberemos revisar la Matriz de Riesgos en todas las reuniones de reporte de estado del proyecto, y comentar los riesgos que nos han impactado, los que no, clasificarlos de nuevo, modificar la probabilidad y el impacto si estos han variado, etc.

Espero que os resulte útil la lectura del artículo y os ayude a mejorar la gestión de riesgos en vuestros proyectos.

¿Ya utilizas una matriz de riesgos en tus proyectos? Si es así, y tienes alguna aportación al proceso, no dudes en dejar abajo tus comentarios.

Alejandro Pérez, PMP, PMI ACP

41 thoughts on “Como crear una Efectiva Matriz de Riesgos en tan solo 3 Pasos

  1. Hola:
    Muchas gracias por compartir la información que resulta muy interesante.
    Como comentario, y dado que cuando hablamos de riesgo pueden ser tanto positivos como negativos, creo que la palabra catastróficas en la matriz de riesgos induce a seguir pensando solo en las consecuencias negativas de los riesgos por ello propongo sustituir dicha palabra por “maxima”
    Un saludo,

    • ceolevel

      Hola Antonio,

      Gracias a ti por tu amable comentario y tu interesante apunte. Estoy de acuerdo contigo, la palabra “catastrófica” conlleva una connotación negativa, por lo que “máxima” sería una palabra más apropiada.

      Saludos!

      • laura

        Hola! ¿no crees que sería interesante utilizar una matriz para riesgos positivos y otra para negativos?
        de esa forma creo que su utilidad para la gestión aumenta, y además da una idea clara de la posible compensación entre amenazas y oportunidades.
        Saludos!

        • ceolevel

          Hola Laura,

          Gracias por tu aportación. Efectivamente en ocasiones se llevan a cabos 2 matrices o incluso se agrupan en una misma los riesgos por tipo de afinidad y tambien como indicas por tipo de impacto (positivo o negativo).

          Saludos!

          • Luis Garcia

            Creo que me he perdido, riesgo positivo? esto va en contra de la definición misma de riesgo… alguien dispuesto a explicar?

          • ceolevel

            Hola Luis,

            Un riesgo a nivel de proyecto, es un evento incierto, que en el caso de ocurrir tendrá un impacto en el proyecto (ya sea a nivel de tiempo, coste, alcance, calidad..etc). Este evento incierto puede tener un impacto negativo (amenaza) o un impacto positivo (oportunidad).

            Por lo tanto a nivel de gestión de proyectos se habla de amenazas y oportunidades.

            Ej: El riesgo que la empresa donde llevas a cabo el proyecto sea comprada por una multinacional (si se llega a dar este evento, el resultado del mismo puede ser negativo (quizás te echan de la empresa dado que ya no te necesitan) o positivo (quizás tienes más beneficios o un aumento de salario).

            Espero haber resuelto tu duda.

            Saludos!

  2. Nereida Lopez

    Muy interesante la información de la metodologia a seguirsobre como elaborar la matriz de Riesgo, y su aplicación en la elaboración de proyectos, con ello se logra identificar a tiempo posibles riesgos negativos en la etapa de la ingeniería conceptual para ser analizados en el estudio de alternativas que definen la ingeniería definitiva y de detalle.

  3. Alejandro

    Muy bien lo felicito por su post
    Mi opinión coincido con aquellos que mencionaron la palbra clave “catastrofico”
    Consulta:
    Para el caso de procesos de la 9001:2015 ¿ Funciona la Matriz o se puede utilizar otra?
    ¿Que sugerir al respecto
    Gracias por su atenta respuesta
    Saludos
    Alejandro

    • ceolevel

      Gracias Alejandro por tu amable comentario.

      En cuanto a la matriz del post, es tan solo un ejemplo, puedes llevarla a cabo “a tu gusto”, lo importante es que quede reflejado al menos la probabilidad y el impacto del riesgo y que con estos valores puedas obtener una clasificación del riesgo (habitualmente se usan colores, pero también podrían ser descriptores númericos).

      Saludos!

  4. Claudio Larrañaga. PMP®

    Estimado Alejandro.
    Sólo quisiera destacar, para tus lectores, el hecho de que se debe desarrollar 2 matrices de riesgos. Una para cada uno de estos escenarios contrapuestos de riesgos positivos y negativos.
    Luego, según sea la magnitud de la relación P*I en cada una de estas matrices, se debe clasificar y priorizar, dependiendo del apetito, tolerancia y umbral de riesgo dados en los factores ambientales de la organización.
    Para después, desarrollar el plan de respuesta a cada uno de estos riesgos, cuyo tipo de respuesta difiere si es que se trata de oportunidades o amenazas.

  5. Ricardo zevallos elias

    Yo incluyó casuística y estadísticas antes de hacer mis análisis de riesgos y luego analizo la matriz, con esa data mejoro mi apreciación del análisis de riesgos.

  6. Lucia Jimenez

    Hola Alejandro,
    Tu post es muy interesante, justo hoy he tenido una reunión en el trabajo para definir la matriz de riesgos para la grstión de la modificaciones, así que tus opiniones me han venido como anillo al dedo. Gracias!

  7. Manuel

    Buenas Alejandro,
    Me ha parecido muy interesante el artículo. Respecto a la clasificación de las consecuencias, podemos suavizar lo que queramos utilizando diferentes palabras de nuestro querido diccionario, pero si vemos aisladamente los términos, catastrófica no queda ninguna duda de su significado. A mi me gusta más. Es importante en las organizaciones que los conceptos queden claros en todos los niveles. Considero que las matrices de Riesgos deberían ser más reducidas, por ejemplo de 3×3. Añadir muchas categorías dificulta el análisis de cada evento.
    Un saludo

    • ceolevel

      Hola Manuel,

      Gracias por tu amable comentario y aportación a la discusión, estoy de acuerdo contigo en que es importante clarificar los conceptos a nivel organizativo y la idea de simplificar la matriz para hacer más fácil el proceso de clasificación, aunque dependerá del tipo de proyecto, tipo de eventos y su complejidad y el nivel de detalle información que se exija por parte de la organización y la PMO.

      Saludos!

  8. Carol Solar

    Buenas Alejandro,
    Muchas gracias por su articulo, es muy explicativo! en lo único que me queda duda, y esperaré con ansias su respuesta, es como define los valores de probabilidad y como define los de impacto, si es que los valores deben sumar 1 (para que sea estadísticamente correcto) o si es que la valoración es por percepción de los stakeholders.
    Me gustaría poder conversar del tema un poco más a profundidad, le enviaré un mail para contactarnos, espero no le moleste.
    Quedo atenta a sus comentarios! Saludos desde Chile!

    • ceolevel

      Gracias Carol por tu amable comentario. La valoración de probabilidad/impacto la puedes hacer de manera cualitativa o cuantitativa, en el primer caso tendrás en cuenta tu experiencia y las de los stakeholders para valorar de un modo más personal/subjetivo el impacto y la probabilidad.

      En el caso de la valoración cuantitativa, emplearías herramientas más avanzadas como simulaciones montecarlo o el calculo del valor monetario esperado, etc para obtener estos valores.

      Si tienes alguna duda, puedes contactarme sin problemas.

      Saludos!

    • ceolevel

      Hola Abril,

      Gracias por tu amable comentario.

      Puedes usar diferentes modelos de matrices de riesgos, la elección de un modelo u otro (no hay un estándar universal) dependerá de tus necesidades del proyecto y de la organización.

      También puedes definir los parámetros que quieres evaluar y sus métricas e indicadores a medida de tus necesidades.

      Saludos!

  9. Ariel Fernando Sánchez

    Hola Alejandro!

    Yo tengo una duda más específica de la matriz de riesgos, en el momento de generar un escenario para analizar el riesgo, cómo sería una buena forma de redactar este escenario? ya que a fin de cuentas los stakeholders son los interesados en esto y deben de entender lo que se les está diciendo para que le den la importancia al riesgo que debería.

    Saludos! y gracias por el artículo

    • ceolevel

      Hola Ariel,

      Gracias por tu comentario y aportación a la discusión. Como bien apuntas es importante que en las reuniones de identificación y calificación de riesgos estén presentes los interesados.

      En estas reuniones de identificación y análisis deberemos invitar a aquellas personas que nos puedan aportar información detallada sobre los riesgos y sus implicaciones, y que sean ellos mismos los que nos ayuden a entenderlos, es decir el escenario lo tienen que plantear muchas veces los interesados, aquellos que conocen el riesgo de primera mano. Nuestro trabajo como PM es identificarlos e invitarlos a las reuniones de gestión de riesgos.

      Una vez identificados los “Propietarios de los riesgos”, debemos trabajar con ellos no tan solo en la identificación del riesgo y sus características, sino en la definición del plan de contingencia a seguir, en la mayoría de los casos será el interesado “experto” en su área, quien nos ayudará a definir este plan de contingencia.

      Resumiendo, no es tarea única del PM el plantear los escenarios de los riesgos e identificarlos, sino de todos aquellos interesados que tengan información sobre los mismos y que puedan ayudar a clasificarlos y definir sus planes de respuesta.

      Saludos!

  10. paulina Aguirre

    tengo una duda, me exigen una matriz de riesgo para dos nocheros o guardias de noche, existe alguna cantidad exigida por la ley, para emitir la matriz de riesgo, ]Ejemplo , sobre 5 trabajadores se debe realizar la matriz de riesgo

    • ceolevel

      Hola Paulina,

      No entiendo muy bien tu pregunta. El artículo hace referencia a una matriz de riesgos para un proyecto, no sobre una persona o grupo de personas.

      Saludos!

  11. Alex R

    Buenas tardes., Gracias por la información y el artículo.

    Una consulta. Tengo entendido que en las matrices de riesgo de PLANEACIÓN ESTRATÉGICA se deben considerar factores de riesgo tanto internos como externos . Me puedes por favor dar una mayor claridad sobre éste tipo de factores ( Int. y Ext .)

    Gracias

    • ceolevel

      Hola Alex,

      Gracias por tu amable comentario. En este artículo tratamos matrices de riesgos orientadas a gestión de proyectos, no tanto de planeación estratégica. En todo caso, en términos generales, cuando se habla de factores internos estos son los que hacen referencia a factores propios del proyecto/empresa (por ej: errores en estimaciones internas, capacidades de recursos, etc) y los factores externos podrían ser temas como regulaciones de gobiernos, leyes, el tiempo, etc

      Saludos!

  12. alberto

    A mi criterio una matriz de riesgos que incluya factores internos y externos a la organización puede ser utilizada la del formato FODA (o DAFO) y consecuentemente, a partir de ella, una “Matriz de confrontación”

    Saludos cordiales

  13. Gerardo

    Muchas gracias por el excelente artículo,
    Tengo una duda, ya que estoy haciendo una matriz de riesgo bastante sencilla:
    Probabilidad:
    1 Improbable
    2 Poco Probable
    3 Probable
    4 Seguro

    Impacto
    1 Leve
    2 Moderado
    3 Alto
    4 Grave

    Ahora bien, a cada perspectiva le estoy asignando ponderación (%), a Impacto 60% y a Probabilidad 40%, justifico los 60%, ya que el impacto es monetario, entonces por ejemplo un riesgo que sea Poco Probable (2) y de impacto moderado (2), su valor porcentual sería el siguiente:

    Riesgo evaluado = ((2*0.4)+(2*0.6))/4
    Riesgo evaluado = 50%

    Mi duda es, ¿estará bien asignar pesos a cada perspectiva (Impacto/Probabilidad)?, o ¿sería mejor manerlo como 50%-50%?.

    Agradeciendo tus valiosos comentarios,

    Atentamente.

    G.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *